Anzeige
Anzeige
Hardware & Gadgets
Artikel merken

WordPress-Sicherheit: Diese Plugins schützen deine Website

Das Thema WordPress-Sicherheit haben viele Website-Betreiber vor dem Hintergrund der aktuellen Angriffswelle derzeit ganz oben auf ihrer Agenda. Aus diesem Grund haben wir einige Plugins zusammen getragen, mit denen man seine WordPress-Installation sowohl nach Außen als auch intern absichern kann.

Von Sébastien Bonset
4 Min. Lesezeit
Anzeige
Anzeige
WordPress im Fadenkreuz (Quelle: Cloudflare)

WordPress ist unter anderem so beliebt, weil das System einfach ist – es ist einfach, mit WordPress schnell eine Website aufzusetzen; es ist einfach, mit WordPress Inhalte online zu stellen, und es ist einfach, WordPress zu hacken. Zumindest, wenn der entsprechende Betreiber davon ausgeht, dass es nach der Installation keinerlei weiterer Sicherheitsmaßnahmen (wie zum Beispiel das Einspielen von Updates oder das Ändern des Admin-Usernamen) bedarf. Wie schlecht es bei vielen Betreibern um die WordPress-Sicherheit bestellt ist, zeigt die aktuelle Angriffswelle auf WordPress-Seiten.

Das Thema WordPress-Sicherheit ist derzeit in aller Munde. Security-Plugins können beim Schutz vor Angriffen helfen. (Foto: Mirko Macari, Flickr.com. Lizenz: CC BY 2.0)

Generelles zur WordPress-Sicherheit

Anzeige
Anzeige

Um WordPress abzusichern, empfehlen sich einige generelle Vorgehensweisen:

  1. Sichere Passwörter verwenden
  2. Den Default-Admin-Username ändern
  3. Die Two-Step-Authentication von WordPress nutzen
  4. Master-Password für den Admin-Bereich vergeben
  5. Die aktuellste Version von WordPress nutzen
  6. Security-Plugins verwenden

WordPress-Sicherheit mit Plugins verbessern

Die Sicherheit einer Website zu gewährleisten ist eine wichtige, wenn auch keine leichte Aufgabe. Security-Plugins können dem Website-Betreiber eine Menge Arbeit bei der Absicherung abnehmen. Man sollte bei der Wahl der Plugins stets beachten, dass diese von einer vertrauenswürdigen Quelle kommen. Die Wahl eines oder mehrerer geeigneter Security-Plugins kann den weniger versierten Betreiber einer WordPress-Seite überfordern, denn Plugins gibt es wirklich zu Hauf.

Anzeige
Anzeige

Anti Malware

wordpress-sicherheit antimalware

Anzeige
Anzeige

Dieses Plugin durchsucht die WordPress-Installation nach Malware und Viren. Anti Malware unterstützt den Nutzer darüber hinaus bei der Beseitigung dieser Schädlinge.

AntiVirus

wordpress-sicherheit antivirus2

Anzeige
Anzeige

Dieses Plugin soll die Website vor Exploits, Malware und Spam Injections schützen. AntiVirus scannt die installierten Plugins auf der Suche nach diesen Schädlingen. Zu den Features gehören unter anderem Alerts in der Admin-Leiste, tägliche Scans mit Mail-Benachrichtigung und eine Whitelist.

Bad Behavior

wordpress-sicherheit badbehavior

Das PHP-basierte Plugin Bad Behavior eignet sich, um Link-Spam zu blockieren. Dabei fungiert das Plugin quasi als Torwächter, der Spammer daran hindern soll, ihren Müll überhaupt auszuliefern. Nach Angabe der Entwickler hindert Bad Behavior Spammer oft sogar am Lesen der Seite.

Anzeige
Anzeige

Better WP Security

wordpress-sicherheit betterwpsec

Diese All-in-One-Lösung kombiniert eine Reihe von Sicherheitsfeatures, um möglichst viele Sicherheitslöcher zu stopfen. Better WP Security setzt kein besonders großes Vorwissen voraus und eignet sich somit auch für weniger versierte Nutzer. Das Plugin bietet aber auch diverse Features für fortgeschrittene Nutzer.

BulletProof Security

wordpress-sicherheit bulletproof

Anzeige
Anzeige

BulletProof Security schützt vor diversen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Mit dem Plugin lassen sich unter anderem wp-config.php, bb-config.php, readme.html und einige weitere Dateien schützen. Viele weitere Features wie das Logging von HTTP-Zugriffen oder auch unterschiedliche Sicherheitsprüfungen machen dieses Plugin zu einer All-in-One-Lösung.

Email Encoder Bundle

wordpress-sicherheit emailencoder

Email Encoder verschlüsselt Mailto-Links und E-Mail-Adressen, die sich im Klartext auf der Website befinden. Auf diese Weise sollen Spambots daran gehindert werden, an die Adressen zu kommen.

Anzeige
Anzeige

Limit Login Attempts

wordpress-sicherheit limitlogin

Mit diesem Plugin lässt sich die Anzahl der Login-Versuche eines Nutzers beschränken. Standardmäßig lässt WordPress nämlich unbegrenzt viele Anmeldeversuche zu und öffnet damit Brute-Force-Angriffen Tür und Tor.

One Time Password

wordpress-sicherheit onetime

Anzeige
Anzeige

Wie der Name bereits verrät ermöglicht One Time Password den Login mit Passwörtern, die nur für eine Sitzung gültig sind. Das Plugin eignet sich besonders für Website-Betreiber, die sich von fremden Rechnern einloggen müssen und vor Keyloggern schützen wollen.

Security Ninja

Mit diesem Plugin kann man seine WordPress-Installation rund 30 Tests unterziehen. Dazu gehört auch ein exemplarischer Brute-Force-Angriff. Security Ninja überprüft unter anderem auch die Schwachstellen der Website und bietet einen Koffer an Gegenmaßnahmen.

Anzeige
Anzeige

ThreeWP Activity Monitor

wordpress-sicherheit threewp

Dieses Plugin informiert den Seitenbetreiber darüber, was Nutzer der Seite so treiben. ThreeWP Activity Monitor informiert unter anderem über erfolgreiche und gescheiterte Anmeldeversuche, angelegte Seiten und Posts, Kommentare, Änderungen an Passwörtern, Neuregistrierungen und gelöschte Nutzer.

User Role Editor

wordpress-sicherheit userrole

Mit diesem Plugin kann man auf einfache Weise die Berechtigungen unterschiedlicher Nutzergruppen bearbeiten.

WebsiteDefender WordPress Security

wordpress-sicherheit defender

Auch diese All-in-One-Lösung überwacht die eigene Website in Bezug auf mögliche Sicherheitsrisiken und informiert den Nutzer über Lösungen der potenziellen Probleme. Zu den zahlreichen Features zählen auch ein Passwortgenerator und ein Datenbank-Tool, mit dessen Hilfe sich die WordPress-Datenbanken automatisch umbenennen lassen können, um Zero-Day-Angriffe abzuwenden.

WordPress File Monitor Plus

wordpress-sicherheit filemonitor

Dieses Plugin überwacht die WordPress-Installation und hält dabei Ausschau nach hinzugefügten, gelöschten und geänderten Dateien. Über entsprechende Veränderungen kann man sich via E-Mail informieren lassen.

WP Update Notifier

wordpress-sicherheit updatenotifier

Nicht nur WordPress, sondern auch Plugins und Themes sollte man stets auf dem aktuellen Stand halten. Dieses Plugin informiert den Nutzer per Mail über zur Verfügung stehende Updates. Damit eignet sich WP Update Notifier besonders für Seitenbetreiber, die sich nicht regelmäßig als Admin am Backend anmelden.

Empfehlenswerte Plugins

Neben den hier vorgestellten Security-Plugins gibt es noch eine ganze Menge weiterer Sicherheitshelfer für WordPress. Nutzer, die sich nicht regelmäßig mit ihrer WordPress-Installation beschäftigen, sollten zumindest eine kleine Auswahl installieren. So bietet sich ein Plugin wie der WP Update Notifier an, um sein System immer auf dem neuesten Stand zu halten. Auch das Plugin Limit Login Attempts kann nur wärmstens empfohlen werden, um sein System sicherer zu machen. Ein Scanner für Malware sollte auch Teil der WordPress-Installation sein. Ein Blick auf All-in-One-Lösungen wie Security Ninja oder BulletProof Security kann sich darüber hinaus für viele Nutzer ebenfalls lohnen.

Welche empfehlenswerte Security-Plugins, die nicht in unserer Liste enthalten sind, nutzt ihr?

Weiterführende Links

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
27 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Martin

Ich kann noch Wordfence Security empfehlen. Es deckt fast den ganzen Bereich der oben aufgeführten Funktionen alleine ab und ist zudem noch multisite-kompatibel.

Antworten
Micha

Ein kostenpflichtiges Plugin, jedoch sehr gut: Hide My WP. Lässt die Webseite nach aussen einfach nicht nach WordPress aussehen (Quellcode, Login-URLs, typische Footprints…).

Antworten
Sébastien Bonset

Vielen Dank für die Ergänzungen soweit!

Gino Cremer, das Plugin „Gesunder Menschenverstand“ wird ebenfalls im Artikel genannt – recht weit oben sogar ;)

Antworten
Mischa

Ein interessantes Plugin auf das ich vor ein paar Wochen gestoßen bin, nennt sich „Google Authenticator“. Kleine Spielerei, die WordPress ein wenig sicherer macht.

Antworten
Tobias

Schade das die typischen CMS nicht einfach Dinge wie einen variablen Tabellen-Präfix, beliebige Admin-ID, sicheren Admin-Benutzernamen und flexible Ordnernamen für das Backend von Haus aus bieten. Dazu noch ein Log-System das fehlerhafte Logins, Seitenanfragen und Übermittlungen protokolliert und bei zu häufigen Vorkommen die Verursacher aussperrt. Das würde solche standardisierte Angriffswellen und die typischen Script Kiddie schon einmal aufhalten.

Antworten
Marco

Authy ist ein Plugin, das euer WordPress-Blog mit einer Zwei-Faktor-Authentifizierung schützt.

Antworten
Christian Schnettelker

Danke für den Artikel. Muss gestehen, dass ich auch einige Zeit als „admin“ und einem Wort aus dem Wörterbuch unterwegs war, Anfängerfehler… habe das nach Bekanntwerden der Angriffswelle natürlich sofort geändert.

Betreff der Plugins, man kann es als kleiner Firmenblog natürlich auch übertreiben, denke dass man mit einem neuen Benutzernamen, starkem Passwort und vielleicht „Limit Login Attempts“ schon ganz gut aufgestellt ist. Unentbehrlich ist m.e. natürlich auch ein SPAM-Filter, ich benutze seit längerem „Antispam Bee“ und bin sehr zufrieden.

Antworten
cripes87

Better WP Security heißt jetzt iThemes Security!

Antworten
davisbrown562

WordPress: Sicherheit von Anfang an – grundlegende Sicherheitsregeln https://blog.templatetoaster.com/hardening-wordpress-security/

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige