WordPress-Si­cher­heit: Die wich­tigs­ten Security-Plugins

Die Wich­tig­keit eines sicheren Passworts wird oft un­ter­schätzt. User sollten sich stets an die WordPress-Tipps zur Pass­wort­si­cher­heit halten; zu­sätz­li­chen Schutz können ebenfalls wieder Plugins bieten. So ist das Plugin Limit Login Attempts ein nütz­li­ches Werkzeug gegen Ha­cker­an­grif­fe, die als so­ge­nann­te Brute-Force-Attacken klas­si­fi­ziert werden. Dabei versuchen Hacker, die Login-Daten der User zu ent­schlüs­seln, indem sie häufig gewählte Pass­wör­ter mit den je­wei­li­gen Nut­zer­na­men kom­bi­nie­ren. Gelingt ihnen der un­er­laub­te Login, kann das Da­ten­ver­lus­te oder un­er­laub­te Än­de­run­gen des Quell­codes zur Folge haben. Beim Hack­ver­such probieren die Skripte teilweise tausende von Pass­wör­tern pro Minute durch – es sei denn, der Nutzer hat das Plugin Limit Login Attempts in­stal­liert, denn dies begrenzt die Zahl der erlaubten Fehl­ver­su­che bei der Anmeldung: So lässt sich bei­spiels­wei­se ein­stel­len, dass nach vier Fehl­ver­su­chen der Account für einen längeren Zeitraum gesperrt bleibt. Da das Plugin die IP des Nutzers erfasst, hat dies jedoch keinen Einfluss auf die Login-Versuche des Ad­mi­nis­tra­tors. Mitt­ler­wei­le bieten die meisten All-In-One-Lösungen eine so­ge­nann­te Brut-Force- Firewall als Premium-Feature für eine möglichst hohe WordPress-Si­cher­heit.

Über das WP Secure Login Plugin kann man den Account zu­sätz­lich zu den vorhanden Kenn­wör­tern noch mit einer weiteren Kennwort-Instanz sichern. Das zu­sätz­li­che Kennwort ist nur über die App von Google einsehbar und wird re­gel­mä­ßig erneuert. Ähnlich funk­tio­niert das Plugin Two-Factor Au­then­ti­ca­ti­on, mit dem man auf allen Nut­zer­ebe­nen eine zweite Username- und Passwort-Instanz aus­spie­len kann.

So­ge­nann­te All-In-One-Lösungen kom­bi­nie­ren un­ter­schied­li­che Si­cher­heits­fea­tures in einem WordPress Security Plugin. Ziel ist es, Si­cher­heits­lü­cken zu vermeiden und vor­han­de­ne schnellst­mög­lich zu schließen – also über ein einzelnes Plugin WordPress so sicher wie möglich zu machen. Der Vorteil von solchen All-In-One-Lösungen wie iThemes Security ist, dass sie auch für wenig erfahrene Nutzer geeignet sind. Die es­sen­ti­el­len Features setzen nur einige Grund­kennt­nis­se voraus. So kann bei­spiel­wei­se auch das Acunetix WP Security Plugin von weniger ver­sier­ten Usern in­stal­liert werden. Es dient zur Über­wa­chung der Website hin­sicht­lich po­ten­ti­el­ler Si­cher­heits­ri­si­ken. Doch nicht nur die bloße Iden­ti­fi­ka­ti­on von Problemen ist möglich, der Nutzer erhält zu­sätz­lich auch Hand­lungs­emp­feh­lun­gen und Tools zur Lösung vor­han­de­ner Probleme.

Solche Plugins können durch ihre zu­sätz­li­chen Features auch für erfahrene Nutzer zum ge­eig­ne­ten Werkzeug werden. Das Plugin Acunetix WP Security bietet bei­spiels­wei­se einen Passwort-Generator sowie ein spe­zi­el­les Datenbank-Tool. Das Plugin Bul­let­pro­of Security er­mög­licht die Abwehr von spe­zi­fi­schen Angriffen wie zum Beispiel XSS, RFI, CRLF, CSRF, Base64, Code Injection und SQL Injection. Wichtige Quellcode-Dateien stehen so unter be­son­de­rem Schutz.

Beim Hosting-Partner IONOS werden einige Plugins bereits vor­in­stal­liert. Weitere WordPress Security Plugins können – wie andere Er­wei­te­run­gen auch – ohne weiteres von den Usern selbst in­stal­liert werden. Dabei sollte man natürlich immer auf ver­trau­ens­wür­di­ge Quellen achten. Auch die Ak­tua­li­tät des Plugins ist wichtig – selbige überprüft bei­spiels­wei­se der WP Update Notifier. Grobe Si­cher­heits­lü­cken werden im besten Fall schnell erkannt und von den Ent­wick­lern ge­schlos­sen. Von dieser Wei­ter­ent­wick­lung pro­fi­tiert man natürlich nur, sofern re­gel­mä­ßi­ge Updates durch­führt werden. Der WP Update Notifier ist also kein Security-Plugin im klas­si­schen Sinne, sorgt aber auf lange Sicht für die ak­tu­ells­te und damit auch sicherste Version von Plugins, Themes und anderen In­stal­la­tio­nen. IONOS-Kunden pro­fi­tie­ren hier vom so­ge­nann­ten Safe-Mode. Wird dieser bei In­stal­la­ti­on aktiviert, werden alle An­wen­dun­gen au­to­ma­tisch aktuell gehalten.

Will man den Security-Status seiner Website kon­trol­lie­ren, empfiehlt sich das Plugin Security Ninja, mit dem man die eigene Seite durch rund 30 Tests über­prü­fen lassen kann. Unter anderem simuliert das Programm einen Brut-Force-Angriff. Schwach­stel­len können so direkt auf­ge­deckt und mithilfe des Plugins und anderen Er­wei­te­run­gen schnell behoben werden.