WordPress Security Plugins, die jeder Website-Betreiber kennen sollte

Die besten Sicherheits-Plugins

Sind Sie unsicher, wie Sie Ihre WordPress-Site absichern sollen? Keine Sorge! In diesem Beitrag stellen wir Ihnen verlässliche Sicherheitslösungen vor, die man bei der Entscheidung kennen sollte.

Es gibt viele gute WordPress-Sicherheit-Plugins, aber einige der bestbewerteten sind Wordfence Security, iThemes Security und Sucuri Security. Diese Plugins bieten eine Art Komplettlösung gegen alle bösartigen Angriffe. Wer keine Komplettlösung nutzen möchte, findet weitere Sicherheits-Plugins, die gezielt nur einzelne Bereiche der Website absichern. 

Wordpress mit Security Plugins sicher machen

Eine Vielzahl von Sicherheitsfunktionen

Diese Sicherheits-Plugins bieten eine Vielzahl von Sicherheitsfunktionen wie Schutz vor Malware-Infektionen, Firewall-Funktionen und Überwachung von Anmeldeversuchen. Letztlich hängt die Wahl des Plugins jedoch von Ihren spezifischen Bedürfnissen ab und sicher auch an persönlichen Vorlieben.
Ein kleiner Wermutstropfen ist, die reine Installation reicht nicht, man muss diese Sicherheits-Plugins auch einrichten. Das ist nicht ganz so simpel, wie die Werbung verspricht. Im Zweifel nutzt man dann doch die Hilfe einer professionellen WordPress Wartung.

Sicher ja, aber nie ganz

Kurz vorweg. Die 100 % Prozent Garantie, dass eine WordPress Webseite nicht gehackt werden kann, gibt es nicht. Aber die Wahrscheinlichkeit kann extrem reduziert werden.

Was ist die Aufgabe der Sicherheits-Plugins?

Ursache vieler Hackerangriffe sind Sicherheitslücken in WordPress-Themes- und Plugins. Die Entwickler bauen eine neue Funktion ein und vernachlässigen dabei die Sicherheit. Wenn dann diese Plugins auf Tausenden von WordPress Webseiten installiert sind, zieht das die Hacker magisch an. Die Angriffe kommen dann meist nicht einzeln, sondern mittels Software als Großangriff. Diese Software oder Bots scannen dann die WordPress-Webseiten, um die WordPress-Versionen zu ermitteln und welche Plugins und Themes eingesetzt werden. Bei Schwachstellen wird angegriffen.

Genau davor wollen und sollen WordPress Security Plugins schützen. Wenn WordPress Sicherheits-Plugins richtig eingestellt sind, verriegeln sie alles, geben keine Informationen raus und dienen als Schutzwall.

Welche Security Plugins sind empfehlenswert?: die Komplettlösungen.

ithemes Security

ithemes Security gibt es in einer kostenlosen und in einer Premium-Version. Wir selbst nutzen zur Wartung ausschließlich die Plugin Premium-Version, obwohl die kostenlose schon recht umfangreich ist.

Die wichtigsten Sicherheits-Maßnahmen Maßnahmen von ithemes Security sind:

  • Schütz das WordPress Login vor sogenannten Brute-Force-Angriffen
    Überwacht verdächtige Aktivitäten
  • Stärkt Benutzeranmeldeinformationen
  • Scannt nach anfälligen Plugins und Themes, um Updates anzuwenden
  • Blockiert bösartige Bots und reduziert Spam
  • Ergreift automatisch Maßnahmen, um Ihre Website zu sichern
WordPress-Security-Plugin—ithemes

Wordfence

Auch hier gibt es eine kostenlose Version und eine kostenpflichtige Pro-Version

Die wichtigsten Sicherheits-Maßnahmen Maßnahmen von Wordfence sind:

  • Die Web Application Firewall identifiziert und blockiert schädlichen Datenverkehr.
  • Echtzeit-Updates von Firewall-Regeln und Malware-Signaturen
  • Echtzeit-IP-Blocklist blockiert alle Anfragen von den bösartigsten IPs, schützt Ihre Website und reduziert die Belastung.
  • Schützt Ihre Website am Endpunkt und ermöglicht eine tiefe Integration mit WordPress.
  • Der integrierte Malware-Scanner blockiert Anfragen, die schädlichen Code oder Inhalt enthalten.
  • Schutz vor Brute-Force-Angriffen durch Begrenzung der Anmeldeversuche.

Aus meiner Sicht ist die kostenlose Version sehr eingeschränkt, aber auf jeden Fall viel besser als nichts.

