info@netz-gaenger.de       📞 +49 151 / 28859057

Die besten WordPress Security Plugins 2024

WordPress Sicherheits-Plugins sind auch für Nutzer gut bedienbar, die mit Programmiertechniken weniger vertraut sind. Einige der Tools helfen, ein sichereres Passwort zu erzeugen, andere Features blocken unsichere IP-Adressen und verhindern so genannte Brute-Force-Angriffe durch Password-Hacks. Sicherheits-Plugins helfen mit Firewalls dafür, dass Angriffe auf die WordPress Website erfolglos bleiben. Dieser Artikel informiert über die besten WordPress-Plugins, die der Sicherheit dienen und Hackerangriffe verhindern. Natürlich sind diese Plugins nur in der richtigen Konfiguration sinnvoll und sollten ein Teil der Security-Strategie sein. Ein guter Anfang sind diese Plugins allemal, bis dann der Profi dran geht und WP sicher macht.

iThemes Security


Das Plugin wurde von iThemes entwickelt und ist ideal für Einsteiger und Nutzer geeignet, die erweiterte Einstellungen nutzen. Die Installation per Klick ist für unerfahrene Nutzer einfach und die möglichen Einstellungen lassen sich leicht vom Menü aus bewerkstelligen. Mit dem iThemes Security Plugin ist die Wartung einfach, denn das Menü präsentiert dem Nutzer die Sicherheitseinstellungen, die vorzunehmen sind. Die Sicherheitseinstellungen sind in einer Liste aufgeführt, die von leichter bis zu hoher Sicherheit reicht. Wichtig zu wissen ist, dass WordPress erst nach der Konfiguration der einzelnen Bereiche ausreichend gesichert wird. Natürlich liefert die reine Installation von iThemes bereits eine Grundbasis für Security. Alle weiteren möglichen Optionen für die Optimierung der Security sollten allerdings zusätzlich beachtet und berücksichtigt werden.

Die iThemes Oberfläche für die Konfiguration des Security Plugins

iThemes ist das Securityplugin meiner Wahl und findet auch in Securitymaßnahmen für meine Kunden seinen Platz. Unter anderem sichert iThemes ab gegen:

  • BruteForce Attacken
  • Codeeinschleusungen
  • SQL Injections
  • Angriffe auf das Backend
  • 404 Angriffe
  • PHP Ausführungen, die nicht erlaubt sind

Kleiner Tipp: Unter Umständen wird man von iThemes Security etwas zugespamt mit E-Mails, wenn man recht unter Beschuss von automatisierten Login-Versuchen ist (Brute-Force). Hier empfiehlt es sich im neuen Benachrichtigungscenter des Plugins die Benachrichtigungsmails auf 1x täglich zu limitieren und nicht jede Blockierung eines Login-Versuchs direkt als Nachricht verschicken zu lassen.

Die Pro Version von iThemes: Noch mehr Sicherheit?

iThemes in der kostenfreien Variante bietet schon mal einen sehr guten ersten Schutz. Wer noch mehr für Sicherheit tun möchte, kann mit iThemes Pro noch mehrere Security-Ebenen einziehen. Die Pro Version bietet unter anderem:

  • WordPress Versions Management
    iThemes sorgt dafür, dass die Webseite auf dem neuesten Stand bleibt und aktualisiert automatisch. So wird ein Wartungsvertrag ggfs. überflüssig
  • 2-Faktor-Authentifizierung
    Absolut sicherer Login durch Authentifizierung mit den Zugangsdaten und einem Code, den man per Mail oder App gesendet bekommt
  • Mehrere Webseiten mit einem Account verwalten
    Bis zu 10 Webseiten aus der Ferne aktualisieren und verwalten
  • Persönlicher Support
    Sehr guter persönlicher Support bei Problemen
  • Tägliches Malware Scannen
    iThemes scannt täglich automatisch, ob sich Malware oder Viren in der Installation eingenistet haben
  • Passwort-Ablaufzeiten definieren
    User können gezwungen werden in regelmäßigen Abständen ihre Passwörter zu ändern
  • iThemes Einstellungen exportieren und importieren (für Entwickler interessant)
  • Überwachung der Benutzer auf Sicherheitsverstöße oder -probleme
    Prüfen ob Benutzer sicherheitstechnisch das System in Gefahr bringen
  • Benutzerprotokollierung
    Protokollierung von Benutzeraktionen in WordPress (Login, Inhalte ändern, etc.)
  • Privilege Escalation: Temporäre Zugänge ermöglichen
    Möglichkeit externen Mitarbeitern für einen fest definierten Zeitraum die Site zu administrieren
  • Security-Dashboard
  • Sicheres passwortfreies Login

Der Preis für iThemes Pro liegt bei 80$ für 1 Site pro Jahr.
10 Sites schlagen mit 127$ pro Jahr zu buche.
Bei unendlich vielen Sites liegt der Preis bei 199$ pro Jahr.

Hier findest du iThemes Pro »

Das iThemes Security Dashboard hilft die Website Security von WordPress im Blick zu behalten

Hier findest du ein Video mit einer kleinen Einführung in iThemes (allerdings auf Englisch):


Malcare Security

Malcare hatte mir temporär einen Zugang zu ihrem System eingerichtet, so dass ich deren Security-Lösung für WordPress prüfen konnte. Ich war von Beginn an sehr positiv überrascht, wie professionell Malcare das Thema angeht. Die Einrichtung war für den User ideal gestrickt. Gerade diese „Idiotensicherheit“ (bitte nicht übel nehmen) ist es, was die Suite so interessant macht. Ich habe schon oft Websites gesehen, die vermeintlich abgesichert waren. Beim Blick in die Konfiguration der Securityplugins hat sich dann recht schnell gezeigt, dass die Plugins nur installiert, aber gar nicht eingerichtet wurden. So wird die Security natürlich löchrig und unkomplett.

