Die besten Sicherheits-Plugins für WordPress

Das Thema Sicherheit ist online von besonderer Bedeutung, denn es gibt nichts Schlimmeres, als wenn du wochenlang Arbeit in deine Webseite steckst und die Seite plötzlich nicht mehr funktioniert, weil sie gehackt wurde. Es könnte auch passieren, dass jemand deine Daten oder die Daten deiner Kunden stiehlt, was aufgrund der DSGVO schlimme Folgen für dich haben kann, wenn es durch Unachtsamkeit ermöglicht wurde. Natürlich ist es auch immer eine Frage von Vertrauen – wenn deine Besucher merken, dass sie bei dir nicht sicher sind, landest du schnell auf ihrer persönlichen Blacklist.

Es gibt einiges, was du selbst für deine WordPress-Sicherheit tun kannst (und unbedingt solltest). Neben dieser wichtigen Tipps gibt es außerdem großartige Sicherheits-Plugins, die du heute kennenlernen wirst.

Was du für die Sicherheit selbst tun kannst

WordPress ist weltweit das am häufigsten eingesetzte CMS – kein Wunder, ist es doch kostenlos, leicht zu bedienen, hat eine Menge Funktionalitäten parat und glänzt mit zahlreichen Erweiterungen, die von der Community stets erweitert werden. Es ist jedoch auch klar, dass Hacker und Cyberkriminelle ebenfalls WordPress auf dem Schirm haben, wenn sie sich online bereichern wollen. Dabei nutzen sie nicht nur die Schwachstellen von Plugins aus, sondern setzen auch auf die Faulheit der Nutzer. Sei schneller und tue deshalb unbedingt Folgendes:

  • Installiere stets die neuste Version von WP, wenn sie bei dir im Backemd verfügbar ist.
  • Halte alle Plugins auf dem Laufenden und erneuere sie, wann immer du die Möglichkeit angezeigt bekommst. Logge dich zu diesem Zweck regelmäßig (z.B. einmal wöchentlich) ins Backend ein, auch wenn deine Seite gerade stillliegt.
  • Verwende stets nur die nötigsten Erweiterungen. Setze auf Plugins aus vertrauenswürdigen Quellen und mit guten Bewertungen. Jedes Plugin ist ein potenzielles Sicherheitsrisiko und ein Einfallstor für Hacker.
  • Verwende immer starke Passwörter und wechsle sie regelmäßig aus!
  • Setze auf einen zuverlässigen Host, der am besten in Deutschland sitzen sollte. Auf viele Maßnahmen rund um die Sicherheit hast du gar keinen Einfluss, denn sie beziehen sich auf den Server.
  • Besonders wenn du finanziell von deiner Seite abhängig bist, weil etwa dein Shop über WordPress läuft oder du mit Werbeanzeigen auf deiner Seite deinen Lebensunterhalt verdient, dann engagiere einen Profi, der sich um die Sicherheit deiner Seite kümmert.

Meine persönlichen Empfehlungen

Mit diesen wichtigen Tipps kannst du die Sicherheit deiner WordPress-Installation enorm erhöhen. Auf dem Markt der WordPress-Plugins gibt es zusätzlich noch einige nützliche Helferlein, die versprechen, deine Seite sicherer zu machen. Einige jener Plugins habe ich ausprobiert und als meine persönlichen Empfehlungen zusammengefasst.

iThemes Security

Dieses Plugin lässt sich in gewohnt einfacher Weise mit einem Klick installieren. Allerdings sollte man Englisch können, denn das Backend ist zwar übersichtlich, aber eben in englischer Sprache. Dafür kannst du dich gegen so ziemlich alle möglichen Angriffe schützen und dein Sicherheitslevel individuell selbst bestimmen. Zum Beispiel schützt dich iThemes Security vor:

  • Brute-Force-Angriffen
  • unentdeckten Schwachstellen
  • störenden Benutzeragenten, Bots und andere Hosts
  • mangelnder Server-Sicherheit
  • schwachen Passwörtern
  • Angriffen auf dein Dateisystem und deine Datenbank

Die meisten Hacks passieren automatisiert – es ist also meistens nicht so, dass es jemand auf dich „ganz persönlich“ abgesehen hat. Dafür sind unzählige Bots im Netz unterwegs und spähen Seiten auf der Suche nach Schwachstellen aus. Sobald sie können, nehmen sie Änderungen am Dateisystem vor. iThemes Security erkennt solche Angriffe und unterbindet sie – außerdem werden Nutzer automatisch gesperrt, die mehrfach versuchen, sich anzumelden. Zudem werden typische WP Sicherheitslücken verschleiert.

Es gibt eine kostenlose Version mit eingeschränkten Funktionen zum Ausprobieren – die Pro Version kostet allerdings nur ein paar Dollar pro Monat und lohnt sich auf jeden Fall.

Wordfence Security 100

Wordfence Security zählt zu den wichtigsten Erweiterungen auf den Markt. Auch dieses Plugin kannst du kostenlos ausprobieren und dann upgraden, wenn du mit dem Handling und den Leistungen zufrieden bist.

Wordfence Security schützt dich – so verspricht es der Anbieter – vor:

  • Malware
  • Hackerangriffen
  • bereits eingeschleuster Malware
  • Änderungen an Dateien
  • fehlenden Updates
  • Bruce-Force-Angriffen
  • Sicherheitslücken

Jeden Monat blockiert das Programm laut Entwickler 30 Milliarden Angriffsversuche und 200.000 IP’s, die sich unautorisiert einloggen wollten. Es bietet eine superschnelle Firewall, prüft automatisch deine Installation und alle Komponenten auf Schwachstellen und sichert deinen Loginbereich. Die neusten Viren-Signaturen, Bad IP Listen und Firewall-Regeln werden bei der kostenlosen Variante alle 30 Tage eingespielt, als Pro Kunde passiert das in Echtzeit. Übrigens: wenn Code unautorisiert geändert wurde, stellt Wordfence die Originaldateien wieder her.

Sucuri Security

Dieses Plugin bietet ebenfalls einen umfassenden Schutz und scannt deine Installation auf folgende Bedrohungen:

  • verschlüsselte JavaScript-Injektionen
  • Phishing-Versuche und Datenspionage
  • bösartige und ungewollte Redirects
  • Backdoors
  • PHP Mailer und Spam-Scripts
  • versteckte und gefährliche iFrames
  • Drive-by-Downloads
  • Image-Trojaner

Diese Erweiterung kannst du – so verstehe ich es – trotz DSGVO nutzen. Es speichert keine personenbezogenen Daten von Besuchern. In der Pro Version sammelt die Firewall jedoch IP-Adressen. Hier ist fraglich, inwiefern die DSGVO (Stichwort: berechtigtes Interesse gemäß Art. 6 Abs. 1) die Nutzung dieses WordPress-Plugins einschränkt.

… und dein persönlicher Tipp?

Bei allen WordPress-Plugins gilt natürlich, dass du dich keineswegs ausschließlich auf ihren Funktionsumfang verlassen solltest. Oft liegen die Gründe von WordPress-Hacks oder anderweitigen Angriffen ganz einfach im menschlichem Versagen. Das kann an einem vergessenen WordPress-Update oder auch an einem zu einfachen Passwort des Admin-Accounts liegen. Wer sein WordPress ganz sicher machen möchte, sollte deshalb besonders eines: Nachdenken!

Seit über acht Jahren bin ich in der wunderbaren Welt von WordPress unterwegs. Heute erstelle ich nicht nur erfolgreich eigene WordPress-Websites, sondern sorge auch in einer bekannten Online-Marketing-Agentur für glückliche Kunden – auch hier oft dank WordPress.