Die besten WordPress Security Plugins 2024

WordPress Sicherheits-Plugins sind auch für Nutzer gut bedienbar, die mit Programmiertechniken weniger vertraut sind. Einige der Tools helfen, ein sichereres Passwort zu erzeugen, andere Features blocken unsichere IP-Adressen und verhindern so genannte Brute-Force-Angriffe durch Password-Hacks. Sicherheits-Plugins helfen mit Firewalls dafür, dass Angriffe auf die WordPress Website erfolglos bleiben. Dieser Artikel informiert über die besten WordPress-Plugins, die der Sicherheit dienen und Hackerangriffe verhindern. Natürlich sind diese Plugins nur in der richtigen Konfiguration sinnvoll und sollten ein Teil der Security-Strategie sein. Ein guter Anfang sind diese Plugins allemal, bis dann der Profi dran geht und WP sicher macht.

iThemes Security

Das Plugin wurde von iThemes entwickelt und ist ideal für Einsteiger und Nutzer geeignet, die erweiterte Einstellungen nutzen. Die Installation per Klick ist für unerfahrene Nutzer einfach und die möglichen Einstellungen lassen sich leicht vom Menü aus bewerkstelligen. Mit dem iThemes Security Plugin ist die Wartung einfach, denn das Menü präsentiert dem Nutzer die Sicherheitseinstellungen, die vorzunehmen sind. Die Sicherheitseinstellungen sind in einer Liste aufgeführt, die von leichter bis zu hoher Sicherheit reicht. Wichtig zu wissen ist, dass WordPress erst nach der Konfiguration der einzelnen Bereiche ausreichend gesichert wird. Natürlich liefert die reine Installation von iThemes bereits eine Grundbasis für Security. Alle weiteren möglichen Optionen für die Optimierung der Security sollten allerdings zusätzlich beachtet und berücksichtigt werden.

iThemes ist das Securityplugin meiner Wahl und findet auch in Securitymaßnahmen für meine Kunden seinen Platz. Unter anderem sichert iThemes ab gegen:

• BruteForce Attacken
• Codeeinschleusungen
• SQL Injections
• Angriffe auf das Backend
• 404 Angriffe
• PHP Ausführungen, die nicht erlaubt sind

Kleiner Tipp: Unter Umständen wird man von iThemes Security etwas zugespamt mit E-Mails, wenn man recht unter Beschuss von automatisierten Login-Versuchen ist (Brute-Force). Hier empfiehlt es sich im neuen Benachrichtigungscenter des Plugins die Benachrichtigungsmails auf 1x täglich zu limitieren und nicht jede Blockierung eines Login-Versuchs direkt als Nachricht verschicken zu lassen.

Die Pro Version von iThemes: Noch mehr Sicherheit?

iThemes in der kostenfreien Variante bietet schon mal einen sehr guten ersten Schutz. Wer noch mehr für Sicherheit tun möchte, kann mit iThemes Pro noch mehrere Security-Ebenen einziehen. Die Pro Version bietet unter anderem:

• WordPress Versions Management
  iThemes sorgt dafür, dass die Webseite auf dem neuesten Stand bleibt und aktualisiert automatisch. So wird ein Wartungsvertrag ggfs. überflüssig
• 2-Faktor-Authentifizierung
  Absolut sicherer Login durch Authentifizierung mit den Zugangsdaten und einem Code, den man per Mail oder App gesendet bekommt
• Mehrere Webseiten mit einem Account verwalten
  Bis zu 10 Webseiten aus der Ferne aktualisieren und verwalten
• Persönlicher Support
  Sehr guter persönlicher Support bei Problemen
• Tägliches Malware Scannen
  iThemes scannt täglich automatisch, ob sich Malware oder Viren in der Installation eingenistet haben
• Passwort-Ablaufzeiten definieren
  User können gezwungen werden in regelmäßigen Abständen ihre Passwörter zu ändern
• iThemes Einstellungen exportieren und importieren (für Entwickler interessant)
• Überwachung der Benutzer auf Sicherheitsverstöße oder -probleme
  Prüfen ob Benutzer sicherheitstechnisch das System in Gefahr bringen
• Benutzerprotokollierung
  Protokollierung von Benutzeraktionen in WordPress (Login, Inhalte ändern, etc.)
• Privilege Escalation: Temporäre Zugänge ermöglichen
  Möglichkeit externen Mitarbeitern für einen fest definierten Zeitraum die Site zu administrieren
• Security-Dashboard
• Sicheres passwortfreies Login

Der Preis für iThemes Pro liegt bei 80$ für 1 Site pro Jahr.
10 Sites schlagen mit 127$ pro Jahr zu buche.
Bei unendlich vielen Sites liegt der Preis bei 199$ pro Jahr.

Hier findest du iThemes Pro »

Hier findest du ein Video mit einer kleinen Einführung in iThemes (allerdings auf Englisch):

---

Malcare Security

Malcare hatte mir temporär einen Zugang zu ihrem System eingerichtet, so dass ich deren Security-Lösung für WordPress prüfen konnte. Ich war von Beginn an sehr positiv überrascht, wie professionell Malcare das Thema angeht. Die Einrichtung war für den User ideal gestrickt. Gerade diese „Idiotensicherheit“ (bitte nicht übel nehmen) ist es, was die Suite so interessant macht. Ich habe schon oft Websites gesehen, die vermeintlich abgesichert waren. Beim Blick in die Konfiguration der Securityplugins hat sich dann recht schnell gezeigt, dass die Plugins nur installiert, aber gar nicht eingerichtet wurden. So wird die Security natürlich löchrig und unkomplett.

Besser, wenn der Security-Anbieter dafür sorgt, dass man sich darum gar nicht kümmern muss. Malcare tut das und befindet sich daher recht weit oben in meinem Test.

Was verspricht Malcare?

Malcare verspricht nicht weniger als „das beste Security Plugin für WordPress“ zu sein. Natürlich versprechen das alle. Aber ist es Malcare auch? Ich würde sagen: für den Laien vielleicht schon. Aus bereits genanntem Grund. Wenn ich mich aber ein wenig mit der Materie auskenne, präferiere ich eher die manuellen Einstellungsmöglichkeiten eines iThemes. Das soll gar nicht bedeuten, dass iThemes sicherer wäre. Ich bin nur eine andere Zielgruppe.

Features von Malcare

Tatsächlich liest sich die Featureliste von Malcare schon überragend:

• Ein hervorragender Malware Scan
• Auto-Removal von Malware
• Das System lernt aus Angriffen und Hacks und bereitet die Site auf künftige Angriffe vor
• Für Laien ideal
• Eingebaute Firewall
• Brute Force Protection
• Captcha Logins
• Warnmeldungen, wenn sich jemand einloggt, der es nicht sollte
• Website Härtung
• Erweiterte WordPress Sicherung
• Backups
• Staging Site
• Dashboard um mehrere Sites zu überwachen
• Team-Management
• White Label Solution für Agenturen (nur in der großen Version)
• Reports für Clients (nur in der großen Version)
• Setup in 60 Sekunden
• 3-fach Geld zurück Garantie, wenn Malware nicht entfernt werden kann

Du siehst, hier bleibt kaum ein Wunsch unerfüllt. Für den Laien und auch für Pros gibt es wirklich tolle Features, die Malcare interessant machen.

Was ist der Nachteil von Malcare?

Jetzt kommt der Nachteil: Malcare ist leider nicht kostenfrei. Daher bei mir nicht auf Platz 1. iThemes ist für mich und meine Websites deshalb #1, weil ich es gut steuern kann und es mich nichts kostet. Bereits die Basisversion ist ausreichend, wenn man es denn korrekt einrichtet. Malcare lässt sich seine Services, die über die von iThemes hinaus gehen, natürlich bezahlen. Auto Malware Removal, Auto Setup, Staging Sites, Pro Features wie Reports und White Label…all das kann man nicht kostenfrei anbieten. Daher ist der Preis für Malcare in meinen Augen auch absolut gerechtfertigt.

Was kostet Malcare?

Malcare kostet 99$ pro Jahr für 1 website. Bei 5 websites zahlst du 259$ pro Jahr. Dafür bekommst du eine All in One Lösung mit Premium Sicherheit und Malware Removal. Günstiger als Sucuri, teurer als iThemes. Das muss man einordnen können.

Das Dashboard von Malcare

Wenn du bei Malcare Kunde wirst, erhältst du Zugriff auf ein Dashboard, welches die eine Übersicht über deine Site(s) und den Sicherheitsstatus gibt. Es gibt dir Aufschluss und Kontrollmöglichkeiten über:

• Backup
• Updates
• Scans
• Firewall
• Logs
• Sicherheitsprobleme
• Staging
• Uptime
• …

Fazit

Malcare ist für mich die Überraschung im Test, weil es gar kein so populäres System in DE ist. Ganz zu unrecht wie ich finde. Es ist äußerst mächtig und bietet Laien und Pros unschlagbare Features. Nur der Preis ist natürlich nicht für jedermann bezahlbar. Suchen aber Unternehmen eine wirklich explizit umfassende und professionelle All in One-Lösung mit schneller Einrichtung, kommt man an Malcare nicht vorbei.

Hier findest du Malcare »

---

Wordfence Security

Wordfence wurde von mehr als 100 Millionen mal heruntergeladen und 2 Millionen mal aktiviert. Das allein zeigt schon beeindruckend, dass das Plugin zu den wichtigsten Security Plugins auf dem Markt gehört. Wordfence Security schützt vor Malware sowie Hackerangriffen und erlaubt es zudem Malware zu finden, die bereits das System verseucht hat. Dabei lässt sich das komplette Systeme prüfen und Wordfence zeigt z.B. welche Dateien geändert wurden und welche Dateien unter Umständen Schadcode beinhalten könnten. Außerdem weist Wordfence auf fehlende Updates hin.

Eine weitere beeindruckende Zahl von Wordfence: In 30 Tagen blockiert das Plugin weltweit mehr als 30 Milliarden Angriffsversuche! Über 200.000 IP’s wurden blockiert, weil von ihnen Angriffe ausgingen. So trägt Wordfence effektiv zur Sicherung des Web bei.

Zusätzlich zu den normalen Features, zum Beispiel wie der doppelten Authentifizierung, stoppt das Plugin vor Bruce-Force-Angriffen. Zudem scannt das Plugin die Webseite ab und stellt fest, ob diese bereits infiziert wurde. Sicherheitslücken werden so aufgedeckt und können behoben werden. Nach der Installation von Wordfence Security bieten sich jede Menge Möglichkeiten und Funktionen. In Textform erklärt eine integrierte Tour die wichtigsten Merkmale, sodass auch Einsteiger sich zurecht finden.

Das Plugin bietet verschiedene sinnvolle Features wie einen automatischen Malware-URL-Scan, einen Schutz vor Bruce-Force-Angriffen beim Login oder das Zurückgreifen auf das Wordfence-Netzwerk. Hier eine Übersicht über die Features von Wordfence:

• Endpoint Firewall
  Extrem schnelle Firewall, die jede Anfrage zuerst durchprüft und erst im Anschluß an WordPress selber weiterleitet. Wer Premium nutzt, bekommt real-time Updates der Malware Signaturen, Firewall Regeln und IP Blacklists. Die kostenfreie Version aktualisiert das nur alle 30 Tage.
• WordPress Security Scanner
  Der Wordfence Scanner prüft WordPress, Themes und Plugins auf Malware, schlechte URLs, Hintertüren, SPAM, Schadcode, bösartige Weiterleitungen und Codeeinschleusungen. Wer Premium nutzt erhält die Malware Signaturen etc. in real-time.
• Brute Force protection
  Absicherung des Loginbereichs gegen Brute Force Attacken.
• Threat Defense Feed
  Der Threat Defense Feed füttert Wordfence mit den neuesten Viren-Signaturen, Bad IP Listen, Firewall-Regeln usw. Premium Mitglieder real-time, alle anderen 30 Tage später.
• Wordfence Central
  Mit der Wordfence Central lassen sich mehrere Webseiten zentral securitytechnisch administrieren.
• Leaked Password Protection
  Wordfence schützt den Loginbereich bei Versuchen sich mit gestohlenen Zugangsdaten einzuloggen.
• Live Traffic
  Der Wordfence Live Traffic ermöglicht es live mitzuverfolgen welche Zugriffe auf der Site passieren. So lassen sich Angriffe besser analysieren.
• Advanced Manual Blocking
  Mächtige Waffe um unerwünschte Besucher und Angriffe zu blockieren, indem manuelle Ausschlüsse definiert werden.
• Repair Files
  Wordfence kann nicht nur kompromittierte Dateien aufspüren, sondern auch reparieren. Ist zum Beispiel der Code von WordPress verseucht, macht Wordfence darauf aufmerksam und stellt die Originaldateien wieder her.

Die Premium Version von Wordfence

Auch Wordfence bietet eine bessere Variante für sein Plugin an. Diese umfasst unter anderem folgende zusätzliche Features:

• Country Blocking
  Wer oft aus anderen Ländern angegriffen wird und eigentlich keine Besucher oder Kunden aus diesen Ländern sein Eigen nennt, der kann diese Länder mit Wordfence Premium einfach blocken.
• Two Factor Authentication
  Wie bei iThemes ein Premium Feature: Der Login kann durch eine zusätzliche Codeabfrage, gesteuert über Mail oder Smartphone, abgesichert werden. Eine der sichersten Möglichkeiten einen Login abzuschotten.
• Real-Time Firewall Regeln
  Die Regeln, die die Firewall zur Firewall machen, müssen ständig aktualisiert werden. Neue Angriffsformen müssen über diese Regeln blockiert werden. Typische Angriffsmuster durch Verbesserung erkennbar bleiben. In der Premium Version erhält man quasi ständig diese Updates. In der Free Version nur 30 Tage später. Ein großer Vorteil der Premium Variante!
• Real-Time-Malware Signaturen
  Viren und Malware zu erkennen, geht nicht so einfach. Sind sie mal bekannt, wird mit Signaturen versucht flächendeckend einen Schutz aufzubauen über alle Rechner, Webseiten, Securitysysteme hinweg. Bei Wordfence Premium werden heute bekanntgewordene Signaturen direkt eingespielt. Quasi ein sofortiger Schutz. Bei Free erst 30 Tage später. Auch hier ein großer Vorteil der Premiumversion.
• IP Blacklist
  Wordfence sammelt IP Adressen, die Angriffe verüben und schützt durch Filterung dieser IP Adressen Premium Mitglieder.
• Persönlicher Support
  Auch Wordfence bietet Ansprechpartner über ein Ticketing-System. Kommt man also bei der Absicherung nicht weiter, hilft Wordfence mit seinen Spezialisten weiter.

Der Preis für Wordfence PremiumPro liegt bei 99$ für 1 Site pro Jahr.
Weitere Sites benötigen ebenfalls eine eigene Lizenz. Allerdings werden diese in Stufen günstiger, je nach Anzahl abzusichernder Sites.

Hier findest du Wordfence Premium »

Ein kurzes Vorstellungs-Video von Wordfence (leider in Englisch):

---

Block Bad Queries

BBQ setze ich ebenfalls bei der Absicherung meiner Kunden und auch meiner eigenen Webseiten ein. Es blockiert klassische Angriffswege, wie die Einschleusung von Code in URLs, Datenbank, Dateien. Für mich ein Muss bei der Security von WP. Es basiert auf der 7G-Firewall, die sich zur Absicherung von WP sehr bewährt hat. In der kostenpflichtigen Pro Variante hat man durch ein Pattern Tool die Möglichkeit zu prüfen, ob typische Angriffsvarianten auf URLs blockiert werden. So ist man sicher, dass das Plugin greift. Bei Security vertraut man immer den Anbietern, zumindest muss man das. Gut einfach prüfen zu können, das Angriffe tatsächlich blockiert werden.

---

Hide My WP

Dieses Sicherheits-Plugin erlaubt es, anonym Daten von der Webseite zu analysieren. Deshalb ist Amazing Security Plugin für WordPress besonders für Webseiten geeignet, die Sicherheitsprobleme haben. Jede Sicherheitslücke wird aufgedeckt und automatisch beseitigt. Nutzer haben nach der Installation keinen weiteren Aufwand. Die angewandte Technik ist die einfachste, schnellste und effektivste, um WordPress-Seiten zu schützen. Permalink-Autoren können geändert werden und sämtliche Inhalte werden durch Hide My WP gesichert und geschützt.

• Tägliche Übersicht über neue Sicherheitslücken in Plugins und Themes
• Schutz vor CSS, Brute Force Attacken, SQL Injections
• Verstecken von Themes, Plugins, Loginbereich, etc.
• Auswertungen über Angriffsversuche
• Verstecken, dass man WP nutzt
• Direkter Zugriff auf PHP verhindern
• …

Man sieht die Liste ist lang und längst nicht vollständig. Hide My WP steht schon länger auf meiner Liste für die nächste Absicherung meiner eigenen Webseite. Bei Codecanyon ist Hide My WP das best verkaufte Security Plugin.

---

Sucuri Security

Das Unternehmen Sucuri ist dafür bekannt, dass es in regelmäßiger Folge Sicherheitslücken aufdeckt, die der WordPress-Seite Schaden zufügen könnten. Sucuri Security liefert einen Anti-Virus-Service sowie eine echte Firewall und bietet angepasste Lösungen für WordPress. Die Firewall des Sucuri WordPress Security Plugins ist nur nutzbar, wenn die kostenpflichtige Variante gewählt wird. Das Plugin ist eher für Entwickler sowie Administratoren geeignet, die sich mit der Analyse der Informationen auskennen. Für Einsteiger, die eine kostenfreie Version suchen, sind die Funktionen stark eingeschränkt. Das Plugin schaltet sich direkt vor den Server und sorgt dafür, dass schädliche Anfragen blockiert werden. Das steigert die Sicherheit und erhöht die Performance der Webseite.

Die kostenlose Variante bietet die Standardsicherheiten wie beispielsweise einen Verbot für PHP-Dateien, Deaktivierung des Plugin- und Theme-Editors. Das Plugin eignet sich für professionelle Kunden, die bei einem Ausfall große Verluste erleiden können. Der Vorteil bei Sucuri Security liegt darin, dass man sich komplett um das Angebot kümmert. Das bedeutet, dass der Blog via Scans und Monitoring überwacht wird. Bei Bedarf greift das Plugin ein und entfernt den Schadcode, anstatt lediglich eine Meldung zu senden. Im Falle eines Falles greift das Unternehmen ein und beseitigt Sicherheitsprobleme zeitnah auf allen Ebenen.

Sucuri bietet übrigens auch einen Scanner an, der prüft, ob eine Site von Malware befallen wurde. Sehr hilfreich im Fall der Fälle.

---

Google Authenticator

Der Google Authenticator bedient sich der Zwei-Faktor oder Zwei-Schritt-Authentifizierung, wenn Nutzer sich bei WordPress einloggen möchten. Google-Konten sind sicher vor fremden Zugriffen, auch wenn das eigene Passwort in fremde Hände gelangen sollte. Durch die zweifache Verification ist neben der Eingabe des „normalen Passwortes“ ein automatisch generierter Code erforderlich. Dieser funktioniert nur einmal. Der Code wird per SMS oder über die Google-Authenticator-App übermittelt. Nur, wenn der Code eingetippt wurde, erhält der Nutzer Zugang zu den Anwendungen, die mit dem Google-Konto verknüpft sind. Der Google Authenticator ist für Android sowie iPhones verfügbar und die Software wird über den Google Play Store installiert.

---

BulletProof Security

WordPress BulletProof Security deckt die drei Hauptbereiche Firewall, Login und Datensicherheit ab. Das Plugin zeichnet sich durch eine einfache Einrichtung aus, die auch für Einsteiger leicht zu bewerkstelligen ist. Für erfahrenere Nutzer bietet das BulletProof Security-Plugin weitere spezifische Einstellungsoptionen. Die wichtigsten Einstellungen sind mit wenigen Klicks erledigt. Das Plugin zeigt mit „Rot“ an, was noch nicht sicher ist und mit „Grün“ wird der sichere Bereich signalisiert. Das Plugin schützt vor Remote File Injection (RFI), Cross Site Scripting (XSS), Base64 und anderen Code-Einspeisungen, die durch Einhacken Schaden anrichten können.

---

VaultPress

Bei VaultPress handelt sich um ein Premium-Plugin bzw. einen Service, der von Automatic, den Gründern von WordPress stammt. Dieser Service bietet einen einfachen Weg, die Webseite täglich oder in Echtzeit zu überprüfen. Das Tool bietet tägliche Backups, scannt die Webseite und entfernt schädliche Software. VaultPress ist in zwei Versionen erhältlich. Es besteht die Möglichkeit, beide Versionen gleichzeitig zu kaufen. Das Backup-Bundle kostet $ 9 monatlich oder $ 99 im Jahr. Die Kosten für das komplette Security-Bundle belaufen sich auf $ 299 pro Jahr.

---

WP Security Ninja

Dieses Plugin ist sehr schnell und trägt den Namen Ninja zu Recht. Die Webseite wird super schnell gescannt und Sicherheitslücken werden zeitnah erkannt. Es dauert weniger als eine Minute, die Webseite abzuscannen und alle Angriffsflächen zu erkennen. WP Security Ninja zeigt nach dem Scan alle Sicherheitslücken, die die Webseite angreifbar machen. Mit entsprechenden Links erhalten Nutzer anschließend eine detaillierte Erklärung des jeweiligen Problems und können dieses lösen.

WP Security Ninja ist sehr benutzerfreundlich. Im Zusammenhang mit der Webseiten-Sicherheit sind einige Dinge wirklich sehr einfach, während andere sich als sehr komplex erweisen. Mit WP Security Ninja müssen Nutzer sich nicht mit den Details auseinandersetzen, sondern lediglich den Knopf „Jetzt scannen (scan now)“ drücken und das Plugin kümmert sich um alles. Das Plugin bedient sich über 50 Sicherheitstests.

Auch Bruteforce-Attacken werden erkannt, sodass die Website sicherer wird und vor Angriffen geschützt ist. Mit WP Security Ninja erhalten Nutzer einen Core-Scanner, Maleware-Scanner, einen Event Logger und einen Scheduled Scanner in einem. WP Security Ninja arbeitet sehr schnell und effektiv. Die Liste der Features sorgt dafür, dass die WordPress-Seite vor Angriffen geschützt ist.

---

All in one WP Security & Firewall

All in one WP Security & Firewall vereint nützliche Codes und bekannte Tweaks, die der Sicherheit dienlich sind. Das Plugin bietet eine kleine Firewall, die Möglichkeit, Registrierungen sowie Benutzer zu überwachen, das Datenbank-Präfix zu ändern und Tweaks gegen Bruce-Force-Angriffe. Durch die vielseitigen Schutzmechanismen eignet sich All in one WP Security vor allem für Anfänger, die einen Standardschutz benötigen.

Das Plugin integriert viele Möglichkeiten in einem und ist dadurch für Einsteiger direkt sowie einfach zu integrieren. Im Bereich der Menüführung ist All in one WP Security übersichtlich und kann intuitiv bedient werden. Das Anpassen und Optimieren wird Nutzern vereinfacht. Je höher der Score liegt, desto besser ist WordPress im Bereich der Sicherheit optimiert. Nutzer sehen sofort, welchen Sicherheitsstatus die Webseite derzeit hat oder wie weit der Blog bereits gesichert ist. Durch den „Highscore“ sind vor allem Anfänger ohne Programmierkenntnisse in der Lage, einen zeitnahen Überblick zu erhalten.

Das Plugin überzeugt durch seine Funktionsvielfalt. Viele Features anderer Plugins sind in All in one WP Security vereint, sodass es für Anfänger kein Problem ist, die eigene Webseite einfach und zeitnah zu sichern, soweit es mit einem Plugin möglich ist. Der Name des Plugins ist Programm, denn dieses bietet eine Sammlung bekannter Absicherungsmechanismen.

---

Weitere WordPress Security Plugins auf dem Markt

Es gibt noch diverse andere WordPress Plugins um die Website abzusichern. Diese ausführlich zu besprechen würde den Rahmen sprengen und die bereits vorgestellten Lösungen bieten bereits einen umfassenden Schutz. Der Vollständigkeit halber sollen sie aber nicht unerwähnt bleiben:

Jetpack

Das viele Funktionen umfassende Plugin Jetpack bietet seinen Nutzern auch Security Features. D.h. wenn du Jetpack nutzen musst oder möchtest (ich rate in der Regel davon ab, weil es DSGVO Probleme hat und die Site mit zu vielen unnötigen Funktionen belastet), kannst du zumindest einen Teil deiner Security-Strategie durch Jetpack abdecken (Backup, Malware Scan, Anti-SPAM, Anti-BruteForce, Activity Log). Von einer kompletten WP Firewall ist Jetpack aber weit entfernt.

Defender

Defender bietet einen einfachen Security Layer für deine Websites. Darin findest du folgende Funktionen: Zwei-Faktor-Authentifizierung, Login-Schutz, Login-Sperre, Security Header, 404-Erkennung, Geolocation IP-Lockout, IPs blockieren oder zulassen, Dateieditor deaktivieren, Sicherheitsschlüssel aktualisieren, Ausführung von PHP verhindern.

WP Hide & Security Enhancer

Dieses Plugin geht den Weg von „Security by Obscurity“ und sichert WP nicht per se ab, sondern versucht das System so zu verbergen, dass Hacker gar nicht erst erkennen können, dass es sich um WordPress handelt. Wie sicher das ist, ist zumindest zweifelhaft und so sollte diese Lösung vor allem nicht als einzige Absicherung genutzt werden.

Security & Malware scan by CleanTalk

Gute Lösung um einen Basis-Schutz für WP zu erreichen. Umfasst: Security FireWall zum Filtern des Zugriffs auf Ihre Website nach IP, Netzwerken oder Ländern, Web Application Security Firewall, Sicherheits-Malware-Scanner mit AntiVirus-Funktionen, Täglicher automatischer Malware-Scan, Stoppt Brute-Force-Angriffe zum Hacken von Passwörtern, Limitierte Login-Versuche, Sicherheitsschutz für das WordPress-Anmeldeformular, Zwei-Faktor-Authentifizierung, Benutzerdefinierte wp-login URL

WP Activity Log

Mit WP Activity Log lässt sich in Real-Time der Traffic auf der Site analysieren und somit auch Angriffsversuche erkennen. So können zB dann gezielt IP Adressen gefiltert werden, die Angriffe starten.

Cerber Security, Anti-spam & Malware Scan

Eine weitere sehr umfangreiche WordPress Security Suite, mit deren Hilfe eine Basissicherung geschaffen werden kann. Die Features aufzuzählen würde den Rahmen sprengen. Gehört sicher zu den besten und umfangreichsten kostenfreien Lösungen für mehr WP Sicherheit.

Limit Login Attempts Reloaded

Mit diesem Plugin lässt sich der Login (Backend, WooCommerce, User Logins im Frontend, etc.) absichern. Angreifer-IPs werden blockiert. E-Mail Benachrichtigungen werden verschickt. Arbeitet problemlos parallel zu Wordfence und Sucuri und ist auch zu Multisites kompatibel.

HTTP Headers

Über HTTP Header tauschen Clients und Server Informationen beim Abruf von Websites aus. Über das Plugin HTTP Headers lässt sich kontrollieren, welche HTTP Header akzeptiert werden und wann Anfragen blockiert werden sollten. So lässt sich zB unterbinden, dass iFrames von fremden Domains geladen werden, wenn der HTTP Header X-Frame-Options entsprechend gesetzt wurde. Gehört sicher zu den fortgeschrittenen Möglichkeiten die Website noch weiter abzusichern.

---

WordPress Security Plugins und die DSGVO

Generell gilt, dass es die Pflicht eines Webseitenbetreibers ist, für die Sicherheit der User und deren Daten zu sorgen. Das muss im Rahmen der in der DSGVO beschlossenen Eckpunkte geschehen. SSL Verschlüsselung auf Websites, keine Veröffentlichung und illegale Sammlung von Benutzerdaten und kein unerlaubtes Tracking sind Gang und Gäbe. Aber auch die Absicherung einer Website mit Security Maßnahmen gehört dazu, Besucher auf der Website zu schützen. Die hier vorgestellten Plugins sind dafür geeignet, manche geraten aber in eine Art Interessenskonflikt mit der DSGVO (mehr Infos zu bekannten Security Plugins und die DSGVO findest du hier), da teilweise Daten gesammelt werden um die Website zu schützen, wie es die Datenschutzbehörden nicht gerne sehen. So wird zB die IP Adresse in dem einen oder anderen Plugin in der lokalen Datenbank (oder gar in einer externen Datenbank) gespeichert um Brute Force Attacken zu unterbinden.

Was also einen guten Zweck hat, kommt hier in Konflikt mit Datenschutzvorgaben. Man könnte hier evtl. auf „Berechtigtes Interesse“ bei der Datensammlung pochen, sollte aber versuchen die Datensammlung weitestgehend zu minimieren. Webseitenbetreiber haben wenig Chance beides unter einen Hut zu bekommen, wenn sie sowohl die perfekte Sicherheit, als auch den perfekten Datenschutz gewährleisten wollen. So sollte also zB die externe Speicherung der IP Adresse für die Nutzung eines weltweiten Netzwerkes zur Brute Force Blockierung in Frage gestellt werden. Vielleicht reicht auch schon der lokale Schutz. Alles besser als IP Adressen zB in die USA zu schicken. Einen AV mit dem Webhoster natürlich vorausgesetzt, der die Daten speichert und ggfs. verarbeitet. Und die Erläuterung in der Datenschutzerklärung nicht vergessen.

---

Schlussfolgerung

Webseitenbetreiber sind für die Sicherheit der Seiteninhalte selbst verantwortlich. Inhalte sind das Resultat von aufgewendeter Zeit, harter Arbeit und Publikationen, sodass es sinnvoll ist, diese so stark wie möglich zu schützen. Die aufgeführten Plugins sind hilfreich und bieten einen Extra-Schutz, der über die Webseite gelegt wird und diese sicherer macht. Trotzdem sollten Wachsamkeit und Vorsicht immer das Hauptschild sein, das vor Hacker-Attacken schützt.

Wer nicht damit vertraut ist, dass WordPress-Seiten ohne Schutz gefährdet sind, sollte sich mit den Möglichkeiten vertraut machen, die ein Sicherheits-Plugin bietet. Es ist wichtig, etwas über die Sicherheits-Plugins zu lernen und sich umfassend zu informieren. Je mehr Nutzer über Sicherheitslücken und Hacker-Angriffe wissen, desto besser können die genannten Plugins ihren Dienst erfüllen. Wer sich darum keine Gedanken machen möchte, der meldet sich gerne bei mir und lässt sich zum Thema WP-Security beraten.

Übrigens können Security Plugins immer nur ergänzend zur allgemeinen Sicherheitsstrategie sein. Es gibt Maßnahmen, die nicht über Plugins gelöst werden. Ebenso sollte es selbstverständlich sein, eine WordPress Site immer aktuell zu halten, damit mögliche Sicherheitslücken das System angreifbar zu machen.

---

Häufig gestellte Fragen zu WordPress Security Plugins

Welche sind die besten WP Security Plugins?

Zuallererst wären da iThemes Security und Wordfence Security zu nennen. Mit jeweils 7-stelligen Installationszahlen sind sie sehr populär und werden von deren Entwicklern auch permanent und konsequent weiterentwickelt um Webseitenbetreibern die Absicherung ihrer Website so einfach wie möglich zu machen. Wichtig ist allerdings hierbei, dass beide Plugins korrekt eingerichtet werden sollten, damit sie ihre volle Wirkung entfalten. Eine falsch oder unzureichend eingerichtete Firewall nutzt wenig.

Wo kann ich einen WordPress Security Check machen?

Auf wpsec.com kann man WordPress-Websites auf Security-Probleme hin untersuchen lassen. Auch auf sitecheck.sucuri.net kann man WordPress Websites auf Malware hin überprüfen.

Benötige ich Plugins um WordPress sicherer zu machen?

Nein, Profis schaffen es auch WordPress Websites ohne Plugins abzusichern. Mit Hilfe von Direktiven in der .htaccess-Datei, mit Servereinstellungen und auch serverseitigen Firewalls (WAF) lassen sich Websites ausreichend absichern. Wer keine Erfahrung darin hat bzw. den Aufwand auf ein Minimum beschränken muss, der kann mit Hilfe von Plugins eine gute Basis-Sicherheit für WP Websites erreichen.

Benötige ich mehrere Plugins um WP sicher zu machen?

Nein, in der Regel reicht 1 Plugin um WordPress abzusichern. Mit Hilfe von .htaccess-Direktiven lassen sich fehlende Security-Einstellungen nacharbeiten. Ich selbst setze 2-3 verschiedene Plugins zur Absicherung von WordPress ein, die allesamt die Site nicht verlangsamen, aber eine bequeme Art und Weise darstellen, WordPress Websites zuverlässig zu sichern.

Ist WordPress sicher?

WordPress ansich ist genauso sicher oder unsicher wie andere Content Management Systeme oder auch andere Software. Wo Menschen Code schreiben müssen um im Web Funktionen und Websites darzustellen, werden auch immer potentiell Sicherheitslücken auftreten können. Durch die Erweiterung von WordPress mit Plugins und Themes wird auch die Code-Basis der Website erweitert, was zu weiterer potentieller Angriffsfläche führen kann, wenn diese Software nicht sauber programmiert wurde oder aber nicht ständig aktualisiert wird. Eine regelmäßige Wartung ist essentiell bezüglich der Sicherheit. Grundsätzlich ist WordPress aber wie geschrieben nicht unsicher. Es ist nur wichtig das System vor möglichen Angriffen abzusichern und die Wartung korrekt durchzuführen oder durchführen zu lassen. Andere Systeme wie Joomla oder Typo3 stehen vor genau der gleichen Problematik.

Kann man WordPress 100% sicher machen?

Keine Website wird je auf Dauer 100% sicher sein. Wo Software im Einsatz ist und Menschen für die Wartung dieser zuständig sind, wird es auch immer wieder zu Sicherheitslücken kommen. Mit Hilfe von Security Maßnahmen lassen sich diese Probleme aber auf ein Minimum reduzieren, so dass die allermeisten Angriffsversuche blockiert werden und erfolgreiche Angriffe weniger Auswirkung zeigen können.

Sollten WordPress Websites immer aktuell gehalten werden?

Da Sicherheitslücken in Bestandteilen von WordPress entdeckt werden können, sollten diese auch immer zeitnah geschlossen werden. Daher empfehle ich mind. 1x monatlich alle Updates in der Site einzuspielen. Wichtig hierbei ist auch, dass Premium Plugins und Themes aktiviert werden, damit überhaupt Updates angezeigt werden. Ein klassisches Problem bei der Wartung von WordPress Websites und auch ein typisches Einfallstor bei möglichen automatisierten Hacks.