Besser, wenn der Security-Anbieter dafür sorgt, dass man sich darum gar nicht kümmern muss. Malcare tut das und befindet sich daher recht weit oben in meinem Test.

Was verspricht Malcare?

Malcare verspricht nicht weniger als „das beste Security Plugin für WordPress“ zu sein. Natürlich versprechen das alle. Aber ist es Malcare auch? Ich würde sagen: für den Laien vielleicht schon. Aus bereits genanntem Grund. Wenn ich mich aber ein wenig mit der Materie auskenne, präferiere ich eher die manuellen Einstellungsmöglichkeiten eines iThemes. Das soll gar nicht bedeuten, dass iThemes sicherer wäre. Ich bin nur eine andere Zielgruppe.

Features von Malcare

Tatsächlich liest sich die Featureliste von Malcare schon überragend:

  • Ein hervorragender Malware Scan
  • Auto-Removal von Malware
  • Das System lernt aus Angriffen und Hacks und bereitet die Site auf künftige Angriffe vor
  • Für Laien ideal
  • Eingebaute Firewall
  • Brute Force Protection
  • Captcha Logins
  • Warnmeldungen, wenn sich jemand einloggt, der es nicht sollte
  • Website Härtung
  • Erweiterte WordPress Sicherung
  • Backups
  • Staging Site
  • Dashboard um mehrere Sites zu überwachen
  • Team-Management
  • White Label Solution für Agenturen (nur in der großen Version)
  • Reports für Clients (nur in der großen Version)
  • Setup in 60 Sekunden
  • 3-fach Geld zurück Garantie, wenn Malware nicht entfernt werden kann

Du siehst, hier bleibt kaum ein Wunsch unerfüllt. Für den Laien und auch für Pros gibt es wirklich tolle Features, die Malcare interessant machen.

Was ist der Nachteil von Malcare?

Jetzt kommt der Nachteil: Malcare ist leider nicht kostenfrei. Daher bei mir nicht auf Platz 1. iThemes ist für mich und meine Websites deshalb #1, weil ich es gut steuern kann und es mich nichts kostet. Bereits die Basisversion ist ausreichend, wenn man es denn korrekt einrichtet. Malcare lässt sich seine Services, die über die von iThemes hinaus gehen, natürlich bezahlen. Auto Malware Removal, Auto Setup, Staging Sites, Pro Features wie Reports und White Label…all das kann man nicht kostenfrei anbieten. Daher ist der Preis für Malcare in meinen Augen auch absolut gerechtfertigt.

Was kostet Malcare?

Malcare kostet 99$ pro Jahr für 1 website. Bei 5 websites zahlst du 259$ pro Jahr. Dafür bekommst du eine All in One Lösung mit Premium Sicherheit und Malware Removal. Günstiger als Sucuri, teurer als iThemes. Das muss man einordnen können.

Das Dashboard von Malcare

Wenn du bei Malcare Kunde wirst, erhältst du Zugriff auf ein Dashboard, welches die eine Übersicht über deine Site(s) und den Sicherheitsstatus gibt. Es gibt dir Aufschluss und Kontrollmöglichkeiten über:

  • Backup
  • Updates
  • Scans
  • Firewall
  • Logs
  • Sicherheitsprobleme
  • Staging
  • Uptime

Fazit

Malcare ist für mich die Überraschung im Test, weil es gar kein so populäres System in DE ist. Ganz zu unrecht wie ich finde. Es ist äußerst mächtig und bietet Laien und Pros unschlagbare Features. Nur der Preis ist natürlich nicht für jedermann bezahlbar. Suchen aber Unternehmen eine wirklich explizit umfassende und professionelle All in One-Lösung mit schneller Einrichtung, kommt man an Malcare nicht vorbei.

Hier findest du Malcare »


Wordfence Security


Wordfence wurde von mehr als 100 Millionen mal heruntergeladen und 2 Millionen mal aktiviert. Das allein zeigt schon beeindruckend, dass das Plugin zu den wichtigsten Security Plugins auf dem Markt gehört. Wordfence Security schützt vor Malware sowie Hackerangriffen und erlaubt es zudem Malware zu finden, die bereits das System verseucht hat. Dabei lässt sich das komplette Systeme prüfen und Wordfence zeigt z.B. welche Dateien geändert wurden und welche Dateien unter Umständen Schadcode beinhalten könnten. Außerdem weist Wordfence auf fehlende Updates hin.

Eine weitere beeindruckende Zahl von Wordfence: In 30 Tagen blockiert das Plugin weltweit mehr als 30 Milliarden Angriffsversuche! Über 200.000 IP’s wurden blockiert, weil von ihnen Angriffe ausgingen. So trägt Wordfence effektiv zur Sicherung des Web bei.

Zusätzlich zu den normalen Features, zum Beispiel wie der doppelten Authentifizierung, stoppt das Plugin vor Bruce-Force-Angriffen. Zudem scannt das Plugin die Webseite ab und stellt fest, ob diese bereits infiziert wurde. Sicherheitslücken werden so aufgedeckt und können behoben werden. Nach der Installation von Wordfence Security bieten sich jede Menge Möglichkeiten und Funktionen. In Textform erklärt eine integrierte Tour die wichtigsten Merkmale, sodass auch Einsteiger sich zurecht finden.