Sucuri

Das Sucuri Plugin gibt es zur Zeit nur in einer kostenlosen Version. Man kann aber eine sogenannte Firewall dazu kaufen.

Die wichtigsten Sicherheits-Maßnahmen Maßnahmen von Sucuri sind:

  • Überwachung der Sicherheitsaktivität
  • Überwachung der Dateiintegrität
  • Remote-Malware-Scanning
  • Blocklist-Überwachung
  • Effektive Sicherheitshärtung
  • Post-Hack-Sicherheitsmaßnahmen

Falls Sie aktuell Sorgen haben, dass Ihre Website von Malware betroffen sein könnte, Sucuri bietet hier einen kostenlosen Malware-Check an

sucuri-wordpress

WordPress Security Plugins und das Problem mit der DSGVO

Ein Security Plugin kann wiederholte Angreifer nur abwehren, wenn es die IP-Adresse erkennt und auch speichert. Damit ist es automatisch im Konflikt mit der DSGVO. Die IP ist praktisch wie der Name im Web. Sicherheit und 100 % Einhaltung der DSGVO schließt sich damit aus. Aber nach meiner Kenntnis wird diese Sicherheit von den Gerichten als “verhältnismäßige Maßnahme zum Schutz der Website ” anerkannt.  Wichtig ist unbedingt, dieses Plugin in der Datenschutzerklärung anzugeben. Wie immer, fragen Sie einen kompetenten Rechtsanwalt oder eine WordPress Agentur.

WordPress Security Plugins und DSGVO

Spezielle Security Plugins für Detail-Lösungen

Wer keine Komplettlösung für seine Sicherheit sucht, kann auch Plugins für bestimmte Aufgaben nutzen, auch wenn wir diesen Weg nicht für sicher halten.

Den WordPress Zugang verstecken mit dem Plugin WPS-hide-Login

Brute-Force-Angriffe sind leider nicht selten. Angreifer kennen den Standard Login Zugang, weil der bei WordPress immer gleich ist.“https://deine Website/wp-login.php“. Dort wird dann versucht, das Passwort zu knacken, um so Zugriff auf die Webseite zu erlangen.Um das Auffinden dieser Login-Seite zu erschweren, gibt es ein einfaches Plugin, mit dem Sie /wp-login.php“ auf eine Adresse bzw. einen Namen Ihrer Wahl umleiten können.

Diesen selbst gewählte Namen müssen Sie sich natürlich gut merken. Sollte Ihnen der Name doch entfallen, gehen Sie per FTP in das Pluginverzeichnis Ihrer WordPress Installation und nennen das Plugin „WPS Hide Login“ einfach um und schon kommen Sie wieder mit dem Standardzugang in das WordPress-Dashboard. Anschließend machen Sie die Namensänderung wieder rückgängig und alles wird wieder korrekt umgeleitet.

Dieses Plugin ist recht nützlich, aber nur bedingt sicher, wenn die Angreifer Ihre Umleitung ´herausfinden und dann viel zu leichte Passwörter, wie „1234“ vorfinden. Die Sicherheit mit diesem Plugin ist also trügerisch, es sind weitere Maßnahmen notwendig. Das Plugin ist kostenlos, sehr gut bewertet und wird von Anbieter seit Jahren stets aktualisiert. Über eine Million Nutzer sprechen für seine Popularität.

Sicherheitsrelevante Dateien mit WP Hide & Security Enhancer verbergen

Mit dem Plugin WP Hide & Security Enhancer können Sie schon deutlich mehr vor Angreifern verstecken, als mit dem oben genannte WPS Hide Log-in. Damit meine ich nicht nur den üblichen WordPress Zugang zum Dashboard, sondern viele weitere Dateien. Deshalb gefällt es das Plugin mir schon wesentlich besser.
Die Angreifer kennen natürlich nicht nur den Weg zum WordPress-Zugang, sondern auch die Standard-Pfade zu den Dateien des Themes oder der Plugins. Die Angreifer erkennen durch WP Hide & Security Enhancer weder WordPress noch wo sich andere wichtige Dateien befinden. Damit sorgt das Plugin schon für eine ordentliche WordPress Sicherheit. An die oben genannten WordPress Security Komplettlösungen kommt es trotzdem nicht ganz ran, weil es nur versteckt aber nicht abwehrt. Das Plugin ist kostenlos, hat über 80.000 Installationen und ist meistens gut bewertet.

Autor ist Gilbert Röhrborn.
Inhaber und Gründer der Berliner Webagentur wtm-online. Ausgebildeter SEO Professional & SEM Manager und Webanalyst.