Am liebsten gar kein Plugin. Sicherheit sollte nicht nur aus dem Anklicken verschiedener angebotener Kontrollkästchen bestehen. Zu leicht entsteht der Eindruck, dass du „alles getan“ hast (weil doch alle Felder angekreuzt sind), während vielleicht ein wichtiger Punkt – z.B. die regelmäßige Aktualisierung der Plugins – übersehen wird.
Anfänger haben sicher noch nicht den Überblick über den Sinn und Effekt verschiedener Absicherungsmaßnahmen und aktuell keine Zeit oder Lust, sich durch die Anleitung in der Dokumentation zu arbeiten. In diesem Fall finde ich das Plugin Solid Security – Password, Two Factor Authentication, and Brute Force Protection empfehlenswert, weil sich das Plugin auf sinnvolle Maßnahmen beschränkt und den Nutzer nicht mit Abfragen zu sinnlosen Einstellungen nervt.
Ansonsten:
- sichere, individuelle Passwörter für WordPress, Datenbank, FTP und Kundenmenü des Webhosters
- nur per https im Backend anmelden
- nur Themes und Plugins aus dem offiziellen WordPress-Verzeichnis installieren
- WordPress-Core, Themes und Plugins regelmäßig aktualisieren. Die einstellbare, automatische Aktualisierung hilft, Sicherheitslücken schnellstmöglich zu schließen, erfordert aber auch ein regelmäßiges Monitoring der Website
- Kommentare generell nicht zulassen oder einzeln moderieren
- Zwei-Faktor-Authentifikation schützt gegen Passwort-Raten (BruteForce-Angriffe)
WordPress ist (vielleicht mit Ausnahme des Schutzes gegen BruteForce-Angriffe) auch ohne ein All-in-One-Sicherheitsplugin nicht unsicher. Weil WordPress mit großem Abstand am weitesten verbreitet ist, werden automatisch auch mehr gehackte Websites gemeldet, die mit WordPress betrieben werden. Dass bedeutet nun aber nicht, dass WordPress unsicherer ist, als andere Content Management Systeme.
WP Cerber Security ist nur im WordPress Repository (aus guten Gründen) gesperrt. Man kann es aber hier weiterhin beziehen – auch mit aktuellen Updates: https://wpcerber.com/installation/ – es ist natürlich fraglich inwieweit dort die festgestellten Sicherheitsbedenken durch das Sicherheits-Plugin-Entwicklerteam behoben wurden. Überprüfen wie im WordPress Repository tut das niemand.
Eine Liste von Alternativen findest Du hier: https://wordpress.org/plugins/tags/security/ – wobei ich hier von Really Simple SSL abraten würde, alle anderen sind einen Versuch Wert. Das oben schon genannte Solid Security kommt bei mir bei fast jedem Projekt zum Einsatz, erst heute bei einem was noch nie ein Sicherheitsplugin hatte und bei dem Bots für eine Überlastung des Hostings sorgten. Das Sicherheitsplugin regelte das mit dem BruteForce-Schutz.
Hallo,
wir verwenden gerne bei unseren Projekten das Plugin NinjaFirewall. Eine Anleitung zur Einstellung des Plugins findest du z. B. hier.
Auf dem WordPress Meetup Südsauerland hat Marc Nilius (@zotto) einige Dinge zu dem Thema Sicherheit bei seinem Vortrag beigetragen. In dem Beitrag findest du auch den Link zu den Slides.
Zusätzlich haben wir bei allen WordPress-Instanzen das Plugin Two Factor installiert.
Außerdem wichtig: Immer WordPress, Plugins und Theme aktualisieren.
Viele Grüße
Hans-Gerd
Vielen Dank an alle für die Tipps. Ich bin kein Anfänger und achte sehr sowohl auf Updates, gesicherte Quellen, als auch auf sehr sichere Passwörter, und keine Kommentare ohne Moderation sowieso.
Dennoch ist mir ein mal passiert bei damals 1&1, dass alles zerstört wurde von Ninja Warriors (schwitz!). Seit dem nutzte ich auch den Cerber und seit dem ist auch nichts mehr vorgekommen.
Ich sehe meine Frage als gelöst, werde es heute Nachmittag dann als gelöst markieren (falls noch jemand was dazu sagen möchte, dann bitte noch heute 🙂
Vielen ♥lichen Dank nochmal.