Das Plugin bietet verschiedene sinnvolle Features wie einen automatischen Malware-URL-Scan, einen Schutz vor Bruce-Force-Angriffen beim Login oder das Zurückgreifen auf das Wordfence-Netzwerk. Hier eine Übersicht über die Features von Wordfence:

  • Endpoint Firewall
    Extrem schnelle Firewall, die jede Anfrage zuerst durchprüft und erst im Anschluß an WordPress selber weiterleitet. Wer Premium nutzt, bekommt real-time Updates der Malware Signaturen, Firewall Regeln und IP Blacklists. Die kostenfreie Version aktualisiert das nur alle 30 Tage.
  • WordPress Security Scanner
    Der Wordfence Scanner prüft WordPress, Themes und Plugins auf Malware, schlechte URLs, Hintertüren, SPAM, Schadcode, bösartige Weiterleitungen und Codeeinschleusungen. Wer Premium nutzt erhält die Malware Signaturen etc. in real-time.
  • Brute Force protection
    Absicherung des Loginbereichs gegen Brute Force Attacken.
  • Threat Defense Feed
    Der Threat Defense Feed füttert Wordfence mit den neuesten Viren-Signaturen, Bad IP Listen, Firewall-Regeln usw. Premium Mitglieder real-time, alle anderen 30 Tage später.
  • Wordfence Central
    Mit der Wordfence Central lassen sich mehrere Webseiten zentral securitytechnisch administrieren.
  • Leaked Password Protection
    Wordfence schützt den Loginbereich bei Versuchen sich mit gestohlenen Zugangsdaten einzuloggen.
  • Live Traffic
    Der Wordfence Live Traffic ermöglicht es live mitzuverfolgen welche Zugriffe auf der Site passieren. So lassen sich Angriffe besser analysieren.
  • Advanced Manual Blocking
    Mächtige Waffe um unerwünschte Besucher und Angriffe zu blockieren, indem manuelle Ausschlüsse definiert werden.
  • Repair Files
    Wordfence kann nicht nur kompromittierte Dateien aufspüren, sondern auch reparieren. Ist zum Beispiel der Code von WordPress verseucht, macht Wordfence darauf aufmerksam und stellt die Originaldateien wieder her.

Die Premium Version von Wordfence

Auch Wordfence bietet eine bessere Variante für sein Plugin an. Diese umfasst unter anderem folgende zusätzliche Features:

  • Country Blocking
    Wer oft aus anderen Ländern angegriffen wird und eigentlich keine Besucher oder Kunden aus diesen Ländern sein Eigen nennt, der kann diese Länder mit Wordfence Premium einfach blocken.
  • Two Factor Authentication
    Wie bei iThemes ein Premium Feature: Der Login kann durch eine zusätzliche Codeabfrage, gesteuert über Mail oder Smartphone, abgesichert werden. Eine der sichersten Möglichkeiten einen Login abzuschotten.
  • Real-Time Firewall Regeln
    Die Regeln, die die Firewall zur Firewall machen, müssen ständig aktualisiert werden. Neue Angriffsformen müssen über diese Regeln blockiert werden. Typische Angriffsmuster durch Verbesserung erkennbar bleiben. In der Premium Version erhält man quasi ständig diese Updates. In der Free Version nur 30 Tage später. Ein großer Vorteil der Premium Variante!
  • Real-Time-Malware Signaturen
    Viren und Malware zu erkennen, geht nicht so einfach. Sind sie mal bekannt, wird mit Signaturen versucht flächendeckend einen Schutz aufzubauen über alle Rechner, Webseiten, Securitysysteme hinweg. Bei Wordfence Premium werden heute bekanntgewordene Signaturen direkt eingespielt. Quasi ein sofortiger Schutz. Bei Free erst 30 Tage später. Auch hier ein großer Vorteil der Premiumversion.
  • IP Blacklist
    Wordfence sammelt IP Adressen, die Angriffe verüben und schützt durch Filterung dieser IP Adressen Premium Mitglieder.
  • Persönlicher Support
    Auch Wordfence bietet Ansprechpartner über ein Ticketing-System. Kommt man also bei der Absicherung nicht weiter, hilft Wordfence mit seinen Spezialisten weiter.

Der Preis für Wordfence PremiumPro liegt bei 99$ für 1 Site pro Jahr.
Weitere Sites benötigen ebenfalls eine eigene Lizenz. Allerdings werden diese in Stufen günstiger, je nach Anzahl abzusichernder Sites.

Hier findest du Wordfence Premium »

Ein kurzes Vorstellungs-Video von Wordfence (leider in Englisch):


Block Bad Queries


BBQ setze ich ebenfalls bei der Absicherung meiner Kunden und auch meiner eigenen Webseiten ein. Es blockiert klassische Angriffswege, wie die Einschleusung von Code in URLs, Datenbank, Dateien. Für mich ein Muss bei der Security von WP. Es basiert auf der 7G-Firewall, die sich zur Absicherung von WP sehr bewährt hat. In der kostenpflichtigen Pro Variante hat man durch ein Pattern Tool die Möglichkeit zu prüfen, ob typische Angriffsvarianten auf URLs blockiert werden. So ist man sicher, dass das Plugin greift. Bei Security vertraut man immer den Anbietern, zumindest muss man das. Gut einfach prüfen zu können, das Angriffe tatsächlich blockiert werden.


Hide My WP


Dieses Sicherheits-Plugin erlaubt es, anonym Daten von der Webseite zu analysieren. Deshalb ist Amazing Security Plugin für WordPress besonders für Webseiten geeignet, die Sicherheitsprobleme haben. Jede Sicherheitslücke wird aufgedeckt und automatisch beseitigt. Nutzer haben nach der Installation keinen weiteren Aufwand. Die angewandte Technik ist die einfachste, schnellste und effektivste, um WordPress-Seiten zu schützen. Permalink-Autoren können geändert werden und sämtliche Inhalte werden durch Hide My WP gesichert und geschützt.

