Sie wissen, dass die Welt da draußen böse ist und es böswilligen Akteuren nur so in den Fingern juckt, ihre schmutzigen Hände an Ihre WordPress-Website zu bekommen. Sie wissen auch, dass Sie wahrscheinlich „etwas“ tun sollten, um Ihre WordPress-Website vor all diesen Bösewichten zu schützen.
Was Sie vielleicht nicht wissen, ist, was dieses „etwas“ ist.
Keine Sorge – um Ihre WordPress-Website zu sichern, müssen Sie kein Programmierguru sein, wie Sie es in Fernsehsendungen sehen. Aber Sie brauchen einige WordPress-Sicherheits-Plugins und -Tools, um die Arbeit zu erledigen.
Das ist es, was ich in diesem Beitrag mit Ihnen teilen werde.
Ich werde acht der besten WordPress-Sicherheits-Plugins und -Tools vorstellen, zusammen mit den Vor- und Nachteilen der einzelnen Tools. Am Ende werde ich versuchen, Ihnen dabei zu helfen, die richtigen Tools für Ihre individuelle Situation auszuwählen.
Aber lassen Sie mich zunächst mit einer kurzen Warnung beginnen…
- WordPress-Sicherheit besteht nicht nur aus Plugins und Tools
- Ein paar wichtige Sicherheitsbegriffe, bevor wir loslegen
- MalCare
- Wordfence
- iThemes Security
- Sucuri
- Sucuri-Plugin
- Sucuri Firewall
- WebARX
- VaultPress (Teil von Jetpack)
- Cloudflare
- Login No re
- Welche dieser WordPress-Sicherheitsplugins und -tools sind die richtigen für Ihre Bedürfnisse?
WordPress-Sicherheit besteht nicht nur aus Plugins und Tools
Alle Sicherheits-Plugins und -Tools auf dieser Liste helfen Ihnen, WordPress sicherer zu machen. Aber sie machen es nicht überflüssig, dass Sie selbst etwas tun müssen.
Betrachten Sie sie wie das Tragen eines Motorradhelms. Sicher – Motorradhelme schützen Sie bei einem Unfall, aber sie sind kein Freibrief für rücksichtsloses Fahren.
Diese Tools sind genau so. Sie bieten Ihnen einen dringend benötigten Schutz, aber Sie müssen immer noch sicher fahren, wenn Sie sicher und geschützt sein wollen.
Was bedeutet also „sicher fahren“ in der WordPress-Welt? Ich spreche von wirklich einfachen Dingen wie:
- Sofortige Aktualisierung Ihrer WordPress-Software, Plugins und Themes
- Verwendung eines sicheren Passworts für Ihr WordPress-Administratorkonto und Ihr Webhosting-Konto
- Nur Themes und Plugins von seriösen Entwicklern/Quellen verwenden
- Regelmäßige Datensicherung Ihrer Website
Diese Tipps mögen allzu simpel erscheinen, aber allein diese vier Dinge werden Sie vor den meisten WordPress-Sicherheitsproblemen schützen.
Um Ihre Website vor allem anderen zu schützen, können Sie diese WordPress-Sicherheitsplugins und -tools verwenden.
Ein paar wichtige Sicherheitsbegriffe, bevor wir loslegen
Während diese Plugins und Tools die Dinge ziemlich einfach machen, umfasst die WordPress-Sicherheit immer noch eine Menge Begriffe, mit denen Sie vielleicht nicht vertraut sind.
Um Ihnen zu helfen, zu verstehen, was diese Tools tatsächlich tun, möchte ich einige der gebräuchlichsten Begriffe erklären, die Ihnen im weiteren Verlauf des Beitrags begegnen werden.
Zunächst werden Sie häufig das Wort Firewall hören (auch als WAF bezeichnet: Web Application Firewall). Für Ihre WordPress-Site sitzt eine Firewall im Grunde zwischen dem Server Ihrer Site und dem gesamten eingehenden Datenverkehr. Da sie diese Position einnimmt, ist sie in der Lage, böswillige Akteure zu überprüfen und herauszufiltern, bevor sie Ihren Server überhaupt erreichen.
Allerdings sind nicht alle Firewalls gleich. Und die Effektivität der von Ihnen gewählten Firewall hängt von den Regeln und Konfigurationen ab, die der Firewall-Anbieter einrichtet.
Ein anderer Begriff ist Malware-Scanning, mit dem Sie wahrscheinlich besser vertraut sind. Genauso wie Sie Ihren eigenen Computer auf Viren und Malware scannen würden, können viele dieser Tools den Server Ihrer WordPress-Website auf Malware scannen.
