WordPress ist unter anderem so beliebt, weil das System einfach ist – es ist einfach, mit WordPress schnell eine Website aufzusetzen; es ist einfach, mit WordPress Inhalte online zu stellen, und es ist einfach, WordPress zu hacken. Zumindest, wenn der entsprechende Betreiber davon ausgeht, dass es nach der Installation keinerlei weiterer Sicherheitsmaßnahmen (wie zum Beispiel das Einspielen von Updates oder das Ändern des Admin-Usernamen) bedarf. Wie schlecht es bei vielen Betreibern um die WordPress-Sicherheit bestellt ist, zeigt die aktuelle Angriffswelle auf WordPress-Seiten.

Das Thema WordPress-Sicherheit ist derzeit in aller Munde. Security-Plugins können beim Schutz vor Angriffen helfen. (Foto: Mirko Macari, Flickr.com. Lizenz: CC BY 2.0)

Um WordPress abzusichern, empfehlen sich einige generelle Vorgehensweisen:

1. Sichere Passwörter verwenden
2. Den Default-Admin-Username ändern
3. Die Two-Step-Authentication von WordPress nutzen
4. Master-Password für den Admin-Bereich vergeben
5. Die aktuellste Version von WordPress nutzen
6. Security-Plugins verwenden

Die Sicherheit einer Website zu gewährleisten ist eine wichtige, wenn auch keine leichte Aufgabe. Security-Plugins können dem Website-Betreiber eine Menge Arbeit bei der Absicherung abnehmen. Man sollte bei der Wahl der Plugins stets beachten, dass diese von einer vertrauenswürdigen Quelle kommen. Die Wahl eines oder mehrerer geeigneter Security-Plugins kann den weniger versierten Betreiber einer WordPress-Seite überfordern, denn Plugins gibt es wirklich zu Hauf.

Dieses Plugin durchsucht die WordPress-Installation nach Malware und Viren. Anti Malware unterstützt den Nutzer darüber hinaus bei der Beseitigung dieser Schädlinge.

Dieses Plugin soll die Website vor Exploits, Malware und Spam Injections schützen. AntiVirus scannt die installierten Plugins auf der Suche nach diesen Schädlingen. Zu den Features gehören unter anderem Alerts in der Admin-Leiste, tägliche Scans mit Mail-Benachrichtigung und eine Whitelist.

Das PHP-basierte Plugin Bad Behavior eignet sich, um Link-Spam zu blockieren. Dabei fungiert das Plugin quasi als Torwächter, der Spammer daran hindern soll, ihren Müll überhaupt auszuliefern. Nach Angabe der Entwickler hindert Bad Behavior Spammer oft sogar am Lesen der Seite.

Diese All-in-One-Lösung kombiniert eine Reihe von Sicherheitsfeatures, um möglichst viele Sicherheitslöcher zu stopfen. Better WP Security setzt kein besonders großes Vorwissen voraus und eignet sich somit auch für weniger versierte Nutzer. Das Plugin bietet aber auch diverse Features für fortgeschrittene Nutzer.

BulletProof Security schützt vor diversen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Mit dem Plugin lassen sich unter anderem wp-config.php, bb-config.php, readme.html und einige weitere Dateien schützen. Viele weitere Features wie das Logging von HTTP-Zugriffen oder auch unterschiedliche Sicherheitsprüfungen machen dieses Plugin zu einer All-in-One-Lösung.

Email Encoder verschlüsselt Mailto-Links und E-Mail-Adressen, die sich im Klartext auf der Website befinden. Auf diese Weise sollen Spambots daran gehindert werden, an die Adressen zu kommen.

Mit diesem Plugin lässt sich die Anzahl der Login-Versuche eines Nutzers beschränken. Standardmäßig lässt WordPress nämlich unbegrenzt viele Anmeldeversuche zu und öffnet damit Brute-Force-Angriffen Tür und Tor.

Wie der Name bereits verrät ermöglicht One Time Password den Login mit Passwörtern, die nur für eine Sitzung gültig sind. Das Plugin eignet sich besonders für Website-Betreiber, die sich von fremden Rechnern einloggen müssen und vor Keyloggern schützen wollen.

Mit diesem Plugin kann man seine WordPress-Installation rund 30 Tests unterziehen. Dazu gehört auch ein exemplarischer Brute-Force-Angriff. Security Ninja überprüft unter anderem auch die Schwachstellen der Website und bietet einen Koffer an Gegenmaßnahmen.

Dieses Plugin informiert den Seitenbetreiber darüber, was Nutzer der Seite so treiben. ThreeWP Activity Monitor informiert unter anderem über erfolgreiche und gescheiterte Anmeldeversuche, angelegte Seiten und Posts, Kommentare, Änderungen an Passwörtern, Neuregistrierungen und gelöschte Nutzer.

Mit diesem Plugin kann man auf einfache Weise die Berechtigungen unterschiedlicher Nutzergruppen bearbeiten.

Auch diese All-in-One-Lösung überwacht die eigene Website in Bezug auf mögliche Sicherheitsrisiken und informiert den Nutzer über Lösungen der potenziellen Probleme. Zu den zahlreichen Features zählen auch ein Passwortgenerator und ein Datenbank-Tool, mit dessen Hilfe sich die WordPress-Datenbanken automatisch umbenennen lassen können, um Zero-Day-Angriffe abzuwenden.

Dieses Plugin überwacht die WordPress-Installation und hält dabei Ausschau nach hinzugefügten, gelöschten und geänderten Dateien. Über entsprechende Veränderungen kann man sich via E-Mail informieren lassen.

Nicht nur WordPress, sondern auch Plugins und Themes sollte man stets auf dem aktuellen Stand halten. Dieses Plugin informiert den Nutzer per Mail über zur Verfügung stehende Updates. Damit eignet sich WP Update Notifier besonders für Seitenbetreiber, die sich nicht regelmäßig als Admin am Backend anmelden.

Neben den hier vorgestellten Security-Plugins gibt es noch eine ganze Menge weiterer Sicherheitshelfer für WordPress. Nutzer, die sich nicht regelmäßig mit ihrer WordPress-Installation beschäftigen, sollten zumindest eine kleine Auswahl installieren. So bietet sich ein Plugin wie der WP Update Notifier an, um sein System immer auf dem neuesten Stand zu halten. Auch das Plugin Limit Login Attempts kann nur wärmstens empfohlen werden, um sein System sicherer zu machen. Ein Scanner für Malware sollte auch Teil der WordPress-Installation sein. Ein Blick auf All-in-One-Lösungen wie Security Ninja oder BulletProof Security kann sich darüber hinaus für viele Nutzer ebenfalls lohnen.

Welche empfehlenswerte Security-Plugins, die nicht in unserer Liste enthalten sind, nutzt ihr?

• WordPress-Sicherheit Massive Angriffswelle – so schützt du dich – t3n News
• WordPress-Sicherheit: Initiative für den Admin-Schutz – Playground
• Snitch: WordPress-Plugin überwacht ausgehende Verbindungen – t3n News
• Sammlung von über 100 WordPress-Themes kurz vorgestellt – t3n News