  • Tägliche Übersicht über neue Sicherheitslücken in Plugins und Themes
  • Schutz vor CSS, Brute Force Attacken, SQL Injections
  • Verstecken von Themes, Plugins, Loginbereich, etc.
  • Auswertungen über Angriffsversuche
  • Verstecken, dass man WP nutzt
  • Direkter Zugriff auf PHP verhindern

Man sieht die Liste ist lang und längst nicht vollständig. Hide My WP steht schon länger auf meiner Liste für die nächste Absicherung meiner eigenen Webseite. Bei Codecanyon ist Hide My WP das best verkaufte Security Plugin.


Sucuri Security


Das Unternehmen Sucuri ist dafür bekannt, dass es in regelmäßiger Folge Sicherheitslücken aufdeckt, die der WordPress-Seite Schaden zufügen könnten. Sucuri Security liefert einen Anti-Virus-Service sowie eine echte Firewall und bietet angepasste Lösungen für WordPress. Die Firewall des Sucuri WordPress Security Plugins ist nur nutzbar, wenn die kostenpflichtige Variante gewählt wird. Das Plugin ist eher für Entwickler sowie Administratoren geeignet, die sich mit der Analyse der Informationen auskennen. Für Einsteiger, die eine kostenfreie Version suchen, sind die Funktionen stark eingeschränkt. Das Plugin schaltet sich direkt vor den Server und sorgt dafür, dass schädliche Anfragen blockiert werden. Das steigert die Sicherheit und erhöht die Performance der Webseite.

Die kostenlose Variante bietet die Standardsicherheiten wie beispielsweise einen Verbot für PHP-Dateien, Deaktivierung des Plugin- und Theme-Editors. Das Plugin eignet sich für professionelle Kunden, die bei einem Ausfall große Verluste erleiden können. Der Vorteil bei Sucuri Security liegt darin, dass man sich komplett um das Angebot kümmert. Das bedeutet, dass der Blog via Scans und Monitoring überwacht wird. Bei Bedarf greift das Plugin ein und entfernt den Schadcode, anstatt lediglich eine Meldung zu senden. Im Falle eines Falles greift das Unternehmen ein und beseitigt Sicherheitsprobleme zeitnah auf allen Ebenen.

Sucuri bietet übrigens auch einen Scanner an, der prüft, ob eine Site von Malware befallen wurde. Sehr hilfreich im Fall der Fälle.


Google Authenticator


Der Google Authenticator bedient sich der Zwei-Faktor oder Zwei-Schritt-Authentifizierung, wenn Nutzer sich bei WordPress einloggen möchten. Google-Konten sind sicher vor fremden Zugriffen, auch wenn das eigene Passwort in fremde Hände gelangen sollte. Durch die zweifache Verification ist neben der Eingabe des „normalen Passwortes“ ein automatisch generierter Code erforderlich. Dieser funktioniert nur einmal. Der Code wird per SMS oder über die Google-Authenticator-App übermittelt. Nur, wenn der Code eingetippt wurde, erhält der Nutzer Zugang zu den Anwendungen, die mit dem Google-Konto verknüpft sind. Der Google Authenticator ist für Android sowie iPhones verfügbar und die Software wird über den Google Play Store installiert.


BulletProof Security


WordPress BulletProof Security deckt die drei Hauptbereiche Firewall, Login und Datensicherheit ab. Das Plugin zeichnet sich durch eine einfache Einrichtung aus, die auch für Einsteiger leicht zu bewerkstelligen ist. Für erfahrenere Nutzer bietet das BulletProof Security-Plugin weitere spezifische Einstellungsoptionen. Die wichtigsten Einstellungen sind mit wenigen Klicks erledigt. Das Plugin zeigt mit „Rot“ an, was noch nicht sicher ist und mit „Grün“ wird der sichere Bereich signalisiert. Das Plugin schützt vor Remote File Injection (RFI), Cross Site Scripting (XSS), Base64 und anderen Code-Einspeisungen, die durch Einhacken Schaden anrichten können.


VaultPress


Bei VaultPress handelt sich um ein Premium-Plugin bzw. einen Service, der von Automatic, den Gründern von WordPress stammt. Dieser Service bietet einen einfachen Weg, die Webseite täglich oder in Echtzeit zu überprüfen. Das Tool bietet tägliche Backups, scannt die Webseite und entfernt schädliche Software. VaultPress ist in zwei Versionen erhältlich. Es besteht die Möglichkeit, beide Versionen gleichzeitig zu kaufen. Das Backup-Bundle kostet $ 9 monatlich oder $ 99 im Jahr. Die Kosten für das komplette Security-Bundle belaufen sich auf $ 299 pro Jahr.


WP Security Ninja


Dieses Plugin ist sehr schnell und trägt den Namen Ninja zu Recht. Die Webseite wird super schnell gescannt und Sicherheitslücken werden zeitnah erkannt. Es dauert weniger als eine Minute, die Webseite abzuscannen und alle Angriffsflächen zu erkennen. WP Security Ninja zeigt nach dem Scan alle Sicherheitslücken, die die Webseite angreifbar machen. Mit entsprechenden Links erhalten Nutzer anschließend eine detaillierte Erklärung des jeweiligen Problems und können dieses lösen.

WP Security Ninja ist sehr benutzerfreundlich. Im Zusammenhang mit der Webseiten-Sicherheit sind einige Dinge wirklich sehr einfach, während andere sich als sehr komplex erweisen. Mit WP Security Ninja müssen Nutzer sich nicht mit den Details auseinandersetzen, sondern lediglich den Knopf „Jetzt scannen (scan now)“ drücken und das Plugin kümmert sich um alles. Das Plugin bedient sich über 50 Sicherheitstests.

Auch Bruteforce-Attacken werden erkannt, sodass die Website sicherer wird und vor Angriffen geschützt ist. Mit WP Security Ninja erhalten Nutzer einen Core-Scanner, Maleware-Scanner, einen Event Logger und einen Scheduled Scanner in einem. WP Security Ninja arbeitet sehr schnell und effektiv. Die Liste der Features sorgt dafür, dass die WordPress-Seite vor Angriffen geschützt ist.


All in one WP Security & Firewall

All in one WP Security & Firewall vereint nützliche Codes und bekannte Tweaks, die der Sicherheit dienlich sind. Das Plugin bietet eine kleine Firewall, die Möglichkeit, Registrierungen sowie Benutzer zu überwachen, das Datenbank-Präfix zu ändern und Tweaks gegen Bruce-Force-Angriffe. Durch die vielseitigen Schutzmechanismen eignet sich All in one WP Security vor allem für Anfänger, die einen Standardschutz benötigen.

Das Plugin integriert viele Möglichkeiten in einem und ist dadurch für Einsteiger direkt sowie einfach zu integrieren. Im Bereich der Menüführung ist All in one WP Security übersichtlich und kann intuitiv bedient werden. Das Anpassen und Optimieren wird Nutzern vereinfacht. Je höher der Score liegt, desto besser ist WordPress im Bereich der Sicherheit optimiert. Nutzer sehen sofort, welchen Sicherheitsstatus die Webseite derzeit hat oder wie weit der Blog bereits gesichert ist. Durch den „Highscore“ sind vor allem Anfänger ohne Programmierkenntnisse in der Lage, einen zeitnahen Überblick zu erhalten.

Das Plugin überzeugt durch seine Funktionsvielfalt. Viele Features anderer Plugins sind in All in one WP Security vereint, sodass es für Anfänger kein Problem ist, die eigene Webseite einfach und zeitnah zu sichern, soweit es mit einem Plugin möglich ist. Der Name des Plugins ist Programm, denn dieses bietet eine Sammlung bekannter Absicherungsmechanismen.


Weitere WordPress Security Plugins auf dem Markt

Es gibt noch diverse andere WordPress Plugins um die Website abzusichern. Diese ausführlich zu besprechen würde den Rahmen sprengen und die bereits vorgestellten Lösungen bieten bereits einen umfassenden Schutz. Der Vollständigkeit halber sollen sie aber nicht unerwähnt bleiben:

Jetpack

Das viele Funktionen umfassende Plugin Jetpack bietet seinen Nutzern auch Security Features. D.h. wenn du Jetpack nutzen musst oder möchtest (ich rate in der Regel davon ab, weil es DSGVO Probleme hat und die Site mit zu vielen unnötigen Funktionen belastet), kannst du zumindest einen Teil deiner Security-Strategie durch Jetpack abdecken (Backup, Malware Scan, Anti-SPAM, Anti-BruteForce, Activity Log). Von einer kompletten WP Firewall ist Jetpack aber weit entfernt.

Defender

Defender bietet einen einfachen Security Layer für deine Websites. Darin findest du folgende Funktionen: Zwei-Faktor-Authentifizierung, Login-Schutz, Login-Sperre, Security Header, 404-Erkennung, Geolocation IP-Lockout, IPs blockieren oder zulassen, Dateieditor deaktivieren, Sicherheitsschlüssel aktualisieren, Ausführung von PHP verhindern.

WP Hide & Security Enhancer

Dieses Plugin geht den Weg von „Security by Obscurity“ und sichert WP nicht per se ab, sondern versucht das System so zu verbergen, dass Hacker gar nicht erst erkennen können, dass es sich um WordPress handelt. Wie sicher das ist, ist zumindest zweifelhaft und so sollte diese Lösung vor allem nicht als einzige Absicherung genutzt werden.

Security & Malware scan by CleanTalk

Gute Lösung um einen Basis-Schutz für WP zu erreichen. Umfasst: Security FireWall zum Filtern des Zugriffs auf Ihre Website nach IP, Netzwerken oder Ländern, Web Application Security Firewall, Sicherheits-Malware-Scanner mit AntiVirus-Funktionen, Täglicher automatischer Malware-Scan, Stoppt Brute-Force-Angriffe zum Hacken von Passwörtern, Limitierte Login-Versuche, Sicherheitsschutz für das WordPress-Anmeldeformular, Zwei-Faktor-Authentifizierung, Benutzerdefinierte wp-login URL

WP Activity Log

Mit WP Activity Log lässt sich in Real-Time der Traffic auf der Site analysieren und somit auch Angriffsversuche erkennen. So können zB dann gezielt IP Adressen gefiltert werden, die Angriffe starten.

Cerber Security, Anti-spam & Malware Scan

Eine weitere sehr umfangreiche WordPress Security Suite, mit deren Hilfe eine Basissicherung geschaffen werden kann. Die Features aufzuzählen würde den Rahmen sprengen. Gehört sicher zu den besten und umfangreichsten kostenfreien Lösungen für mehr WP Sicherheit.

Limit Login Attempts Reloaded

Mit diesem Plugin lässt sich der Login (Backend, WooCommerce, User Logins im Frontend, etc.) absichern. Angreifer-IPs werden blockiert. E-Mail Benachrichtigungen werden verschickt. Arbeitet problemlos parallel zu Wordfence und Sucuri und ist auch zu Multisites kompatibel.

HTTP Headers

Über HTTP Header tauschen Clients und Server Informationen beim Abruf von Websites aus. Über das Plugin HTTP Headers lässt sich kontrollieren, welche HTTP Header akzeptiert werden und wann Anfragen blockiert werden sollten. So lässt sich zB unterbinden, dass iFrames von fremden Domains geladen werden, wenn der HTTP Header X-Frame-Options entsprechend gesetzt wurde. Gehört sicher zu den fortgeschrittenen Möglichkeiten die Website noch weiter abzusichern.


WordPress Security Plugins und die DSGVO

Generell gilt, dass es die Pflicht eines Webseitenbetreibers ist, für die Sicherheit der User und deren Daten zu sorgen. Das muss im Rahmen der in der DSGVO beschlossenen Eckpunkte geschehen. SSL Verschlüsselung auf Websites, keine Veröffentlichung und illegale Sammlung von Benutzerdaten und kein unerlaubtes Tracking sind Gang und Gäbe. Aber auch die Absicherung einer Website mit Security Maßnahmen gehört dazu, Besucher auf der Website zu schützen. Die hier vorgestellten Plugins sind dafür geeignet, manche geraten aber in eine Art Interessenskonflikt mit der DSGVO (mehr Infos zu bekannten Security Plugins und die DSGVO findest du hier), da teilweise Daten gesammelt werden um die Website zu schützen, wie es die Datenschutzbehörden nicht gerne sehen. So wird zB die IP Adresse in dem einen oder anderen Plugin in der lokalen Datenbank (oder gar in einer externen Datenbank) gespeichert um Brute Force Attacken zu unterbinden.

Was also einen guten Zweck hat, kommt hier in Konflikt mit Datenschutzvorgaben. Man könnte hier evtl. auf „Berechtigtes Interesse“ bei der Datensammlung pochen, sollte aber versuchen die Datensammlung weitestgehend zu minimieren. Webseitenbetreiber haben wenig Chance beides unter einen Hut zu bekommen, wenn sie sowohl die perfekte Sicherheit, als auch den perfekten Datenschutz gewährleisten wollen. So sollte also zB die externe Speicherung der IP Adresse für die Nutzung eines weltweiten Netzwerkes zur Brute Force Blockierung in Frage gestellt werden. Vielleicht reicht auch schon der lokale Schutz. Alles besser als IP Adressen zB in die USA zu schicken. Einen AV mit dem Webhoster natürlich vorausgesetzt, der die Daten speichert und ggfs. verarbeitet. Und die Erläuterung in der Datenschutzerklärung nicht vergessen.


Schlussfolgerung

Webseitenbetreiber sind für die Sicherheit der Seiteninhalte selbst verantwortlich. Inhalte sind das Resultat von aufgewendeter Zeit, harter Arbeit und Publikationen, sodass es sinnvoll ist, diese so stark wie möglich zu schützen. Die aufgeführten Plugins sind hilfreich und bieten einen Extra-Schutz, der über die Webseite gelegt wird und diese sicherer macht. Trotzdem sollten Wachsamkeit und Vorsicht immer das Hauptschild sein, das vor Hacker-Attacken schützt.

Wer nicht damit vertraut ist, dass WordPress-Seiten ohne Schutz gefährdet sind, sollte sich mit den Möglichkeiten vertraut machen, die ein Sicherheits-Plugin bietet. Es ist wichtig, etwas über die Sicherheits-Plugins zu lernen und sich umfassend zu informieren. Je mehr Nutzer über Sicherheitslücken und Hacker-Angriffe wissen, desto besser können die genannten Plugins ihren Dienst erfüllen. Wer sich darum keine Gedanken machen möchte, der meldet sich gerne bei mir und lässt sich zum Thema WP-Security beraten.

Übrigens können Security Plugins immer nur ergänzend zur allgemeinen Sicherheitsstrategie sein. Es gibt Maßnahmen, die nicht über Plugins gelöst werden. Ebenso sollte es selbstverständlich sein, eine WordPress Site immer aktuell zu halten, damit mögliche Sicherheitslücken das System angreifbar zu machen.


Häufig gestellte Fragen zu WordPress Security Plugins

Welche sind die besten WP Security Plugins?

Zuallererst wären da iThemes Security und Wordfence Security zu nennen. Mit jeweils 7-stelligen Installationszahlen sind sie sehr populär und werden von deren Entwicklern auch permanent und konsequent weiterentwickelt um Webseitenbetreibern die Absicherung ihrer Website so einfach wie möglich zu machen. Wichtig ist allerdings hierbei, dass beide Plugins korrekt eingerichtet werden sollten, damit sie ihre volle Wirkung entfalten. Eine falsch oder unzureichend eingerichtete Firewall nutzt wenig.

Wo kann ich einen WordPress Security Check machen?

Auf wpsec.com kann man WordPress-Websites auf Security-Probleme hin untersuchen lassen. Auch auf sitecheck.sucuri.net kann man WordPress Websites auf Malware hin überprüfen.

Benötige ich Plugins um WordPress sicherer zu machen?

Nein, Profis schaffen es auch WordPress Websites ohne Plugins abzusichern. Mit Hilfe von Direktiven in der .htaccess-Datei, mit Servereinstellungen und auch serverseitigen Firewalls (WAF) lassen sich Websites ausreichend absichern. Wer keine Erfahrung darin hat bzw. den Aufwand auf ein Minimum beschränken muss, der kann mit Hilfe von Plugins eine gute Basis-Sicherheit für WP Websites erreichen.

Benötige ich mehrere Plugins um WP sicher zu machen?

Nein, in der Regel reicht 1 Plugin um WordPress abzusichern. Mit Hilfe von .htaccess-Direktiven lassen sich fehlende Security-Einstellungen nacharbeiten. Ich selbst setze 2-3 verschiedene Plugins zur Absicherung von WordPress ein, die allesamt die Site nicht verlangsamen, aber eine bequeme Art und Weise darstellen, WordPress Websites zuverlässig zu sichern.

Ist WordPress sicher?

WordPress ansich ist genauso sicher oder unsicher wie andere Content Management Systeme oder auch andere Software. Wo Menschen Code schreiben müssen um im Web Funktionen und Websites darzustellen, werden auch immer potentiell Sicherheitslücken auftreten können. Durch die Erweiterung von WordPress mit Plugins und Themes wird auch die Code-Basis der Website erweitert, was zu weiterer potentieller Angriffsfläche führen kann, wenn diese Software nicht sauber programmiert wurde oder aber nicht ständig aktualisiert wird. Eine regelmäßige Wartung ist essentiell bezüglich der Sicherheit. Grundsätzlich ist WordPress aber wie geschrieben nicht unsicher. Es ist nur wichtig das System vor möglichen Angriffen abzusichern und die Wartung korrekt durchzuführen oder durchführen zu lassen. Andere Systeme wie Joomla oder Typo3 stehen vor genau der gleichen Problematik.