Zuletzt werde ich oft den Begriff Sicherheitshärtung verwenden. Das sind im Grunde kleine Optimierungen, die in ihrer Gesamtheit dazu beitragen, Ihre Website sicherer zu machen.
Mit diesem Wissen in der Hand wollen wir uns nun den Plugins widmen.
MalCare
MalCare ist ein WordPress-Sicherheits-Plugin, das sich, wie der Name schon sagt, auf die Erkennung und Entfernung von Malware konzentriert.
Eines der Dinge, die ich an MalCare im Vergleich zu etwas wie Wordfence mag, ist, dass MalCare seine Scans auf seinen eigenen Servern durchführt. Das Scannen nach Malware ist ein ziemlich intensiver Prozess, so dass ein Plugin, das die Scans auf Ihrem Live-Server durchführt, Ihre Website verlangsamen kann, während der Scan läuft.
MalCare behebt dies, indem es seine eigenen Server für das Scannen verwendet.
Es ist auch generell so konzipiert, dass es Malware abfängt, die andere Plugins nicht abfangen. Und wenn es etwas findet, bietet es die Möglichkeit, Malware mit einem Klick zu entfernen, um die angreifende Datei loszuwerden.
MalCare enthält auch eine Firewall, aber ich glaube nicht, dass sie so hochwertig ist wie die von Sucuri, daher würde ich immer noch empfehlen, stattdessen die Firewall von Sucuri zu verwenden, wenn Sie den Preis aufbringen können.
Darüber hinaus bietet es auch einige grundlegende Sicherheitsmaßnahmen wie:
- für Ihre Anmeldeseite
- Anmeldeversuche begrenzen
- Dateibearbeitung deaktivieren
- Dateiausführung im Uploads-Ordner deaktivieren
Im Allgemeinen denke ich jedoch, dass das Alleinstellungsmerkmal von MalCare das Scannen von Malware außerhalb des Servers ist. Außerdem können Sie damit mehrere Websites von einem einzigen Dashboard aus verwalten, was ein weiterer netter Bonus ist.
Preis: Ab 99 $/Jahr
Wordfence
Wordfence ist der größte Name im Bereich WordPress-Sicherheit, insbesondere wenn es um Komplettlösungen geht. Es ist auf über zwei Millionen Websites aktiv und hat eine beeindruckende 4,8-Sterne-Bewertung bei über 3.000 Bewertungen.
Es genügt zu sagen, dass es vielen Leuten gefällt.
Warum ist es also so beliebt?
Erstens gibt es eine großzügige kostenlose Version (sowie eine Premium-Version).
Zweitens bietet es einen All-in-One-Ansatz für WordPress-Sicherheit.
Im Großen und Ganzen enthält es eine Web Application Firewall, um bösartigen Datenverkehr zu filtern und zu blockieren, sowie einen eingebauten Malware-Scanner, um Ihre Dateien auf Malware, Backdoors und andere bösartige Injektionen zu überprüfen.
Sowohl die kostenlose als auch die Pro-Version enthalten diese beiden Kernfunktionen, aber die Pro-Version bietet eher einen Echtzeit-Ansatz für beide. So wird beispielsweise die Firewall der Pro-Version in Echtzeit aktualisiert, während dies bei der kostenlosen Version nur alle 30 Tage der Fall ist.
Auch der Malware-Scan der Pro-Version aktualisiert seine Signaturen in Echtzeit, während dies bei der kostenlosen Version mit einer Verzögerung von 30 Tagen geschieht.
Wenn Sie also Schutz vor den neuesten Exploits suchen, sind Sie mit der Pro-Version besser dran.
Neben diesen umfassenden Schutzmaßnahmen werden auch viele kleine Optimierungen vorgenommen, die Ihre Website weiter absichern können. Ich spreche von Dingen wie:
- Zwei-Faktor-Authentifizierung, um Ihre Anmeldung zu sichern
- Aktualisierungsbenachrichtigungen
- E-Mail-Benachrichtigungen für wichtige Aktionen, wie die Anmeldung eines Administratorkontos
- Anmeldeversuche begrenzen (Benutzer, die zu oft falsche Passwörter/Benutzernamen eingeben, werden automatisch gesperrt)
- Starke Passwörter erzwingen
Preis: Kostenlos bei WordPress.org. Die Pro-Version beginnt bei 99 $ pro Jahr, obwohl Sie Rabatte für den Kauf mehrerer Jahre auf einmal erhalten.
iThemes Security
iThemes Security ist eine weitere beliebte All-in-One-Sicherheitslösung, die sowohl in einer kostenlosen als auch in einer Premium-Version erhältlich ist.
iThemes Security enthält keine Firewall wie Wordfence, aber es bietet Malware-Scans.
Neben dem Malware-Scanning bietet es auch eine ganze Reihe kleinerer Sicherheitsverbesserungen, um Ihre WordPress-Site zu schützen.
Erstens tut es eine Reihe von Dingen, um Ihre Login-Seite zu schützen, wie:
- Verstecken der Login-Seite.
- Sperren von Hosts/Benutzern mit zu vielen fehlgeschlagenen Login-Versuchen, um vor Brute-Force-Angriffen zu schützen.
- Erzwingen von starken Passwörtern für alle Benutzerkonten.
- Umbenennen des „admin“-Kontos, wenn Sie immer noch admin als Benutzernamen verwenden.
- Entfernen von Login-Fehlermeldungen.
- Angebot der Zwei-Faktor-Authentifizierung (Pro).
Dann gibt es viele andere kleine Optimierungen, von denen viele in WordPress-Sicherheitsleitfäden zu finden sind:
- Deaktivieren der Dateibearbeitung im Board.
- Entfernen Sie Update-Benachrichtigungen für nicht autorisierte Benutzer.
- Ändern Sie das WordPress-Datenbankpräfix.
- Ändern Sie den wp-content-Pfad.
- Protokollieren Sie Benutzeraktionen.
Wenn Sie iThemes Security verwenden möchten, empfehlen die Entwickler, es mit der WordPress-Firewall von Sucuri zu kombinieren, die wir als nächstes behandeln werden.
Preis: Kostenlos bei WordPress.org. Die Pro-Version kostet ab 80 Dollar pro Jahr.
Sucuri
Sucuri ist eine beliebte Website-Sicherheitslösung, die zwei verschiedene Produkte für die WordPress-Sicherheit anbietet:
- Ein kostenloses Plugin
- Ein kostenpflichtiger Firewall-Dienst
Sie können beide zusammen verwenden, oder Sie können sich dafür entscheiden, nur eines von ihnen zu verwenden (oder die Firewall mit einem anderen Plugin zu kombinieren, wie iThemes Security).
Sucuri-Plugin
Das Sicherheits-Plugin von Sucuri ist kostenlos auf WordPress.org erhältlich. Es enthält keine Firewall-Funktionalität, aber es trägt viel zur Sicherheit Ihrer Website bei (und kann Ihnen bei der Integration der Firewall helfen, wenn Sie sich dafür entscheiden, dafür zu bezahlen).
Erstens enthält es eine Aktivitätsüberprüfung und eine Überwachung der Dateiintegrität. Mit diesen beiden Funktionen können Sie überwachen, was auf Ihrer Website geschieht. Die Aktivitätsüberwachung zeigt Ihnen beispielsweise fehlgeschlagene Anmeldeversuche an, und die Dateiintegritätsüberwachung zeigt Ihnen, ob eine Ihrer WordPress-Kerndateien geändert wurde.
Darüber hinaus umfasst das Plugin eine grundlegende Malware-Überprüfung. Bei dieser Funktionalität handelt es sich im Wesentlichen um eine In-Dashboard-Implementierung des kostenlosen SiteCheck-Scanners von Sucuri. Als solche ist sie eingeschränkter als viele andere Lösungen und wird nicht in der Lage sein, alle Malware zu erkennen.
Schließlich enthält das Plugin von Sucuri auch einige grundlegende WordPress-Sicherheitsoptimierungen, wie das Blockieren von PHP-Dateien im Uploads-Verzeichnis und das Deaktivieren der Dateibearbeitung im Board.
Preis: Kostenlos bei WordPress.org
Sucuri Firewall
Während sich das Plugin von Sucuri auf die Überwachung und grundlegende Härtung konzentriert, blockiert der Firewall-Dienst von Sucuri proaktiv Bedrohungen, bevor sie auftreten, und schützt Sie auch vor DDoS-Angriffen.
Neben der Blockierung von bösartigen Bots und bekannten Exploits nutzt Sucuri auch sein großes Netzwerk und maschinelles Lernen, um seine Firewall-Regeln ständig zu verbessern und Ihre Website vor neu entdeckten Exploits zu schützen.
Zusätzlich können Sie mit Sucuri Ihre eigenen Firewall-Regeln erstellen. So können Sie zum Beispiel den Zugriff auf Ihr WordPress-Dashboard auf eine bestimmte Gruppe von IP-Adressen beschränken, die auf der Whitelist stehen.
Als netter kleiner Bonus enthält Sucuri Firewall auch ein CDN, um Ihre Website zu beschleunigen, obwohl das nicht wirklich etwas mit der WordPress-Sicherheit zu tun hat!
Preis: $199,99/Jahr für Basic, Pro-Plan $299,99/Jahr.
WebARX
WebARX ist ein relativ neuer Dienst, der eine sichere Firewall zu Ihren Websites hinzufügt, sowie ein paar andere Funktionen.
Es ist nicht spezifisch für WordPress, aber es enthält ein WordPress-Plugin, das die Einrichtung erleichtert.
Eine der schönen Seiten von WebARX ist, dass es einfach ist, alle Ihre Websites von einem einzigen Dashboard aus zu überwachen. Wenn Sie also viele kleinere, verstreute Websites haben, ist dies eine bequeme Möglichkeit, sie alle von einer Stelle aus im Auge zu behalten.
Neben der Firewall, die Ihre Website vor Angriffen und bösartigen Bots schützt, bietet WebARX auch eine Überwachung der Betriebszeit und der Verunstaltung. Wenn Ihre Website ausfällt oder verunstaltet wird, können Sie eine Benachrichtigung per E-Mail oder Slack erhalten. Auch dies ist hilfreich, wenn Sie eine Reihe kleiner Websites haben, die Sie nicht so oft überprüfen.
Preis: Ab 14,99 $/Monat, mit einem Jahresabonnement sparen Sie 15 %.
VaultPress (Teil von Jetpack)
VaultPress ist ein Backup- und Sicherheitsdienst von Automattic, dem Unternehmen hinter WordPress.com. Es ist Teil der kostenpflichtigen Jetpack-Pläne, so dass Sie auch Zugang zu allen anderen Premium-Jetpack-Funktionen erhalten, wenn Sie sich für VaultPress entscheiden.
Wie MalCare ist eines der besten Dinge an VaultPress, dass es seine Sicherheitsscans auf seinen eigenen Servern durchführt, wodurch sichergestellt wird, dass Ihre Website niemals in ihrer Leistung beeinträchtigt wird.
So funktioniert es:
Jeden Tag erstellt VaultPress automatisch ein Backup Ihrer Website auf seinen sicheren Servern. Dann scannt es die Dateien, die es gerade gesichert hat, auf Malware oder andere Infiltrationen.
Auf der höchsten Stufe kann VaultPress auch automatisch alle Sicherheitsprobleme beheben, die es entdeckt (die billigste Stufe unterstützt nur „manuelle Lösung“, though).
Insgesamt ist VaultPress eine gute Option, wenn Sie etwas wollen, das Sicherheitsscans mit Backups kombiniert. Möglicherweise benötigen Sie jedoch noch eine separate Firewall-Lösung.
Preis: Security Daily Plan kostet £11,40/Monat oder £9,55/Monat (jährlich abgerechnet).
Cloudflare
Cloudflare wird aufgrund seiner CDN-Funktionalität gemeinhin als leistungssteigerndes Tool angesehen. Und verstehen Sie mich nicht falsch – es ist eine gute Option, um Ihre WordPress-Site zu beschleunigen.
Aber weil Cloudflare als Reverse-Proxy fungiert, ist es auch ein großartiges Tool, um Ihre WordPress-Site zu sichern. Im Wesentlichen sitzt ein Reverse-Proxy zwischen den Browsern Ihrer Besucher und dem Server Ihrer Website und leitet den Datenverkehr um, wodurch bösartige Akteure herausgefiltert werden können.
Das kostenlose Angebot von Cloudflare bietet grundlegende Sicherheit in Form von DDoS-Schutz und reputationsbasiertem Schutz vor Bedrohungen (blockiert bekannte bösartige Bedrohungen vor dem Zugriff auf Ihre Website).
Wenn Sie bereit sind, dafür zu bezahlen, enthalten die kostenpflichtigen Tarife von Cloudflare eine Web Application Firewall sowie IP-Whitelisting-Regeln.
Wenn Sie Cloudflare bereits für seine leistungssteigernden Funktionen nutzen, sollten Sie vielleicht ein Upgrade auf die kostenpflichtigen Tarife in Betracht ziehen, um die Vorteile der Web Application Firewall zu nutzen.
Preis: Kostenlos mit grundlegender Sicherheit. Kostenpflichtige Tarife mit der Firewall beginnen bei 20 Dollar pro Monat
Login No re
Login No re ist eine viel kleinere Lösung als alle anderen Plugins. Während sich die anderen Tools alle auf Firewalls, Malware-Scans und andere große Optimierungen konzentrieren, macht Login No re wirklich nur eine Sache:
Fügen Sie Ihrer Login-Seite einen Google re-Schutz hinzu.
Das ist eine einfache Möglichkeit, Ihre Login-Seite vor Brute-Force-Angriffen zu schützen und unautorisierte Benutzer fernzuhalten.
Einige All-in-One-Sicherheits-Plugins fügen diese Funktionalität bereits hinzu (z.B. iThemes Security). Aber wenn Sie sich dafür entscheiden, keine dieser All-in-One-Lösungen zu verwenden, sollten Sie trotzdem Login No re in Betracht ziehen, um Ihre Login-Seite zu sperren.
Preis: 100% kostenlos
Welche dieser WordPress-Sicherheitsplugins und -tools sind die richtigen für Ihre Bedürfnisse?
Sie wollen sicherlich nicht alle diese Sicherheitsplugins und -tools für Ihre Website verwenden. Für welche sollten Sie sich also entscheiden? Wie stellen Sie Ihr Sicherheitssystem zusammen?
Nun, bevor Sie Ihre Wahl treffen, empfehle ich Ihnen, zu überprüfen, was Ihr WordPress-Hoster bereits tut. Einige Hoster – insbesondere verwaltete WordPress-Hoster – implementieren möglicherweise bereits Firewalls und Malware-Scans für Sie auf Serverebene. Wenn das der Fall ist, besteht keine Notwendigkeit, diese Maßnahmen zu duplizieren.
Wenn Sie wissen, was Ihr Hoster bereits tut, finden Sie hier einige Tipps für die Auswahl Ihrer Lösungen.
Wenn Sie eine Website-Firewall wünschen, ist Sucuri Firewall die beste Option für unternehmenskritische Websites, während MalCare eine erschwinglichere Version mit einem Dashboard bietet, das die Verwaltung mehrerer Websites erleichtert.
Wenn Sie Malware-Scans wünschen, sind MalCare und VaultPress eine gute Wahl, da sie keine Scans auf Ihrem Server durchführen.
Sie können auch eine Firewall und ein Malware-Scan-Plugin kombinieren. Zum Beispiel können Sie WebARX für Firewalls und MalCare für Malware-Scans verwenden. MalCare bietet zwar technisch gesehen eine Firewall, aber das ist nicht die Stärke des Dienstes. Deshalb ist es besser, die Plugin-basierte Firewall von Malcare zu deaktivieren und sie mit etwas wie WebARX oder Sucuri zu kombinieren.
Wenn Ihr Hoster bereits Firewalls und Malware-Scans für Sie implementiert hat, können Sie diese Plugins weglassen, aber ich würde trotzdem empfehlen, etwas wie Login No re hinzuzufügen, um Ihre Anmeldeseite zu sperren. Wordfence und WebARX haben diese Funktion jedoch bereits eingebaut, so dass sie kein zusätzliches Plugin benötigen.
Schließlich gibt es noch die All-in-One-Sicherheitsplugins wie Wordfence und iThemes Security. Diese Plugins machen die Sicherheit wirklich einfach, was gut ist. Aber weil sie immer auf Ihrem Server laufen, können sie auch Ihre Website verlangsamen, was schlecht ist.
Aus diesem Grund benutze ich persönlich sie nicht und ziehe es vor, die spezifischen Sicherheitsfunktionen auszuwählen, die ich möchte.
Aber ich erkenne ihre Vorteile von einem Standpunkt der Einfachheit aus an.
Hinweis: Wordfence und iThemes Security sollten nicht zusammen verwendet werden. Wenn Sie sich für ein „All-in-One-Sicherheits-Plugin“ entscheiden, sollten Sie nur eines verwenden.
Wenn Sie sich also von all diesen Optionen überfordert fühlen und einfach nur etwas wollen, das sofort einsatzbereit ist, sind diese beiden sicherlich solide Optionen. Achten Sie jedoch genau auf die Ladezeiten Ihrer Website vor und nach der Installation, um sicherzugehen, dass es keine spürbare Verlangsamung gibt.
Hinweis: Dieser Beitrag enthält Affiliate-Links. Das bedeutet, dass wir möglicherweise eine kleine Provision erhalten, wenn Sie einen Kauf tätigen.