Wenn es um das Thema Sicherheit geht, werden gerne ein paar Kosten eingespart. Dabei ist es auch vollkommen egal, ob es sich um Back-ups handelt, eine Firewall oder Absicherungen auf Code-Basis. Wann immer es um Sicherheit geht, geht es nämlich immer auch um Geld und das möchte kaum jemand investieren. Schließlich spielt Sicherheit in der Regel erst dann eine Rolle, wenn es schon zu spät ist.
Wer schon einmal einen WordPress-Hack oder einen Hack im Allgemeinen erlebt hat, der wird die Sache vermutlich ein wenig anders sehen. Denn im Grunde ist es gar nicht so schwierig, in ein System wie WordPress einzudringen, dafür besitzt es einfach zu wenige Absicherungen und durch Plugins und Themes meist auch automatisch eine Menge Sicherheitslücken.
Wer Abhilfe schaffen möchte, kann ein WordPress Security Plugin verwenden. Die kosten allerdings meist eine Kleinigkeit, so ist das eben mit der Sicherheit, doch dafür bewahren sie euch vor vielen potenziellen Angriffsarten und protokollieren meist auch sämtliche Zugriffe oder Vorkommnisse, sodass ihr auf den ersten Blick erkennen könnt, wenn euer WordPress Blog entsprechend attackiert wird. Hier stellen wir euch nun die besten davon ein wenig genauer vor.
Ein paar grundlegende Security Tipps für den Start
Bevor wir jetzt in das Thema der Security Plugins einsteigen, sollten wir zunächst über grundlegende Sicherheitsmaßnahmen sprechen, die jeder von euch sofort umsetzten kann. Nein, eigentlich sogar umsetzten muss, deshalb möchten wir sie auch gleich am Anfang erwähnen.
Denn natürlich sind viele Kleinigkeiten auch schon ohne zusätzliche Erweiterungen oder Kosten möglich, wenn man denn weiß wie. Genau das erklären wir euch in diesem Abschnitt und geben euch einige praktische Tipps und Tricks.
Updates immer sofort installieren: WordPress ist sehr populär und mit dieser Popularität geht einher, dass es viele verwenden. Weil dem so ist, werden Sicherheitslücken bei Bekanntwerden in der Regel sofort massiv ausgenutzt, weshalb es umso wichtiger erscheint, herausgegebene Updates sofort und zeitnah zu installieren. Wer wartet, wird fast immer das Ziel von Angreifern. Wir selbst haben das mal getestet und festgestellt, dass sofort bei dem Release eines Updates und dem Bekanntwerden der Bugfixes, massive Angriffe auf genau diese offengelegte Sicherheitslücken erfolgen. Vollkommen automatisiert, auf alles, was irgendwie WordPress nutzt.
Admin umbenennen: Der Admin sollte bei WordPress immer umbenannt werden. Vor allem alte Blogs haben häufig noch den Nutzernamen »Admin«, der damals Standard war. Heute wissen die Anwender es besser, denn auch der Nutzername »Admin« wird natürlich automatisch genutzt, weil er so oft verwendet wird.
Langes und sicheres Passwort verwenden: Es klingt wie der älteste Tipp der Welt und doch setzten noch viel zu viele Menschen auf kurze, einprägsame, logische Passwörter. Die können Freunde und Verwandte fast schon erraten, vor allem sind sie aber niemals sicher. Tippt zufällig Zahlen und Buchstaben ein. Wählt Kleinschreibung, Großschreibung und setzt hier und da ein Sonderzeichen. Nur solche vollkommen zufällig und ohne Hintergedanken generierten Passwörter sind wirklich sicher. Alle anderen stehen meist schon in irgendeiner Passwortliste.
Back-ups erstellen: Sollte es mal zu einem Hack kommen, ist es unglaublich wichtig, saubere Datensätze zu besitzen. Regelmäßige Back-ups sorgen dafür, dass ihr hier auf Nummer sichergeht und entsprechend Sicherheitskopien aufspielen könnt, sollte doch mal etwas schiefgehen. Back-ups sind oft mühsam anzulegen, umso wichtiger sind sie im Ernstfall allerdings auch.
