Es ist schon ein Weilchen her, da hatte ich euch hier im Blog ausführlich erklärt, warum das WP-Admin-Versteckspiel in Wahrheit nichts bringt. Sicherheit ist aber dennoch wichtig und bei WordPress kommt sie meist mithilfe von Security Plugins in das CMS. Denn wie immer bei WordPress gibt es für die wirklich großen Dinge auch äußerst starke Premium Plugins, die dann entsprechend umfangreich in das System integriert werden können.
Die Security Plugins für WordPress sind dabei weit mehr als simple Erweiterungen. In der Regel setzten sie sich vor die eigentliche Installation und filtern sämtliche Anfragen, um möglichst effektiv diejenigen auszusortieren, die bösartig, schädlich oder auch einfach nur spammig erscheinen. Alles, was dabei in irgendeiner Weise unnatürlich wirkt, wird somit konsequent aussortiert. Doch WordPress Security Plugins können noch weit mehr.
Die meisten von ihnen integrieren nämlich nicht nur eine entsprechende Firewall, sondern sorgen auch gleich noch dafür, dass alle Standardeinstellungen in Sachen Sicherheit eingehalten und wichtige Tipps und Tricks entsprechend umgesetzt werden. Dazu erklären sie Grundlagen in Sachen Sicherheit und zeigen auf, wie diese umgesetzt werden können. Auf möglichst einfache Art und Weise sorgen sie dann dafür, dass eure WordPress-Installation bedeutend sicherer wird.
Welche Security Plugins ich euch empfehlen kann und ob diese wirklich zuverlässig sind, verrate ich euch im Artikel.
Top 4 WordPress Security Plugins
Statt euch jetzt irgendwelche kleinen Plugins zu empfehlen, die morgen vielleicht schon keine Updates mehr erhalten, habe ich beschlossen, in diesem Artikel ausschließlich größere Firewalls vorzustellen. Das meint, dass Anfragen auch wirklich gescannt und entsprechend gefiltert werden, denn nur so wird für mehr Sicherheit in WordPress gesorgt. Folgende vier Plugins kann ich dabei aufgrund eigener Erfahrungen empfehlen. Besonderheiten halte ich in den Kurzbeschreibungen fest.
Sucuri Security
Die Firewall von Sucuri Security ist groß, umfangreich und vor allem richtig stark. Sucuri analysiert dabei den aktuellen Ist-Zustand in Sachen Sicherheit, überwacht die Zugriffe auf euren Blog, scannt diesen regelmäßig nach Sicherheitsproblemen oder Malware und verbessert auch gleich noch die allgemeine Sicherheit mit praktischen Tipps und Tricks, die direkt im Plugin umgesetzt werden können.
Weil der Service tatsächlich Premium ist, kostet die Firewall abseits der Grundfunktionen natürlich einen monatlichen Betrag. Bei Security Plugins ist dies allerdings üblich, denn damit eine Firewall wirklich funktioniert, muss sie nun einmal beständig angepasst und erweitert werden. Das klappt bei Sucuri recht gut, weshalb der Jahrespreis auch gerechtfertigt erscheint.
Sucuri Security – Auditing, Malware Scanner and Security Hardening
NinjaFirewall
Wer nicht allzu hohe Kosten haben möchte und sowieso nicht alle Funktionen benötigt, ist mit der NinjaFirewall wirklich gut beraten. Sie ist wie der kleine Bruder von all den großen Lösungen. Etwas reduziert im Umfang, erledigt die Firewall die wirklich wichtigen Aufgaben mehr als gut und besitzt sogar ein paar sehr clevere Mechanismen. Zwar kostet der volle Funktionsumfang hier ebenfalls, die Kosten halten sich allgemein aber in Grenzen, gerade im direkten Vergleich zu den anderen hier vorgestellten Lösungen.
Bezahlt wird die WP+ Variante, die unter anderem einen kompletten Web Filter bietet, einmal im Jahr und zwar pro Domain. Je mehr es sind, desto günstiger ist der Einzelpreis. Auch Funktionen wie eine Bot-Zugriffskontrolle oder Rate-limiting rechtfertigen den Preis in meinen Augen. Hier bekommt ihr für kleines Geld eine durchaus umfangreiche und effektive Firewall, die einfach innerhalb von WordPress bedient werden kann. Meine absolute Empfehlung wer eine gratis Lösung sucht.
NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall
Wordfence
Was man sagen kann, ist, dass Wordfence mit über drei Millionen Installationen wohl eines der beliebtesten Security Plugins für WordPress ist. Kein Wunder, denn die Erweiterung gibt es nicht nur schon sehr lange, sie liefert auch jede Menge Funktionen mit, die allesamt überzeugen können. Auch hier sei wieder gesagt: Alles, was Standard ist, gibt es in der kostenlosen Version. Alles, was komplizierter und umfangreicher ist, lässt sich nur mit der Premium-Version freischalten.
Wordfence liefert dabei Firewall und Malware Scanner, eine starke Zwei-Faktor-Authentifizierung, sowie kleinere Zusatzfunktionen und eine Menge Tweaks, um WordPress noch sicherer zu gestalten. Ein schönes Allround-Paket, welches für deutlich mehr Sicherheit im CMS sorgen kann.
Wordfence Security – Firewall, Malware Scan, and Login Security
BBQ
Das WordPress Plugin BBQ (Block Bad Queries) stammt vom recht bekannten Entwickler Jeff Starr, der in Sachen WordPress schon einiges geleistet hat und unter anderem auch eine populäre .htaccess Firewall pflegt. Mit seinem Plugin gelingt es jedem Blogger eine recht einfache und ebenso effektive Blacklist in WordPress zu integrieren, die schädliche Anfragen aussortiert und verhindert, dass durch Schlupflöcher oder Sicherheitslücken Zugänge entstehen.
Auch wenn BBQ keine vollständige WAF (Web Application Firewall) ist, möchte ich das Plugin dennoch empfehlen, da schon die kostenlose Variante einiges aussortiert und es ideal für diejenigen ist, die eine Firewall eher abschreckt oder die aus bestimmten Gründen keinen Zugriff auf ihre .htaccess haben, um dort entsprechende Regeln zu setzten. BBQ stellt dann einen soliden Grundschutz für WordPress Blogs dar.
Funktionieren Security Plugin wirklich?
Eine Frage, die immer wieder kontrovers diskutiert wird, ist die Frage, ob WordPress Security Plugins überhaupt funktionieren. Dabei wird oft behauptet, dass die Plugins selbst nur weitere Sicherheitslücken integrieren, die dann ebenfalls entsprechend ausgenutzt werden können. Ich persönlich bin nicht dieser Ansicht. Security Plugins erfüllen neben der Firewall nämlich noch ganz andere Zwecke, sie vermitteln das Thema Sicherheit an ganz normale Nutzer.
Wie viele Blogger machen sich wohl Gedanken darüber, was eine Firewall ist, wie sie das Login schützen können oder was WordPress Security im Detail alles beinhaltet? Eben, vermutlich fast niemand und deshalb erfüllen Security Plugins den wichtigen Zweck, die Nutzer entsprechend aufzuklären und für das Thema Sicherheit zu sensibilisieren.
Darüber hinaus gilt dann das, was eigentlich immer gilt. Kein WordPress Security Plugin schützt vor allem und nichts bietet den ultimativen Schutz, der allen Angriffen standhält. Doch darum geht und ging es auch nie. Es geht um mehr Sicherheit, Kontrolle und Protokollierung. Es geht darum die offensichtlichen Angriffe abzuwehren und einfache Methoden bestmöglich auszuhebeln. Denn wer wirklich will, wird sich am Ende immer irgendwie Zugang verschaffen können, da hilft auch kein Security Plugin.
Letzteres sorgt aber zumindest dafür, das offensichtliche Lücken geschlossen und Angriffe von der Firewall blockiert bzw. protokolliert werden.
Fazit zu WordPress Security Plugins
Das Fazit kann daher nur lauten, dass ihr unbedingt ein entsprechendes Plugin installieren solltet. Nicht weil euch dieses unter Garantie schützen wird. Sondern weil es die offensichtlichen Methoden und großen Sicherheitslücken schließt, die es in WordPress nun einmal gibt und immer geben wird. Denn weil das CMS so einfach und populär ist, erscheint es auch als beliebtes Angriffsziel. Oft erfolgen derartige Attacken sogar vollkommen automatisiert, gerade wenn ein Update kommt oder Sicherheitslücken in WordPress bekannt werden.
Um genau so etwas zu verhindern und für einen grundlegenden Schutz zu sorgen, sind die Security Plugins für WordPress wirklich ideal. Sie bilden einen stabilen
Schutzschild, integrieren wichtige Standards oder sorgen mit weiteren Funktionen (wie einer Zwei-Faktor-Authentifizierung) dafür, dass noch mehr Sicherheitsmechanismen vorhanden sind. Die totale Sicherheit gibt es trotzdem nicht per Plugin.
Hier müsste ein Experte die Seite permanent im Auge behalten, Auffälligkeiten beobachten und die Einrichtung entsprechender Gegenmaßnahmen übernehmen.
Security Plugins sind vielmehr eine effektive Lösung, um für kleines Geld eine verbesserte Sicherheit zu gewährleisten. Für die Nutzer, genau wie für den Betreiber, der für all das schließlich verantwortlich ist. Die großen Firewalls passen ihre Regeln außerdem beständig an, um auf neue Lücken und Probleme von WordPress entsprechend zu reagieren. Genau deshalb auch die monatlichen Kosten, da hier mehr als eine einmalige Blocklist geboten wird.
So verhindern die Plugins dann typische Attacken, scheitern aber verständlicherweise an sehr individuellen Angriffen. Ihre Einrichtung kann mitunter ebenfalls etwas komplex ausfallen. Wer nicht versteht, was die einzelnen Parameter bedeuten, sollte dann lieber die Finger davon lassen, um nicht weitere Sicherheitslücken zu verursachen oder sogenannte False Positives zu erzeugen und Besucher auszusperren.
Bei all dem helfe ich euch gerne. Für mich ist es inzwischen alltäglich geworden Security Plugins und WordPress-Installationen korrekt einzurichten. Bei Fragen oder anstehenden Wartungsarbeiten greife ich euch also gerne unter die Arme. Eine kurze E-Mail oder ein Anruf genügt.