Vorheriger Artikel Nächster Artikel

WordPress-Sicherheit: Diese Plugins schützen deine Website

Das Thema WordPress-Sicherheit haben viele Website-Betreiber vor dem Hintergrund der aktuellen Angriffswelle derzeit ganz oben auf ihrer Agenda. Aus diesem Grund haben wir einige Plugins zusammen getragen, mit denen man seine WordPress-Installation sowohl nach Außen als auch intern absichern kann.

WordPress-Sicherheit: Diese Plugins schützen deine Website
WordPress im Fadenkreuz (Quelle: Cloudflare)

WordPress ist unter anderem so beliebt, weil das System einfach ist – es ist einfach, mit schnell eine Website aufzusetzen; es ist einfach, mit WordPress Inhalte online zu stellen, und es ist einfach, WordPress zu hacken. Zumindest, wenn der entsprechende Betreiber davon ausgeht, dass es nach der Installation keinerlei weiterer Sicherheitsmaßnahmen (wie zum Beispiel das Einspielen von Updates oder das Ändern des Admin-Usernamen) bedarf. Wie schlecht es bei vielen Betreibern um die WordPress-Sicherheit bestellt ist, zeigt die aktuelle Angriffswelle auf WordPress-Seiten.

Das Thema WordPress-Sicherheit ist derzeit in aller Munde. Security-Plugins können beim Schutz vor Angriffen helfen. Foto: Mirko Macari, Flickr.com. Lizenz: CC BY 2.0.
Das Thema WordPress-Sicherheit ist derzeit in aller Munde. Security-Plugins können beim Schutz vor Angriffen helfen. (Foto: Mirko Macari, Flickr.com. Lizenz: CC BY 2.0)

Generelles zur WordPress-Sicherheit

Um WordPress abzusichern, empfehlen sich einige generelle Vorgehensweisen:

  1. Sichere Passwörter verwenden
  2. Den Default-Admin-Username ändern
  3. Die Two-Step-Authentication von WordPress nutzen
  4. Master-Password für den Admin-Bereich vergeben
  5. Die aktuellste Version von WordPress nutzen
  6. Security-Plugins verwenden

WordPress-Sicherheit mit Plugins verbessern

Die Sicherheit einer Website zu gewährleisten ist eine wichtige, wenn auch keine leichte Aufgabe. Security-Plugins können dem Website-Betreiber eine Menge Arbeit bei der Absicherung abnehmen. Man sollte bei der Wahl der Plugins stets beachten, dass diese von einer vertrauenswürdigen Quelle kommen. Die Wahl eines oder mehrerer geeigneter Security-Plugins kann den weniger versierten Betreiber einer WordPress-Seite überfordern, denn Plugins gibt es wirklich zu Hauf.

Anti Malware

wordpress-sicherheit antimalware

Dieses durchsucht die WordPress-Installation nach Malware und Viren. Anti Malware unterstützt den Nutzer darüber hinaus bei der Beseitigung dieser Schädlinge.

AntiVirus

wordpress-sicherheit antivirus2

Dieses Plugin soll die Website vor Exploits, Malware und Spam Injections schützen. AntiVirus scannt die installierten Plugins auf der Suche nach diesen Schädlingen. Zu den Features gehören unter anderem Alerts in der Admin-Leiste, tägliche Scans mit Mail-Benachrichtigung und eine Whitelist.

Bad Behavior

wordpress-sicherheit badbehavior

Das PHP-basierte Plugin Bad Behavior eignet sich, um Link-Spam zu blockieren. Dabei fungiert das Plugin quasi als Torwächter, der Spammer daran hindern soll, ihren Müll überhaupt auszuliefern. Nach Angabe der Entwickler hindert Bad Behavior Spammer oft sogar am Lesen der Seite.

Better WP Security

wordpress-sicherheit betterwpsec

Diese All-in-One-Lösung kombiniert eine Reihe von Sicherheitsfeatures, um möglichst viele Sicherheitslöcher zu stopfen. Better WP Security setzt kein besonders großes Vorwissen voraus und eignet sich somit auch für weniger versierte Nutzer. Das Plugin bietet aber auch diverse Features für fortgeschrittene Nutzer.

BulletProof Security

wordpress-sicherheit bulletproof

BulletProof Security schützt vor diversen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Mit dem Plugin lassen sich unter anderem wp-config.php, bb-config.php, readme.html und einige weitere Dateien schützen. Viele weitere Features wie das Logging von HTTP-Zugriffen oder auch unterschiedliche Sicherheitsprüfungen machen dieses Plugin zu einer All-in-One-Lösung.

Email Encoder Bundle

wordpress-sicherheit emailencoder

Email Encoder verschlüsselt Mailto-Links und E-Mail-Adressen, die sich im Klartext auf der Website befinden. Auf diese Weise sollen Spambots daran gehindert werden, an die Adressen zu kommen.

Limit Login Attempts

wordpress-sicherheit limitlogin

Mit diesem Plugin lässt sich die Anzahl der Login-Versuche eines Nutzers beschränken. Standardmäßig lässt WordPress nämlich unbegrenzt viele Anmeldeversuche zu und öffnet damit Brute-Force-Angriffen Tür und Tor.

One Time Password

wordpress-sicherheit onetime

Wie der Name bereits verrät ermöglicht One Time Password den Login mit Passwörtern, die nur für eine Sitzung gültig sind. Das Plugin eignet sich besonders für Website-Betreiber, die sich von fremden Rechnern einloggen müssen und vor Keyloggern schützen wollen.

Security Ninja

Mit diesem Plugin kann man seine WordPress-Installation rund 30 Tests unterziehen. Dazu gehört auch ein exemplarischer Brute-Force-Angriff. Security Ninja überprüft unter anderem auch die Schwachstellen der Website und bietet einen Koffer an Gegenmaßnahmen.

ThreeWP Activity Monitor

wordpress-sicherheit threewp

Dieses Plugin informiert den Seitenbetreiber darüber, was Nutzer der Seite so treiben. ThreeWP Activity Monitor informiert unter anderem über erfolgreiche und gescheiterte Anmeldeversuche, angelegte Seiten und Posts, Kommentare, Änderungen an Passwörtern, Neuregistrierungen und gelöschte Nutzer.

User Role Editor

wordpress-sicherheit userrole

Mit diesem Plugin kann man auf einfache Weise die Berechtigungen unterschiedlicher Nutzergruppen bearbeiten.

WebsiteDefender WordPress Security

wordpress-sicherheit defender

Auch diese All-in-One-Lösung überwacht die eigene Website in Bezug auf mögliche Sicherheitsrisiken und informiert den Nutzer über Lösungen der potenziellen Probleme. Zu den zahlreichen Features zählen auch ein Passwortgenerator und ein Datenbank-Tool, mit dessen Hilfe sich die WordPress-Datenbanken automatisch umbenennen lassen können, um Zero-Day-Angriffe abzuwenden.

WordPress File Monitor Plus

wordpress-sicherheit filemonitor

Dieses Plugin überwacht die WordPress-Installation und hält dabei Ausschau nach hinzugefügten, gelöschten und geänderten Dateien. Über entsprechende Veränderungen kann man sich via E-Mail informieren lassen.

WP Update Notifier

wordpress-sicherheit updatenotifier

Nicht nur WordPress, sondern auch Plugins und Themes sollte man stets auf dem aktuellen Stand halten. Dieses Plugin informiert den Nutzer per Mail über zur Verfügung stehende Updates. Damit eignet sich WP Update Notifier besonders für Seitenbetreiber, die sich nicht regelmäßig als Admin am Backend anmelden.

Empfehlenswerte Plugins

Neben den hier vorgestellten Security-Plugins gibt es noch eine ganze Menge weiterer Sicherheitshelfer für WordPress. Nutzer, die sich nicht regelmäßig mit ihrer WordPress-Installation beschäftigen, sollten zumindest eine kleine Auswahl installieren. So bietet sich ein Plugin wie der WP Update Notifier an, um sein System immer auf dem neuesten Stand zu halten. Auch das Plugin Limit Login Attempts kann nur wärmstens empfohlen werden, um sein System sicherer zu machen. Ein Scanner für Malware sollte auch Teil der WordPress-Installation sein. Ein Blick auf All-in-One-Lösungen wie Security Ninja oder BulletProof Security kann sich darüber hinaus für viele Nutzer ebenfalls lohnen.

Welche empfehlenswerte Security-Plugins, die nicht in unserer Liste enthalten sind, nutzt ihr?

Weiterführende Links

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von Martin am 16.04.2013 (13:55Uhr)

    Ich kann noch Wordfence Security empfehlen. Es deckt fast den ganzen Bereich der oben aufgeführten Funktionen alleine ab und ist zudem noch multisite-kompatibel.

    Antworten Teilen
  2. von Micha am 16.04.2013 (13:59Uhr)

    Ein kostenpflichtiges Plugin, jedoch sehr gut: Hide My WP. Lässt die Webseite nach aussen einfach nicht nach Wordpress aussehen (Quellcode, Login-URLs, typische Footprints...).

    Antworten Teilen
  3. von Sébastien Bonset am 16.04.2013 (14:05Uhr)

    Vielen Dank für die Ergänzungen soweit!

    Gino Cremer, das Plugin "Gesunder Menschenverstand" wird ebenfalls im Artikel genannt - recht weit oben sogar ;)

    Antworten Teilen
  4. von Mischa am 16.04.2013 (14:11Uhr)

    Ein interessantes Plugin auf das ich vor ein paar Wochen gestoßen bin, nennt sich "Google Authenticator". Kleine Spielerei, die Wordpress ein wenig sicherer macht.

    Antworten Teilen
  5. von Tobias am 16.04.2013 (16:03Uhr)

    Schade das die typischen CMS nicht einfach Dinge wie einen variablen Tabellen-Präfix, beliebige Admin-ID, sicheren Admin-Benutzernamen und flexible Ordnernamen für das Backend von Haus aus bieten. Dazu noch ein Log-System das fehlerhafte Logins, Seitenanfragen und Übermittlungen protokolliert und bei zu häufigen Vorkommen die Verursacher aussperrt. Das würde solche standardisierte Angriffswellen und die typischen Script Kiddie schon einmal aufhalten.

    Antworten Teilen
  6. von Marco am 16.04.2013 (19:13Uhr)

    Authy ist ein Plugin, das euer Wordpress-Blog mit einer Zwei-Faktor-Authentifizierung schützt.

    Antworten Teilen
  7. von manoftaste.de am 17.04.2013 (19:27Uhr)

    Danke für den Artikel. Muss gestehen, dass ich auch einige Zeit als "admin" und einem Wort aus dem Wörterbuch unterwegs war, Anfängerfehler... habe das nach Bekanntwerden der Angriffswelle natürlich sofort geändert.

    Betreff der Plugins, man kann es als kleiner Firmenblog natürlich auch übertreiben, denke dass man mit einem neuen Benutzernamen, starkem Passwort und vielleicht "Limit Login Attempts" schon ganz gut aufgestellt ist. Unentbehrlich ist m.e. natürlich auch ein SPAM-Filter, ich benutze seit längerem "Antispam Bee" und bin sehr zufrieden.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Plugin
Von Jetpack bis Wordfence: Die 10 beliebtesten WordPress-Plugins
Von Jetpack bis Wordfence: Die 10 beliebtesten WordPress-Plugins

Ein Baustein im Erfolgskonzept von WordPress ist die hohe Flexibilität, die durch die Erweiterung des Systems mit Plugins erzielt werden kann. Die zehn beliebtesten WordPress-Plugins haben wir hier … » weiterlesen

WordPress: Auf diese Plugins und Themes setzen die größten WP-Seiten im Netz
WordPress: Auf diese Plugins und Themes setzen die größten WP-Seiten im Netz

20,9 Prozent der 500.000 größten Webseiten der Welt setzen WordPress ein. Wir verraten euch, welche Plugins und Themes sie verwenden. » weiterlesen

WordPress-Bildergalerien: Die 10 schicksten Gallery-Plugins für WordPress
WordPress-Bildergalerien: Die 10 schicksten Gallery-Plugins für WordPress

Moderne Blogs bieten ihren Lesern nicht nur interessante Textbeiträge, sondern binden auch immer mehr multimediale Inhalte ein. Das trifft neben Videos vor allem auf Bilder zu. Zwar verfügt … » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 36 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen