WordPress Sicherheits-Plugins: 9 Anzeichen, dass eines großartig ist Aktualisiert am 20. August 2024 von InMotion Hosting 9 Minuten, 50 Sekunden zum Lesen Es gibt ein Plugin für alle möglichen Funktionen: WordPress , Suchmaschinenoptimierung (SEO), Barrierefreiheit, Phil Collins-Fanatismus und sogar das Erzeugen von Einhörnern. Um bei der Sicherheit einer Website zu bleiben, gibt es viele Angriffsmöglichkeiten für Cyberkriminelle: Phishing Malware Fehlkonfiguration Schwache Passwörter Denial of Service (DoS) Schwache oder fehlende Verschlüsselung Außerdem kann dein Cyber-Risiko durch die von dir verwendeten Plugins oder durch zu viele Plugins erhöht werden. In beiden Fällen kann sich die Gesamtleistung verschlechtern und die Angriffsfläche vergrößern, also die Anzahl der Möglichkeiten, wie ein Angreifer in ein System eindringen kann. Deshalb ist es am besten, wenn du die Verwendung von Plugins sorgfältig überwachst. Installiere nur Plugins, die Funktionen ausführen, die du nicht selbst auf effizientere Weise erledigen kannst. Ein voll ausgestattetes WordPress ist eines davon. Da Einbrüche von Menschen oder automatisierten Bots durchgeführt werden können, brauchst du etwas, das dir hilft, deine Daten proaktiv zu schützen, damit du weniger Zeit damit verbringst , auf Einbruchsversuche zu reagieren. Gute Sicherheitsplugins setzen dort an, wo die Serversicherheit aufhört. Im Folgenden gehen wir darauf ein: Was WordPress Sicherheits-Plugins leisten sollten Backups Multi-Faktor-Authentifizierung (MFA) Geoblocking Anmeldeseite ändern Benutzeraufzählung verhindern Antivirus (AV) Scanning Spam-Schutz Erlaubnisse Sicherheitsinformationen und Ereignisverwaltung (SIEM) Plugin Überprüfung Ist es aktualisiert? Reputation Premium oder Frei Test in Staging Beste WordPress Sicherheits-Plugins Inhaltsverzeichnis Was WordPress Sicherheits-Plugins leisten sollten Backups Multi-Faktor-Authentifizierung (MFA) Geoblocking Anmeldeseite ändern Benutzeraufzählung verhindern Antivirus (AV) Scanning Spam-Schutz Erlaubnisse Sicherheitsinformationen und Ereignisverwaltung (SIEM) Plugin Überprüfung Ist es aktualisiert? Reputation Premium oder Frei Test in Staging Beste WordPress Sicherheits-Plugins Was WordPress Sicherheits-Plugins leisten sollten Behalte beim Lesen im Hinterkopf, dass du vielleicht nicht ein einziges Plugin findest, das all diese Dinge gut macht. Wir erklären dir, wann dies der Fall ist und welche Optionen seriös sind, aber du solltest bis zum Ende lesen, um besser zu verstehen, was für deine Bedürfnisse am besten ist. Backups Warum ist Backups an erster Stelle dieser Liste, fragst du dich? Weil nichts anderes mehr zählt, wenn ein Hacker unbefugten Zugang zu deinem System erhält. Einige Funktionen wie die Log-Analyse und das Geo-Blocking können sie ausbremsen. In den meisten Fällen ist es bei einem einzelnen Linux-Webserver jedoch besser, wenn du ein bekanntes Backup wiederherstellst und deineWordPress-Sicherheitsmaßnahmen überprüfst. Andernfalls könnten sie deine Versuche, sie zu entfernen, in Echtzeit überwachen und ihren Plan entsprechend anpassen. Die besten Backup-Plugins ermöglichen dir das: Backups manuell erstellen Vollständige WordPress herunterladen Planen Sie Backups zu Zeiten mit wenig Verkehr (normalerweise nachts) Da es bei Backups viele wichtige Aspekte gibt, ist es vielleicht besser, ein spezielles Backup-Plugin wie Total Upkeep oder UpdraftPlus zu verwenden. Backup Manager ist der einfachste Weg, deine Daten zu schützen Sei unerwarteten Website-Problemen einen Schritt voraus. Backup Manager sorgt automatisch dafür, dass deine Dateien, Datenbanken und E-Mails sicher und wiederherstellbar sind. Backup Manager holen Multi-Faktor-Authentifizierung (MFA) Rainbow-Tabellen sind Datenbanken mit Passwörtern, die man für Brute-Force-Angriffe auf Passwörter verwenden kann, um herauszufinden, wie häufig ein Passwort verwendet wird. Sie sind leicht zu finden. Das beste White-Hat-Beispiel, das ich kenne, ist HaveIBeenPwned.com (HIBP), wo du sehen kannst, bei wie vielen Angriffen deine E-Mail-Adresse, deine Domain und dein Passwort verwendet wurden. Die Zwei-Faktor-Authentifizierung (TFA) stellt sicher, dass selbst wenn jemand deinen WordPress und dein Passwort richtig errät, er Zugang zu einem zweiten Angriffsvektor benötigt, um den Angriff fortzusetzen. Das ist normalerweise ein E-Mail-Konto oder ein mobiles Gerät, das für den Empfang von zeitbasierten Einmalpasswörtern (TOTPs) eingerichtet ist. TFA / MFA hilft, wenn die Passwortstärke nicht hoch genug ist. Denke daran, dich vor MFA-Phishing-Betrug zu hüten. Geoblocking MFA ist stärker, wenn du auch Anmeldeversuche auf Basis von IP-Adresse und Geolocation blockieren kannst. Eine Firewall-Funktion, mit der du dich dort authentifizieren kannst , wo du dich aufhältst, bietet eine Alternative zu den üblichen Drei-Faktor-Authentifizierungsmethoden: Etwas, das du kennst Etwas, das du hast Etwas, das du bist Anmeldeseite ändern WordPress zielt in der Regel auf die Codes "/wp-admin" und "/wp-login" ab, da dies die Standard-Anmeldeseite ist. Mit einem guten WordPress kannst du diese Seiten und IPs, die versuchen, darauf zuzugreifen, blockieren. Dann kannst du stattdessen eine eigene, obskure Login-URL erstellen. Loginizer ist sehr beliebt, weil es sich auf diese Funktion konzentriert. WordPress können Benutzerinformationen preisgeben Benutzeraufzählung verhindern Die Benutzeraufzählung ist ein Versuch, Login-Benutzernamen herauszufinden. Am einfachsten geht das in WordPress mit Autorenseiten (/?author=[Nummer]) und der REST API. Es gibt Möglichkeiten, die Benutzeraufzählung ohne Plugins zu verhindern, daher ist diese Funktion kein Muss. Ein WordPress , das dies einfacher macht und Versuche auf eine 404-Seite umleitet, sollte jedoch in Betracht gezogen werden. Bonuspunkte gibt es, wenn das WordPress die Login-Fehlermeldung entfernt, die prüft, ob ein Benutzername existiert. Antivirus (AV) Scanning Selbst wenn du Maßnahmen zum Schutz deines PCs ergreifst, kann es sein, dass dein AV-Scanner nicht alles erfasst. Andere, die Zugang zum Hochladen von Dateien auf deine Website haben, verfügen vielleicht gar nicht über einen Dateiscanner. Ein WordPress kann deinen Server-AV-Scanner ergänzen oder sogar ersetzen, wenn er das kann: Integritätsprüfungen mit dem Datei-Änderungsmanagement durchführen (in der Regel über Prüfsumme) Verdächtige Dateien in Quarantäne stellen und WordPress reparieren Dateien ignorieren, die regelmäßig geändert werden Historie der Ergebnisse vergangener Scans anzeigen Planen Sie Scans zu Zeiten, in denen keine Backups stattfinden und die Serverlast noch gering ist Ähnlich wie bei Backups kann es von Vorteil sein, ein spezielles Scanner-Plugin wie WPScan zu installieren. Es stellt eine Verbindung zu WPvulnDB.com her, um Berichte über Schwachstellen aus verschiedenen Quellen wie Common Vulnerabilities and Exposures (CVE) zu sammeln. Spam-Schutz Kommentare, Kontaktformulare und Foren sind einfache Wege, um bösartigen Code einzubetten, wenn es keine Validierung der Dateneingabe gibt. Akismet und die nativen Optionen zur Kommentarmoderation sind gut. Die Möglichkeit, reCAPTCHA oder hCaptcha ohne ein eigenständiges Plugin hinzuzufügen: besser. Erlaubnisse Dies ist eine seltene Funktion, aber einige Plugins ermöglichen es dir, die Dateiberechtigungen für Dateien auf der Root-Ebene deiner Website anzupassen, ohne dass du dich in Secure Shell(SSH) oder cPanel. Der Vorteil dabei ist, dass du Dateien von bösen User-Agents als obligatorische Zugriffskontrolle (MAC) einschränken kannst. Sicherheitsinformationen und Ereignisverwaltung (SIEM) Schließlich sollte deine WordPress Log-Analysefunktionen enthalten, um Änderungen im Zusammenhang mit den oben genannten Funktionen zu verfolgen. Das ist etwas anderes als Webanalyse-Anwendungen und Plugins, die in erster Linie die Aktionen der Besucher auf deiner Website verfolgen. Hochverfügbarkeit (HA) bedeutet einfach, dass sie nicht vollständig fehlertolerant ist. Wenn es ein Problem auf deinem Webserver gibt, kann deine Website ausfallen. Du hast ein Problem, das behoben werden muss, wenn deine Website ständig mit dem berüchtigten WordPress ausfällt: Fehler beim Herstellen einer Datenbankverbindung Du kannst dieses Problem beheben, indem du in der Datei wp-config.php einstellst, dass die Datenbank automatisch repariert wird. Du solltest jedoch nachverfolgen, wann und wie oft dieses und ähnliche Probleme auftreten, um Muster zu erkennen, die zu Ausfallzeiten führen. So kannst du entscheiden, ob du deine Datenbank bereinigen, dein Webhosting-Angebot aktualisieren oder das Caching konfigurieren musst. Dein WordPress sollte die Möglichkeit haben, dich per E-Mail zu informieren: Als deine Website ausfiel Als es wieder hochkam Wie lange es ausgefallen ist Eine kurze Erklärung, warum es möglicherweise nicht funktioniert Je nach Fehler musst du eventuell die Caching-Einstellungen anpassen, deinen Hosting-Provider wegen DoS-Angriffen kontaktieren oder andere proaktive Maßnahmen zum Schutz deiner Daten ergreifen. Verabschiede dich von langsamen Ladezeiten und begrüße hochleistungsfähige Websites mit unseren neuen WordPress VPS-Hosting-Angeboten. Erlebe 40-mal schnellere WordPress auf speziell entwickelten Servern, die eine Betriebszeit von 99,99 % garantieren. Leistungsstarke VPS Vollständig verwaltete Unterstützung Kostenloses SSL & Dedizierte IP Erweitertes Server-Caching Verwaltetes WordPress Plugin Überprüfung Hier sind ein paar Faktoren, die du bei der Suche nach WordPress beachten solltest. Ist es aktualisiert? Wenn du dir die Seiten des WordPress ansiehst, überprüfe die Zeilen "Zuletzt aktualisiert" und "Getestet bis". Das WP Content Security Plugin ermöglicht es dir, einen CSP HTTP-Header zu erstellen. Im Januar 2021 heißt es auf der Plugin-Seite jedoch: Dieses Plugin wurde nicht mit den letzten 3 Hauptversionen von WordPress getestet. Es wird möglicherweise nicht mehr gewartet oder unterstützt und kann Kompatibilitätsprobleme haben, wenn es mit neueren Versionen von WordPress verwendet wird. Das sind potenziell drei Versionen von WordPress , und die Vorteile sind es nicht wert. In diesem Fall solltest du stattdessen das HTTP Headers Plugin verwenden. Reputation Wie viele aktive Installationen hat das Plugin? Was sagen die Bewertungen? Wie viele Themen in den Foren werden gelöst oder zumindest beantwortet? Diese Faktoren helfen dabei festzustellen, ob der Entwickler das Plugin aktiv pflegt. Premium oder Frei Wenn ein WordPress sowohl eine kostenlose als auch eine kostenpflichtige Version hat, sollte das bedeuten, dass der Entwickler gut genug bezahlt wird, um beide Versionen lange Zeit zu pflegen. Da es großartige Sicherheits-Plugins gibt, die kostenlos erhältlich sind, stellt sich die Frage: Was ist das Besondere an der kostenpflichtigen Version eines Plugins? Zu den Premium-Funktionen können gehören: Unterstützung bei der Malware-Bereinigung Unterstützung bei der Reaktion auf Vorfälle nach einem Hack Eingehende Sicherheitsüberprüfung Schnellere Updates für AV-Signaturen Dann musst du dich fragen, inwieweit du dem Entwicklungsteam deine persönlichen Informationen (PII), Kreditkartendaten und privaten Daten anvertrauen kannst. Außerdem hast du vielleicht schon ein Abonnement, das dies regelt, wie zum Beispiel die Sucuri Web Application Firewall (WAF). Test in Staging Der beste und sicherste Ort, um ein Plugin zu testen, ist eine Staging-Site oder eine lokale Entwicklungsumgebung. Wenn du so etwas nicht hast, teste das Plugin während einer Ausfallzeit oder einer geplanten Wartungsarbeit. Prüfe, ob das Plugin mit anderen installierten Plugins in Konflikt steht: Seitenelemente verhalten sich nicht wie vorgesehen "Weiße Seite des Todes" Obskure Fehler Du kannst Probleme privat lösen, bevor du sie auf deiner Live-Site integrierst. Beste WordPress Sicherheits-Plugins Im Allgemeinen solltest du nicht mehr als ein WordPress verwenden. Wie bereits bei den Scannern und Backup-Managern erwähnt, kann es jedoch von Vorteil sein, mehrere Plugins zu verwenden, die die Sicherheit erhöhen, aber nichts miteinander zu tun haben. Cerber Sicherheit - Die kostenlose Version, früher bekannt als WP Cerber, deckt die oben genannten Härtungsfunktionen und mehr ab. Dazu gehören Antispam, reCAPTCHA, Scans und vieles mehr. In der kostenpflichtigen Version erhältst du die erwarteten Funktionen. Wordfence - Dieses Plugin bietet die gleichen Funktionen wie Cerber Security, aber mit einer benutzerfreundlicheren Oberfläche. In der kostenpflichtigen Version erhältst du die erwarteten Funktionen und Echtzeit-Updates für Blacklist- und Firewall-Einstellungen. VaultPress - Dieses Plugin ist ein kostenpflichtiges Sicherheits- und Backup-Plugin, das für seine Benutzerfreundlichkeit bekannt ist. Die Menüs und Bildschirme sind auch für technisch nicht versierte Nutzer einfach zu bedienen. Allerdings ist es aus zwei Gründen keine gute Wahl für Multisites (MU). Erstens muss für jede Website eine eigene Lizenz erworben werden. Zweitens sichert das Plugin nur gemeinsame Dateien, wenn es sich um ein Netzwerk mit mehreren Websites handelt. Jetpack - Jetpack lässt sich nicht nur in VaultPress integrieren, sondern ist auch eine tolle Option für viele andere Funktionen. Jetpack kann dir helfen, deine Website zu erstellen und zu gestalten, sie für mobile Kunden zu optimieren und sie sicher zu halten. Was die Sicherheit angeht, ist Jetpack ideal, um Brute-Force-Angriffe zu stoppen. Außerdem informiert es dich über Ausfallzeiten deiner Website, die du dann überwachen kannst, um festzustellen, ob es sich um Serverprobleme oder einen tatsächlichen Hack handelt. Sucuri Sicherheit - Eine der Funktionen, die Sucuri Security zu einer so guten Wahl machen, ist, dass es dich kontinuierlich (und aus der Ferne) auf Malware-Probleme auf deiner Website scannen kann. Im Gegensatz zu vielen anderen Plugins bietet es dir auch Maßnahmen, die du ergreifen kannst, wenn ein Hacker es schafft, durchzukommen. BBQ Firewall - Früher als "Block Bad Queries" bekannt, blockiert sie einfach bösartige Anfragen wie URLs, einschließlich SQL-Injections und ausführbare Dateien (.exe). Sie funktioniert gut mit anderen Sicherheits-Suites, kann aber je nach deinem primären Sicherheits-Plugin überflüssig sein. HTTP-Header - Wie bereits erwähnt, hilft dir dieses Plugin, HTTP-Header zu erstellen und zu verwalten, um die Sicherheit, den Datenschutz und die Leistung zu verbessern, ohne dass du die .htaccess-Datei bearbeiten musst. Wie BBQ Firewall arbeitet es nahtlos mit anderen Sicherheitsplugins zusammen. Um den Zweck dieses Plugins zu umgehen, musst du deine .htaccess-Datei manuell ändern. Meine Empfehlung: Installiere Cerber Security oder Wordfence Installiere Total Upkeep oder ein anderes Backup-Plugin Planen Sie cPanel und/oder Snapshots je nach Ihrer Serverumgebung Installiere das HTTP Headers Plugin und konfiguriere alle Sicherheits-HTTP-Header Stelle sicher, dass du die neueste PHP-Version verwendest und bereite dich auf PHP 8 vor Einen Weg finden, DNS-Sicherheitserweiterungen (DNSSEC) zu integrieren Verbessere die E-Mail-Authentifizierung Brand Indicators for Message Identification (BIMI) einführen Lies mehr über empfohlene WordPress Sicherheits-Plugins. Oder informiere dich über andere Möglichkeiten in unseren anderen WordPress . Diesen Artikel teilen Verwandte Artikel Wie man VPS vor DDoS-Angriffen schützt Der AWS-Ausfall macht es deutlich - Infrastrukturvielfalt zählt Marketingagentur Cybersicherheit: Schutz von Kundenwebsites in großem Maßstab Zero-Trust-Architektur: Ein praktischer Leitfaden für gehostete Umgebungen und wachsende digitale Teams Server Hardening: Ein komplettes Framework Der ultimative Leitfaden zur Sicherheit von WordPress : Schütze deine Website wie ein Profi Veraltete Plugins: Ein kompletter Leitfaden zum Sichern und Aktualisieren deiner WordPress Safer Internet Day - Bring dein Sicherheitsspiel in Ordnung Warum du deine Website sichern musst Was ist zu tun, wenn deine Website Opfer von Ransomware wird?
