Nimm jetzt die Abkürzung!

Ich mache das für dich oder gebe dir die nötige Hilfestellung. 

by André

Mai 2, 2020

Sicherheitsplugins Titelbild

Die 7 wichtigsten WordPress-Sicherheits Plugins

Verwendete Links (Text oder Button) stellen Affiliatelinks (Werbung) dar, d.h. wenn du Links folgst und Waren erwirbst / Käufe tätigst, erhalte ich eine Provision - für dich entstehen dabei keine Extrakosten.

WordPress ist extrem beliebt und verbreitet - dementsprechend oft ist eine WordPress Webseite auch Ziel böswilliger Angreifer. 
Damit du dir darum keine Sorgen machen musst, habe ich eine ganze Reihe an Informationen für dich. 
Grundsätzlich solltest du vorab deine Geräte und Accounts absichern - dazu empfehle ich dir meine Guides zur generellen Online-Sicherheit. 

Wenn das erledigt ist - du also sichere Geräte hast, sichere Passwörter benutzt und dir 2FA nicht mehr fremd ist, kannst du hier weitermachen. 

Zu den Unterschieden zwischen Pro- und Free-Versionen gibt es bei den Anbietern auf der Seite einen Vergleich - folge einfach dem Link zur Pro-Variante.

Also legen wir direkt los! 

1. BBQ - Block Bad Queries

BBQ with Title

Ein sehr leichtes und einfaches Plugin - Plug & Play, Installieren und Vergessen, nenne es wie du willst.
Dieses Plugin bringt dir eine sehr leichtgewichtige und schnelle Firewall die dir grundsätzlichen Schutz bietet. Es gibt keine Einstellungsmöglichkeiten da nichts konfiguriert werden muss. Besonders für Anfänger ist das eine tolle Sache. 

Entwickler des Plugins ist Jeff Starr - eine kurze Google Suche verrät, dass es sich hierbei nicht um jemand unbekannten handelt. 

Die Premium-Version erweitert die Firewall Regeln (bietet dir also mehr Schutz), erlaubt dir eigene Regeln und co einzustellen und auch Möglichkeiten zu sehen, was das Plugin bisher geleistet hat (sogar E-Mail Benachrichtigungen wenn eine Anfrage blockiert wurde). 

Ich nutze bereits die Pro-Variante und für den vergleichsweise ziemlich kleinen Preis von 20$ einmalig kann ich dir das auch mit gutem Gewissen empfehlen! 

Über Jeff Starr

Jeff Starr hat mehrere Plugins veröffentlicht - auch das nächste entspringt seiner Hand. Neben der Qualität der Plugins spricht auch der faire Preis wie der makellose Support für ihn. 
Bei Problemen bspw. mit dem nächsten Plugin hat Jeff mir schnell weitergeholfen, obwohl er einfach auf die FAQ / das Readme seiner Webseite hätte verweisen können. 

2. Blackhole for Bad Bots

Blackhole

Im ersten Teil zum Thema Online-Sicherheit hatte ich bereits kurz erklärt was bösartige Crawler sind. Sie scannen deine Website, ähnlich wie Google, aber auf mögliche Schwachstellen. 

Nun gibt es mit Blackhole for Bad Bots allerdings eine simple Möglichkeit die offensichtlich bösartigen auszusperren. 

Dieses Plugin platziert einen unsichtbaren Link auf deiner Website, der für Crawler aber als "nicht erlaubt" markiert ist - hält ein Crawler sich nicht an diese Anweisung, wird er von deiner Website verbannt. 

Einfach und effektiv. 
Dafür musst du allerdings eine kleine Änderung in deiner Robots.txt einspeichern (die Datei die Crawler wie der Google Bot lesen) - das klappt am einfachsten wenn du ein SEO Plugin wie RankMath verwendest. 

Die Pro-Version erweitert die Einstellungsmöglichkeiten und ermöglicht dir auch herauszufinden wo der bösartige Bot herkommt. Ich nutze auch hier die Pro-Version.

3. WP Hardening

WordPress Hardening

Ein Plugin das gleich mehrere Lücken stopft. Grundsätzlich empfehle ich dir hier alle Optionen zu aktivieren, bis auf die Option den WP-Login umzuleiten, das macht leider absolut keinen Sinn, auch wenn es diese Empfehlung des öfteren gibt.

Wenn du deinen Login umgeleitet hast benötigt der Angreifer 2 - 10 Minuten länger, aber sicherer bist du damit keineswegs. 

WP Hardening wird dir in meinem empfohlenen Setup sagen, dass keine Firewall gefunden wurde - das ist vollkommen in Ordnung und das kannst du ignorieren. 

4. NinjaFirewall

NinjaFirewall

Meine absolute Empfehlung wenn es um Firewalls geht. BBQ ist eine gute Basis, aber besser bist du dran wenn du beide hast. 
Sinn macht es hierbei den Full WAF Mode statt WordPress WAF zu nutzen. 

Der Vorteil bei NinjaFirewall gegenüber bspw Sucuri oder Wordfence ist, dass es deutlich leichtgewichtiger ist - somit deine Performance nicht so sehr belastet - und auch Anfragen deutlich schneller verarbeitet. 

Selbst wenn du Funktionen wie 2FA mit weiteren Plugins nachrüstest, die NinjaFirewall nicht von Werk aus hat, bist du besser dran als mit bspw Wordfence.

Außerdem empfehle ich dir dringlichst auch den NinjaScanner zu installieren! Dieser ist zum manuellen scannen deiner Website geeignet, das solltest du in regelmäßigen Abständen machen.

Besonders toll finde ich die Captcha-Möglichkeit die ohne Google ReCaptcha auskommt und somit keine weiteren Vorkehrungen in Richtung Datenschutz erfordert.

Die Premium Version von NinjaFirewall bringt dir mehr Einstellungsmöglichkeiten zum aussperren von Böswilligen und besseres Monitoring - das ist speziell für Agenturen interessant, die mehrere Seiten in Betreuung haben. 
Die Premium Version von NinjaScanner bringt dir WP CLI Integration und automatisierte Scans.

Auch in diesem Fall nutze ich persönlich bei beiden die Pro-Variante.

5. Banhammer

banhammer

Noch ein Jeff Starr Plugin. Was kann dieses tolle Stück hier? 

Es ist die perfekte Erweiterung deiner Firewall, denn es lässt dich den Traffic deiner Website einsehen, verdächtige Anfragen markieren ("warnen") und auch von deiner Website verbannen. Somit kannst du die abfangen die es tatsächlich um deine Firewall herum geschafft haben. 

Mit der Pro-Version kannst du auch User-Agents (also bestimmte Bots) oder bestimmte Referrer bannen. Außerdem kannst du Notizen zu verwarnten Zielen speichern. Wer hätte es gedacht, auch hier nutze ich die Pro-Version.

6. ein 2FA Plugin

Bisher habe ich immer ein explizites Plugin empfohlen - bei 2FA sieht das ein wenig anders aus. Unterm Strich bieten alle die Funktion um die es geht - 2FA einzurichten. 

Besondere Funktionen wie z.B. das merken eines Gerätes um 30 Tage 2FA zu überspringen sind meist sowieso nur in der Pro Version enthalten und definitiv nicht nötig. 

Daher habe ich dir hier einfach mal zwei verlinkt! 
Wie 2FA funktioniert bzw. welche App ich empfehle kannst du in meinem Guide zur Online-Sicherheit nachlesen.

7. Host Header Injection Fix

Host Header Injection Fix

Und zum Abschluss gibt es noch ein Jeff Starr Plugin. 

Dieses Plugin schließt eine Sicherheitslücke die es schon lange in WordPress gibt - mir ist auch kein anderes Plugin bekannt, das diese Lücke schließt. 

Welche Lücke genau? Fachmännisch erklärt findest du das auf der Plugin-Seite, in kurz: Es verhindert, dass ein Angreifer E-Mails abfängt um z.b. an Zugangsdaten zu kommen.

Die Einrichtung geht in weniger als 5 Minuten, auch für Anfänger machbar!

Bonus! Limit Login Attempts

Limit Login Attempts Reloaded

Wenn du meinen Blog verfolgst kennst du das Spiel inzwischen - ich habe immer eine Überraschung für meine treuen Leser. 
Ich gehe nach dem einfachen Grundsatz, dass ich deine Erwartungen nicht nur erfüllen sondern übertreffen will - das gilt auch für ​meine Leistungen

Zum Plugin - WordPress erlaubt eine unendliche Anzahl an Login Versuchen. Mit der Captcha Abfrage von NinjaFirewall hast du schon einen guten Schutz - hiermit holst du den letzten Schliff raus, indem du die möglichen Versuche begrenzt. 

Das erfolgt über die Speicherung von IP-Adressen - dieses Plugin hat eine DSGVO Funktion durch die IP-Adressen unkenntlich gemacht werden. 

Über die Kosten von Pro-Sicherheit

Wie du gemerkt hast nutze ich nicht nur einige Plugins von Jeff Starr sondern auch viele Plugins in der Pro-Version. Die Zusatzfunktionen machen aus meiner Sicht Sinn und der Preis ist vergleichsweise gering. 


Außerdem ist die Sicherheit deiner Website wirklich der letzte Punkt an dem du sparen solltest!

About the author 

André

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
Do NOT follow this link or you will be banned from the site!
>