NinjaFirewall.
Anleitung und ein paar weitere Tipps, entstanden aus der beinahe täglichen Arbeit mit gehackten Seiten, hier:
https://website-bereinigung.de/blog/wordpress-absichern
WebAuthn finde ich komfortaber als 2FA.
In Kombination mit einem umbenannten Login völlig ausreichend, denke ich.
Ich verwende außer Two Factor keines der genannten Plugins. Ich mag All-in-One-Sicherheits-Plugins nicht, weil sie ein trügerisches Sicherheitsgefühl vermitteln und nicht klar wird, welche Schutzmaßnahmen aus welchen Gründen eingesetzt werden.
Es gibt in der Dokumentation ein Kapitel, wie du durch zusätzliche Einträge in der .htaccess
WordPress absichern kannst: https://wordpress.org/support/article/hardening-wordpress/ Ein ausführlicher Beitrag zum Thema Sicherheit, dass auch die möglichen Angriffsszenarien beschreibt, findest du unter WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.
Wichtiger ist aber ein ausreichend komplexes Passwort für Kundenmenü, MySQL-Datenbank, FTP und WordPress-User, eine verschlüsselte Verbindung und ein möglichst zeitnahes Updates von Core, Themes und Plugins, vor allem wenn Sicherheitslücken bekannt werden.
Das Deaktivieren der internen Theme- und Plugin-Editoren hat eher damit zu tun, dass man Kunden vor unbedarften Änderungen schützen möchten, die zu unplanmäßigen Sondereinsätzen zur Unzeit führen. WordPress ist nicht grundsätzlich unsicher und bei Einhaltung dieser Grundregeln solltest du auch ohne weitere Maßnahmen kaum Probleme haben. Sollte die Website trotzdem gehackt werden (eine 100%ige Sicherheit gibt es nicht), hilft ein aktuelles Backup. Es ist erheblich einfacher, ein nicht kompromittiertes Backup wiederherzustellen, als eine infizierte Seite von Backdoors zu befreien.
Dass du viel über die Sicherheit von WordPress liest (und auch viel Unfug geschrieben wird), hat auch mit der weiten Verbreitung von WordPress zu tun. Es ist für Angreifer nicht wirklich lukrativ, Bot-Skripte für ein Content Management System zu schreiben, das kaum jemand einsetzt.
ok besten dank mal an alle, zu Pascal wegen WebAuthn hast du da dieses Plugin WP-WebAuthn geholt oder was ganz anders? Deine Seite lese ich durch, danke dir/euch.
Ja, das gibt als standalone Plugin und als Erweiterung für das oben von @pixolin verlinkte Two Factor Plugin.