Kann man WordPress 100% sicher machen?

Keine Website wird je auf Dauer 100% sicher sein. Wo Software im Einsatz ist und Menschen für die Wartung dieser zuständig sind, wird es auch immer wieder zu Sicherheitslücken kommen. Mit Hilfe von Security Maßnahmen lassen sich diese Probleme aber auf ein Minimum reduzieren, so dass die allermeisten Angriffsversuche blockiert werden und erfolgreiche Angriffe weniger Auswirkung zeigen können.

Sollten WordPress Websites immer aktuell gehalten werden?

Da Sicherheitslücken in Bestandteilen von WordPress entdeckt werden können, sollten diese auch immer zeitnah geschlossen werden. Daher empfehle ich mind. 1x monatlich alle Updates in der Site einzuspielen. Wichtig hierbei ist auch, dass Premium Plugins und Themes aktiviert werden, damit überhaupt Updates angezeigt werden. Ein klassisches Problem bei der Wartung von WordPress Websites und auch ein typisches Einfallstor bei möglichen automatisierten Hacks.

 

Hat dir mein Beitrag geholfen?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 4.1 / 5. Anzahl Bewertungen: 23

Profi-Tipp

Die Security deiner Website hängt natürlich von der Konfiguration und vom generellen Setup deiner Website ab. Das Theme, die Plugins und WordPress selbst sind aktuell zu halten, um Sicherheitslücken zu schließen. Mit Firewall-Regeln und entsprechenden Security-Plugins lassen sich viele Angriffe abfangen. Ein guter Hoster kann dabei helfen und auch noch weitere Sicherheitsebenen einziehen, die schon vor dem Aufruf der Website greifen. Hier habe ich dir die besten deutschen WordPress Hoster zusammengestellt. Und wenn du auf der Suche nach einem spezialisierten WordPress Hoster bist, der auch das Thema Sicherheit vollumfänglich bedient, dann empfehle ich dir meinen Testbericht zu HostPress.

Letzte Version vom 10. April 2024 von Netzgänger

Beliebte Artikel

Wie gut ist HostPress, der spezialisierte WP Hoster?

Als WordPress-Entwickler habe ich viel mit Hostern zu tun. Hier liest du meine Erfahrungen zu HostPress und warum ich jetzt selber in einigen Projekten auf den Hosting-Anbieter setze.

Die besten Webhoster im Vergleich

Als WordPress Entwickler kenne ich alle guten Hoster. Hier zeige ich dir die besten WP Hoster und welcher für dich Sinn macht.

Muss WordPress gewartet werden?

Müssen WordPress Sites gewartet werden? Braucht es die regelmäßigen Updates oder kann man sich den Aufwand sparen? Das erkläre ich hier.

Die besten WP Security Plugins

WordPress solltest du immer absichern. Dafür gibt es diverse Plugins, die dich bei den Securitymaßnahmen unterstützen. Meine Empfehlungen.

Die besten Plugins für Auto-Übersetzung

Hier zeige ich dir 4 Plugins, die es ermöglichen WordPress automatisch zu übersetzen. Von wirklich gut bis wirklich schlecht ist alles dabei.

Die besten Plugins für Mehrsprachigkeit

Mit diesen 5 Plugins kannst du WordPress ganz einfach selber mehrsprachig einrichten. Multi-Language Fähigkeit in WP nachrüsten.

Bildnachweise: Freepik - Flaticon

Kommentare

  • Thomas

    Guter Beitrag.
    Leider gibt es iThemes Security nicht mehr, schon gar nicht zu dem Preis. iThermes ist jetzt Solid Security, startet nach wie vor bei $99.-/Jahr, aber 10 Sites sind dann schon $299.-. Preislich nähern sich die verschiedenen Tools einander an. Auch das User-Interface ist nun komplett anders.

    Beste Grüsse,
    Thomas

    Reply

  • Marleen

    Hi René, I have two favorites: Wordfence and BBQ, but website security is not only about a lot of plugins 🙂

    Reply

  • Frey Marketing

    Hallo René,

    ein super Blogbeitrag finde ich, alles auf dem Stand der Zeit. Danke!

    Nur bei einem Detail ist mir etwas aufgefallen: Beim Malcare-Plugin hast Du geschrieben dass es nicht kostenlos sei. Es gibt allerdings eine kostenfreie Version davon (nur Account anlegen).
    Dieses Plugin nutze ich schon seit einem Jahr und es macht echt einen klasse Job. Die Bezahlversionen bieten dann noch viele ergänzende, nützliche Features für Power-User. Aber die Free-Version reicht eigentlich aus.

    Reply

  • Häuser E.

    Hallo,
    Sehr hilfreiche Plugins gelistet.
    Vielen Dank.

    Reply

  • Mihael

    Hallo René,
    danke für diese tolle Liste und die ausführliche Beschreibung. Ich persönlich würde noch WP Guard ergänzen. Zudem gibt es ja noch ein paar kleinere sehr nützliche Plugins, die Limit Login Attempts oder Hide my Login, die auch hilfreich sein können. Zumindest, wenn die Funktionen nicht in der gewählten größeren Lösung bereits drin sind.

    Reply

  • danny

    Völlig außer Acht gelassen:

    Defender

    … warum?

    Reply

  • Tobe

    Hilfreiche Übersicht. Ich habe mal Wordfence mit BBQ kombiniert, scheinen sich zu ergänzen. Sicher bin ich mir da aber noch nicht.