Verzeichnisschutz einrichten: Extrem effektiv ist es, das komplette Backend via Verzeichnisschutz abzusperren. Dann muss, nur um auf das Log-in zugreifen zu können, ein serverseitiges Passwort eingegeben werden. Selbiges funktioniert natürlich nur dann, wenn ihr lediglich einen einzelnen Admin habt bzw. keine Registrierungen zulasst. Eine entsprechende .htpasswd könnt ihr über diesen Generator erzeugen.
Doch selbst wenn ihr auf all das achtet, euch bestmöglich schützt, eine .htaccess Firewall einbaut oder ähnliches umsetzt – passieren kann trotzdem jederzeit etwas. Genau das sollen die Security Plugins für WordPress verhindern, die bei der Sicherheit noch einen Schritt weiter gehen und das gesamte Content Management System vor Angreifern schützen.
Die wichtigsten Security Plugins für WordPress
Für eine grundlegende Sicherheit wurde mit den Tipps von oben bereits gesorgt. Ihr verwendet lange Passwörter, schützt euch mit einigen zusätzlichen Maßnahmen und sollte dann doch mal etwas passieren, könnt ihr jederzeit ein funktionierendes Back-up einspielen. Super! Das allein ist schon einmal viel Wert.
Natürlich schützt es euch nicht vor bösartigen Attacken, die gezielt euren Blog attackieren. Das kann nur mit etwas mehr Anstrengung gewährleistet werden, nämlich mit einem WordPress Security Plugin. Welche es gibt bzw. welche wir euch empfehlen können, das möchten wir euch in diesem Abschnitt zeigen.
Wordfence (Unsere Top-Empfehlung)
Es gibt viele Firewalls für WordPress, doch nur wenige sind so durchdacht und professionell angelegt wie Wordfence. Das Security Plugin liefert eine starke Firewall und einen Malware Scanner, sodass euch auf eurem Blog kein Sicherheitsrisiko mehr entgehen wird. Außerdem hat es viele weitere Zusatzfunktionen, wie eine hochwertige Zwei-Faktor-Authentifizierung oder kleine und größere Tweaks, um die Sicherheit in WordPress noch weiter zu erhöhen.
Da eine Firewall nur dann funktioniert, wenn sie beständig verbessert, erweitert und angepasst wird, kostet Wordfence in der Premium-Version einen monatlichen Beitrag. Das ist bei Firewalls leider so üblich, da sie eben wie erwähnt weiterentwickelt werden müssen. Nicht nur einmal, sondern beständig und Monat für Monat. Das funktioniert bei Wordfence alles hervorragend und die Firewall ist ihr Geld deshalb tatsächlich auch wert. Für uns ist es ganz klar eines der besten Security Plugins für WordPress. Wir können es euch nur empfehlen und verwenden es auch selbst. Unsere Top-Empfehlung lautet daher Wordfence zu installieren.
NinjaFirewall
Preiswerter aber auch deutlich leistungsschwächer ist die NinjaFirewall. Sie erfüllt dennoch ihren Zweck, indem sie sich quasi vor den eigentlichen WordPress Blog setzt. Jeder der nun auf euren Blog zugreifen möchte, wird von der Firewall kurz gecheckt. Alles, was dabei komisch aussieht, muss draußen bleiben.
Die NinjaFirewall prüft vor allem URL-Parameter, Brute-Force-Attacken und Zugriffe auf Dateien. Die Firewall ist im Vergleich mit Wordfence eher rudimentär, erfüllt aber durchaus eine wichtige Aufgabe. Auch hier kostet die erweiterte Funktion einen Beitrag, allerdings nur pro Jahr und Domain. Alles etwas günstiger, kleiner und damit eine preiswerte Alternative zu Wordfence. Nicht ganz so stark, aber immerhin eine solide Grundabsicherung.
Host Header Injection Fix
Es gibt in WordPress eine Sicherheitslücke, die es schon sehr lange gibt, die aber nicht konkret genug ist, um etwas daran zu fixen. Diskutiert wurde sie über die Jahre des Öfteren, nur eben nie vollständig behoben. Die Sicherheitslücke betrifft E-Mail Benachrichtigungen (Registrierung, Passwort zurücksetzten etc.), die unter Umständen abgefangen werden können, um sich Zugriff zum Blog zu verschaffen. WordPress Profi Jeff Starr hat daraufhin einen eigenen Fix entwickelt. Den Header Injection Fix bietet er als Plugin an, für alle die auf Nummer sicher gehen möchten.
Inactive Logout
Wer des Öfteren mal bei Freunden, im Café oder im Urlaub auf das Backend seines WordPress Blogs zugreift, der sollte es entsprechend absichern. Nicht umsonst ist es bei Banking Apps und online Banking so, dass diese den Nutzer nach einigen Minuten automatisch ausloggen. Das geht in WordPress auch.
Mit dem Plugin Inactive Logout werden Admins, die längere Zeit inaktiv sind, also ganz einfach automatisch ausgeloggt. Selbiges funktioniert gut, ist simpel und effizient umgesetzt und kann den eigenen Bedürfnissen angepasst werden. So könnt ihr beispielsweise wählen, ob es eine Benachrichtigung geben soll und nach wie vielen Minuten der automatische Log-out stattfindet.
Limit Login Attempts
Sind die Log-in-Versuche bei WordPress nicht beschränkt, kann im Grunde ständig ein Brute-Force-Angriff auf den Log-in erfolgen. Das bedeutet, dass wild Passwortlisten abgefragt oder durchprobiert werden, in der Hoffnung darauf, dass eines davon funktioniert.
Solche Brute-Force-Attacken können aber durchaus verhindert werden, indem sich das Log-in nach mehreren Fehleingaben einfach für einige Zeit lang sperrt. So etwas geht mit Limit Login Attempts. Das Plugin ist sehr einfach und somit die bestmögliche Lösung für alle, die sich eher wenig mit Firewalls und Sicherheitseinstellungen herumschlagen möchten.
Two Factor Authentication
Wer ein großes Plugin wie Wordfence verwendet, bekommt die Zwei-Faktor-Authentifizierung natürlich bereits inklusive. Alle anderen müssen ein zusätzliches Plugin installieren. In diesem Fall würden wir euch Two Factor Authentication empfehlen, eine Erweiterung für WordPress, die die Funktion schnell und einfach hinzufügt.
Das Plugin hat viele individuelle Einstellungsmöglichkeiten und arbeitet problemlos mit dem Google Authenticator zusammen. Also eine umfangreiche und sehr gute Möglichkeit, innerhalb von WordPress die Zwei-Faktor-Authentifizierung einzuführen.
Warum Security Plugins so wichtig sind
Wir erleben es immer wieder, dass WordPress-Nutzer genervt von Barrieren sind, die durch Security Plugins auftreten. Andere scheuen einfach die Mehrkosten, denn Sicherheit ist im Grunde unsichtbar, einen echten und sofort greifbaren Mehrwert gibt es demnach nicht. Weder für den Admin, noch für die Besucher des Blogs. Sicherheit ist also schwer zu vermitteln, deshalb aber nicht minder wichtig.
Eine kleine Anekdote hilft vielleicht dabei zu verstehen, warum Sicherheit so wichtig ist. Vor vielen, wirklich vielen Jahren, als WordPress noch recht neu war, wurde mir mal ein Blog gehackt. Daraufhin spielte ich ein Back-up ein, stellte aber fest, dass der Schaden schon lange vorher stattfand und nun die Datenbank verseucht war. Also begann ein Kampf darum, den Schadcode zu erkennen, zu filtern und sauber zu entfernen. Das hat viel Zeit, Geld und jede Menge Nerven gekostet und am Ende habe ich trotzdem einen Teil des Blogs unwiderruflich verloren. Seit diesem Vorfall ist das Erste, was ich installiere, eine Firewall, dicht gefolgt von einem Back-up-System.
Was wir damit sagen möchten: Security Plugins zahlen sich nie aus, indem sie euch sofort etwas bringen. Sie zahlen sich aus, weil sie dafür sorgen, dass es nie zu großen Problemen kommen wird. Wer das einmal erlebt hat, versteht es, alle anderen sollten unsere Warnung ernst nehmen. Denn hinterher ist man zwar immer schlauer, doch hinterher ist es für ein Security Plugin eben auch schon zu spät.
by A-DIGITAL one
Unsere Herzen schlagen Digital, unsere Projekte leben Digital, unsere Kunden lieben und schätzen Digital! Die einzigartige digitale Performance, die wir seit 1999 an den Tag legen.
Mit unserem Team von über 45 Experten begleiten wir Sie auf Ihrem Weg der digitalen Transformation. Mit klaren Strategien, persönlicher Betreuung und exzellenter Ausführung entwickeln wir, innovativ und individuell, maßgeschneiderte digitale Lösungen, die performen und verkaufen können.