    Reply

  • Frank

    Super Beitrag, danke, ich habe gleich WordFence getestet, bin mir aber noch nicht sicher. Wir benutzen häufig NinjaFirewall Das hat ähnliche Funktionen, ich finde dabei die Alarmfunktion super.

    Grüße Frank

    Reply

  • Rüdiger

    Hallo,

    das ist eine super Zusammenstellung, klasse!

    Hast Du schon mal im Detail analysiert, in wie weit diese Tools einen Impact auf die Performance haben? Ich habe mal ein paar nicht-repräsentative Tests gemacht und konnte einen Unterschied bis hin zu 25% feststellen – bei einer einfachen Seite ohne Last und mit sehr einfacher Struktur…

    Gruß
    Rüdiger

    Reply

    • René Dasbeck Post author

      Hallo Rüdiger, ich habe es nicht im Detail getestet, konnte aber zumindest keinen offensichtlichen Performancenachteil feststellen. Allerdings würde hier die Sicherheit vor Performance gehen. Mit welchem Plugin konntest du die Einbrüche feststellen?

      Reply

  • Scott

    Vielen Dank, dass Sie eine so gute Liste von WordPress-Sicherheits-Plugins freigegeben haben. Aus meiner Sicht ist das Wordfence-Sicherheits-Plugin das Beste. Ich habe es zuerst über WPblog herausgefunden, und nach der Installation hatte ich noch nie einen Sicherheitsbruch, der früher recht häufig war. Danke noch einmal

    Reply

    • René Dasbeck Post author

      Mehrere Wege führen zum Ziel. Wordfence ist auch ein hervorragendes Plugin. Ich nutze eher iThemes. Aber das ist Geschmacksache. Wichtig ist, dass man die möglichen Sicherheitslücken schließt. Mit welcher Lösung ist dann zweitrangig.

      Reply

  • Nancy

    Danke für den Beitrag! Genau danach habe ich gesucht, da ich auf meinen noch neuen Blog immer mal wieder Hacker Angriffe sehe, bisher zum Glück ohne Erfolg für die Gegenseite 😉
    Viele Grüße, Nancy

    Reply

  • Era

    Thanks for advising to rely on just security plugins. This sentence helped me lots. Currently, I’ve been using iTheme Security which is the best security plugin to configure & setup easily.
    I also want to ask you if there are more ways to take backup of wp site except plugins.
    Thanks & keep it up.

    Reply

  • Petra

    Hallo Renè,
    danke für die Tipps. Ich bin Anfänger und schrecke vor Plugins zurück, wo man viel einstellen muß, deshalb würde ich mich evtl für BBQ entscheiden. Ist die Seite damit ausreichend geschützt oder sollte man ein weiteres Sicherheits-Plugin verwenden (welches sich mit BBQ „verträgt“)? Ich nutze sonst nur noch Updraft Plus zur Datensicherung.
    Wordfence scheint auch umfassenden Schutz zu bieten und leicht und einfach bedienbar zu sein, doch wie ich recherchiert habe, ist nur das BBQ DSGVO konform?
    Vorab Danke für eine Antwort

    Reply

    • René Dasbeck Post author

      Ich würde noch ein weiteres dazunehmen. Etwa iThemes. Ob datenschutzkonform oder nicht, dass ist nicht abschließend geklärt. In meinen Augen hat man berechtigtes Interesse für Sicherheit auf der Site zu sorgen, indem man IP Adressen gegen Hackversuche in der lokalen Datenbank des Webhosters speichert. Mit dem hat man ja auch eine Datenschutzvereinbarung.

      Reply

  • Tobias

    BBQ ist wirklich ein klasse Plugin…

    Aber leider verstehe ich bei solchen Security-Plugin-Vorstellungen immer nicht, warum NinjaFirewall nie mit aufgenommen wird.

    Es hat in mehreren Tests bewiesen, dass es deutlich performanter und besser vor Angriffen schützt als die hier vorgestellten Alternativen.

    Reply

  • haardtwind

    Einfach sehr tolle Tipps für die Sicherheit

    Reply

  • Helga Weber

    Hallo Rene,
    1. kannst du mir sagen, ob eine ganz normale statische Website, die mit WordPress erstellt ist, Cookies nutzt?

    2. Wenn das Plugin All on One WP Security und Statify verwendet werden. Nutzen diese Cookies?

    Ich weiß nicht was ich in die Datenschutzerklärung schreiben soll?
    Google und Social Media, etc. wird nicht verwendet.

    Danke für Deine Hilfe.
    Helga

    Reply

  • H. Weber

    Hallo René,
    wenn man in WP eine einfache Site ohne Kommentarmöglichkeit, nur mit einem Kontaktformular erstellt, braucht man dann eine Datenschutzerklärung?

    Wie ändert sich die Situation, wenn die beiden Plugins
    All in One WP Security und
    statify
    installiert werden?
    Mich interessiert zudem, ob hier Cookies verwendet werden?

    Google und Social Media wird nicht verwendet.

    VG und Dankeschön für die Info.
    Helga

    Reply

    • René Dasbeck Post author

      Eine Datenschutzerklärung braucht man in jedem Fall. Siehe nochmal bei Schwenke. Wenn da auch nur bei einem Kriterium der Haken auf „ja“ gesetzt wird, wird eine benötigt.

      Reply

  • Micha

    Hi René,
    kann man auch zwei Sicherheits-plugins gleichzeitig laufen lassen oder behindern diese sich?
    WP Security und Wordfence gemeinsam?
    Dankeschön und viele Grüße
    Micha

    Reply

  • Heike Lorenz

    Hi René,
    ganz kurze Frage: was hältst du von „All In One WP Security“, das habe ich im Einsatz und überlege gerade, ob ich zu „iThemes Security“ wechseln soll….

    VG & Danke für eine Info
    Heike

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert