Wie beliebt WordPress als Entwicklungstool für Websites ist kann man leicht daran ablesen, dass WordPress heute in 68 Sprachen verfügbar ist. Seit seiner Einführung im Mai 2003 wurde die Open-Source-Software zum beliebtesten Tool für Webentwickler auf der ganzen Welt.
WordPress unterstützt derzeit 75 Millionen Websites. Das kostenlos zu installierende und nutzende WordPress wurde zur Entwicklung Tausender kostenloser Plugins und Themes verwendet, und hat so Entwicklungs- und Anwendungskosten reduziert.
Aber nach Branchenschätzungen sind mehr als 70 Prozent der WordPress-Installationen anfällig für Hacker- und Malware-Angriffe. Das liegt vor allem an veralteten WordPress-Plugins oder -Themes auf der Website. Zu den obersten Prioritäten für Website-Inhaber gehört es, das reibungslose Funktionieren und die Sicherheit ihrer Websites zu gewährleisten, und sie vor Bedrohungen wie Malware, Bots, Brute-Force-Angriffen usw. zu schützen. Was können Betreiber von WordPress-Websites tun, um diesen Trend zu ändern?
Glücklicherweise trägt die Installation des richtigen WordPress-Sicherheits-Plugins dazu bei, die betreffenden Websites zu schützen und im Falle eines erfolgreichen Hackerangriffs eine schnelle Wiederherstellung zu gewährleisten. Hier finden Sie einen Vergleich der besten WordPress-Sicherheits-Plugins auf dem Markt.
MalCare
MalCare verwendet eigene externe Server, sodass Client-Server nicht überlastet werden. Es wurde vom gleichen Team entwickelt, das auch für das BlogVault-Plugin für Website-Backups verantwortlich zeichnete. Neben einem intelligenten Malware-Scanner und -Entferner bietet MalCare einen benutzerfreundlichen Ansatz für den Login-Schutz- und Web Application Firewall-Dienste. Damit ist das Tool auch für weniger technisch versierte Benutzer geeignet.
Features von MalCare
- Konfiguration für automatische und On-Demand Malware-Scans
- Scanning-Technologie mit über 100 intelligenten Signalen
- Verwendet externe Server zum Scannen und Entfernen von Malware, um eine Überlastung der Kundenserver zu verhindern.
- Nachverfolgen aller Änderungen an kritischen Dateien
- Minimale falsch-positive Ergebnisse, da MalCare nicht nur die Malware-Signatur vergleicht, sondern zunächst überprüft, ob Malware vorliegt, bevor eine Benachrichtigung ausgelöst wird.
- Automatisches Entfernen von Malware mit einem Klick
- Schutz vor Brute-Force-Angriffen
- Hardening für Websites
- Integrierte Backup-Funktion
- Benutzerverwaltung und Dashboard
- MalCare kann für tägliche automatische Scans konfiguriert werden oder für erzwungenes Scans mit einem Klick.
- Ein-Klick- und benutzerfreundliche Malware-Beseitigungsfunktion.
- MalCare lässt sich problemlos in Hardening-Praktiken einbinden, die von WordPress aus Sicherheitsgründen empfohlen werden. Das sind beispielsweise das Ändern Sicherheitsschlüssel, das Deaktivieren des Dateieditors, das Sperren der Ausführung von PHP im Uploads-Ordner usw. zum Schutz des Backends der Website.
- MalCare hat keinen Einfluss auf die Geschwindigkeit einer WordPress-Website, da das Plug-In auf eigenen Servern ausgeführt wird. Dateiänderungen werden überwacht und Malware gemeldet, ohne die Leistung der Website zu beeinträchtigen.
- Unterstützt mehrere Sites per WordPress-Rate
- Unterstützt integrierte erweiterte inkrementelle Backup-Technologie, die für die Website-Wiederherstellung nach einem Hack wesentlich ist
- Unterstützt nicht die Zwei-Faktor-Authentifizierung für Benutzeranmeldungen
- Keine automatische (standardmäßige) Aktualisierung des Plugins oder von Themes.
Vorteile von MalCare
- Benutzer konfigurieren MalCare für tägliches automatisches Scannen oder erzwungenes Scannen mit nur einem Klick.
- Ein-Klick- und benutzerfreundliche Funktion zum Entfernen von Malware.
- MalCare lässt sich problemlos in Hardening-Praktiken einbinden, die von WordPress aus Sicherheitsgründen empfohlen werden. Das sind beispielsweise das Ändern Sicherheitsschlüssel, das Deaktivieren des Dateieditors, das Sperren der Ausführung von PHP im Uploads-Ordner usw. zum Schutz des Back-Ends der Website.
- MalCare hat keinen Einfluss auf die Geschwindigkeit einer WordPress-Website, da das Plug-In auf eigenen Servern ausgeführt wird. Dateiänderungen werden überwacht und Malware gemeldet, ohne die Leistung der Website zu beeinträchtigen.
- Unterstützt mehrere Sites per WordPress-Rate
- Unterstützt integrierte erweiterte inkrementelle Backup-Technologie, die für die Website-Wiederherstellung nach einem Hack wesentlich ist
Nachteile von MalCare
- Unterstützt keine Zwei-Faktor-Authentifizierung für die Benutzeranmeldung
- Erlaubt keine automatische (standardmäßige) Aktualisierung des Plugins oder von Designs
Preise
MalCare gibt es als kostenlose Version, die das Scannen von Malware und Firewallschutz umfasst. Die Vollversionen beginnen bei einem Preis von 8,25 Dollar pro Monat.
Wordfence
Mit Sicherheitsfunktionen zum Schutz vor Brute-Force-Angriffen und Zwei-Faktor-Authentifizierung ist das Open Source Sicherheits-Plugin WordFence mit mehr als 2 Millionen Downloads bei WordPress-Nutzern ausgesprochen beliebt. Neben anderen Features stärkt der Threat Defense Feed das Sicherheits-Plugin mit den neuesten Updates zu Firewalls, Malware-Signaturen und falschen IP-Adressen.
Features von WordFence
- Online-Überwachung in Echtzeit mit dem Threat Defense Feed
- Integrierte Web Application Firewall (oder WAF)
- Rechtzeitige Alarme durch Sicherheitsscans
- Reparatur gehackter Dateien
- Blockieren von falschen IP-Adressen
- Sicherheitsfunktionalität für mehrere Sites
- Website-Zwischenspeicherung
- Scannen und Melden von kompromittierten Dateien auf der Website
- Ein serverseitiges Caching-Tool, das die Leistung der Website verbessert
- WordFence-Firewall, die Malware- oder andere Backdoor-Angriffe effektiv abblockt
- E-Mail-Benachrichtigungen an Benutzer zu Updates oder Themes
- Live- und Echtzeitstatistiken Ihres Website-Traffics
- Regelmäßige Updates des WordFence-Plugins.
- Zahlende Kunden und Premium-Kunden erhalten Priority Support durch den Kundendienst
- Generiert eine Vielzahl von Benachrichtigungen über kleinere Sicherheitsprobleme
- Wordfence läuft auf den Servern des Benutzers. Das kann dazu führen, dass der Server währen des Scanvorgangs überlastet wird. Das wiederum wirkt sich auf die Leistung der Website in einer gemeinsam genutzten Hostumgebung aus.
- In der kostenlosen Version fehlen wichtige Features wie Echtzeitüberwachung, Anmeldung über Mobiltelefon, planbare Malware-Scans, Geo-Blocking und Passwortprüfung.
Vorteile von WordFence
- Scannen und Melden von kompromittierten Dateien auf der Website
- Ein serverseitiges Caching-Tool, das die Leistung der Website verbessert
- WordFence-Firewall, die Malware- oder andere Backdoor-Angriffe effektiv abblockt
- E-Mail-Benachrichtigungen an Benutzer zu Updates oder Designs
- Live- und Echtzeitstatistiken Ihres Website-Traffics
- Regelmäßige Updates des WordFence-Plugins
Nachteile von WordFence
- Nur zahlende und Premium-Kunden erhalten Priority Support durch den Kundendienst.
- Generiert sehr viele Benachrichtigungen auch bei kleineren Sicherheitsproblemen
- Wordfence läuft auf den Servern des Benutzers. Das kann dazu führen, dass der Server währen des Scanvorgangs überlastet wird. Das wiederum wirkt sich auf die Leistung der Website in einer gemeinsam genutzten Hostumgebung aus.
- In der kostenlosen Version fehlen wichtige Features wie Echtzeitüberwachung, Anmeldung über Mobiltelefon, planbare Malware-Scans, Geo-Blocking und Passwortprüfung.
Preise
Es gibt eine kostenlose Version, die grundlegende Scan-und Firewall-Schutzfunktionen enthält. Die Premium-Versionen beginnen bei einem Preis von 99 Dollar pro Jahr.
Sucuri
Unter den führenden Cloud-basierten Sicherheitsunternehmen hat Sucuri eine Reihe von Produkten und Diensten, die mit WordPress-, Joomla-, Drupal-, PHP-, .NET- und HTML-Websites kompatibel sind. Das Cloud-basierte Active Monitoring Log-Feature erkennt potenzielle Sicherheitsbedrohungen und Malware-Angriffe.
Features von Sucuri
- Alarme zu Dateiintegrität und Website-Blacklist-Entfernung
- Active Monitoring Log Feature
- Remote-Scanning nach Malware
- Hardening für Websites
- Unterstützt mehrere Sites
- Sicherheitsmaßnahmen nach einem Hack
- Rechtzeitige Benachrichtigung bei Sicherheitsbedrohungen
- Integrierte Web Application Firewall (WAF)
- Intrusion Prevention-System (IPS).
- Content Distribution Network (CDN).
- Cloud-basierte Backup-Dienste für die Website
- Begrenzung von DDoS-Angriffen in Echtzeit
- Effektives Erkennen und Blockieren von DDoS-Angriffen
- Mehr Website-Sicherheit durch WAF- und IPS-Funktionen
- Einfache und schnelle Säuberung und Wiederherstellung gehackter Websites
- CDN-Caching-Dienste verbessern die Website-Leistung indem sie die Seitenladezeit reduzieren.
- Regelmäßige Recherche und Berichterstattung zu möglichen WordPress-Sicherheitsproblemen in der Sucuri Knowledge Bank hält Website-Inhaber zu WordPress Sicherheitsnews auf dem Laufenden.
- Firewall und geplante Malware-Scans sind nur in der Premium-Version verfügbar.
- Jedes Scan- und Säuberungsverfahren kann bis zu 500 $ kosten.
Vorteile von Sucuri
- Effektives Erkennen und Blockieren von DDoS-Angriffen
- Mehr Website-Sicherheit durch WAF- und IPS-Funktionen
- Einfache und schnelle Säuberung und Wiederherstellung gehackter Websites
- CDN-Caching-Dienste verbessern die Website-Leistung indem sie die Seitenladezeit reduzieren.
- Regelmäßige Recherche und Berichterstattung zu möglichen WordPress-Sicherheitsproblemen in der Sucuri Knowledge Bank hält Website-Inhaber zu WordPress Sicherheitsnews auf dem Laufenden
Nachteile von Sucuri
- Firewall und geplante Malware-Scans sind nur in der Premium-Version verfügbar.
- Jedes Scan- und Säuberungsverfahren kann bis zu 500 Dollar kosten.
Preise
Sucuri bietet eine kostenlose Version mit Funktionen wie Scannen, Auditing und teilweise Website-Hardening. Die Premium– oder kostenpflichtige Version kostet etwa 200 Dollar für ein Jahr.
iThemes Security
iThemes Security, auch als Better WP Security bekannt, bietet Schutz vor über 40 Arten von Sicherheitslücken. Zu den Funktionen gehört das Sperren der WordPress-Website, Fixes für gängige Sicherheitslücken, Blockieren automatisierter Angriffe und Erzwingen starker Benutzeranmeldeinformationen (Benutzername und Passwort).
Features von iThemes Security
- Zwei-Faktor-Authentifizierung
- Schutz vor Brute-Force-Angriffen
- Überwacht Änderungen an Kerndateien
- Erkennt Sicherheitsbedrohungen
- Protokolliert Benutzeraktionen
- Datenverschleierung und Datenbankwiederherstellung
- Kompatibilität mit mehreren Sites
- Erkennung von versteckten 404-Fehlern auf der Website.
- Datenbank-Backups
- Sicherheitsbezogene Tutorials
- Effektiver Website-Schutz durch Verfahren wie das Umbenennen von anfälligen Inhaltsordnern, Änderungen der Präfixe von Datenbanktabellen und Anmelde-URL
- Erzwingt das Verwenden der neuesten und aktualisierten Version von WordPress Plugins und Themes
- Erzwingt starke Passwörter für alle Benutzerkonten
- Abwesenheitsmodus-Funktion zum Blockieren von bösartigen Bots und Schad-Code von der Login-Seite
- Überwachung von Dateiänderungen
- Zwei-Faktor-Authentifizierung für die Benutzeranmeldung, Google CAPTCHA-Funktionen und das Sperren von Benutzern oder Bots nach wiederholt fehlgeschlagenen Anmeldeversuchen helfen, Brute-Force-Angriffe zu verhindern.
- Nachverfolgen aller Benutzeraktivitäten von der Anmeldung bis zur Abmeldung
- Sicherheitslücken schnell erkennen und beheben
- Verhindert nicht autorisierte Änderungen an Kerndateien
- Kunden-Support mit Ticket nur für Premium-Kunden verfügbar
- Einige Funktionen wie geplantes Scannen, Zwei-Faktor-Authentifizierung und Passwortverfall sind nur für Premium-Kunden verfügbar.
Vorteile von iThemes Security
- Effektiver Website-Schutz durch Verfahren wie das Umbenennen von anfälligen Inhaltsordnern, Änderungen der Präfixe von Datenbanktabellen und Anmelde-URL
- Erzwingt das Verwenden der neuesten und aktualisierten Version von WordPress Plugins und Themes
- Erzwingt starke Passwörter für alle Benutzerkonten
- Abwesenheitsmodus-Funktion zum Blockieren von bösartigen Bots und Schad-Code von der Login-Seite
- Überwachung von Dateiänderungen
- Zwei-Faktor-Authentifizierung für die Benutzeranmeldung, Google CAPTCHA-Funktionen und das Sperren von Benutzern oder Bots nach wiederholt fehlgeschlagenen Anmeldeversuchen helfen, Brute-Force-Angriffe zu verhindern.
- Nachverfolgen aller Benutzeraktivitäten von der Anmeldung bis zur Abmeldung
- Sicherheitslücken schnell erkennen und beheben
- Verhindert nicht autorisierte Änderungen an Kerndateien
Nachteile von iThemes Security
- Kunden-Support mit Ticket nur für Premium-Kunden verfügbar
- Einige Funktionen wie geplantes Scannen, Zwei-Faktor-Authentifizierung und Passwortverfall sind nur für Premium-Kunden verfügbar.
Preise
Kostenpflichtige Versionen kosten ab 80 Dollar pro Jahr. Die kostenlose Version finden Sie im WordPress Repo.
SecuPress
SecuPress von WP Media vereinfacht Website-Sicherheit, Performanz, Ladegeschwindigkeit und Speichernutzung mit einer übersichtlichen und leicht verständlichen Dashboard-Oberfläche. Das Plugin kann Dateiprobleme nach dem Scannen automatisch selbstständig beheben. SecuPress schützt auch die Backend-Daten.
Features von SecuPress
- Geplante und automatische Malware-Scans
- Regelmäßige Datei- und Datenbanksicherungen
- Automatisches Erkennen von anfälligen Plugins und Themes
- Anti-Spam-Funktion
- Integrierte Backup-Funktion
- Schutz des Sicherheitsschlüssels
Vorteile von SecuPress
- Kontinuierliche E-Mail-Benachrichtigungen bei einem Brute-Force-Angriff
- Automatisches Verschieben der Login-Authentifizierungsseite an eine andere Adresse, wenn ein Brute-Force-Angriff erkannt wurde
- Erzwingen von starken Benutzerpasswörtern, doppelte Benutzerauthentifizierung, Schutz der Profilseite und WordPress-Plugin-Updates.
- Funktionen für mehr Sicherheit wie Deaktivierung von ZIP-Upload-Dateien, Plugins und Themes, XML-RPC und Hotlinks zum Schutz des Backend vor Hackern und Bots.
- Jede Anfrage zum Entfernen von Malware kostet zusätzliche 149 €.
- Die professionelle Konfiguration von SecuPress kostet zusätzlich 99 €.
- Die Verwendung auf mehreren Websites steht nur Premiumkunden zur Verfügung.
Nachteile von SecuPress
- Jede Anfrage zum Entfernen von Malware kostet zusätzliche 149 €.
- Die professionelle Konfiguration von SecuPress kostet zusätzlich 99 €.
- Die Verwendung auf mehreren Websites steht nur Premiumkunden zur Verfügung.
Preise
SecuPress bietet eine kostenlose Version sowie eine Premium -Version für 59 Dollar pro Jahr aufwärts.
SiteLock
SiteLock ist ein Cloud-basiertes Sicherheitsprodukt, das durch viele Features, wie z. B. eine Firewall auf DNS-Ebene, die automatisch Malware scannt und die Gesamtgeschwindigkeit und Leistung der Website erhöht, einen automatischen Website-Schutz bietet. SiteLock kann auch Malware-Berichte generieren mit der Benutzer sofort reagieren kann.
Features von SiteLock
- Täglicher Malware-Scan
- Automatisches Erkennen und Säubern von Malware.
- Integrierte Web Application Firewall (WAF)
- Entfernung von Blacklists
- Schutz vor DDoS-Angriffen
- Bietet eine breite Palette von Sicherheitsprodukten für WordPress-Websites
- Wiederholtes Scannen der Website um Malware zu erkennen und zu entfernen
- Scannen von Webseiten im Entwurfsmodus
- Effektive White-Box-Tests für die Website-Analyse
- Blockieren schädlicher Anfragen durch die Web Application Firewall
- SiteLock bietet keine wichtigen sicherheitsverstärkenden Features, wie das Ändern von Sicherheitsschlüsseln oder das vollständige Deaktivieren des Zugriffs auf das Backend.
- Keine kostenlose Version verfügbar
Vorteile von SiteLock
- Bietet eine breite Palette von Sicherheitsprodukten für WordPress-Websites
- Wiederholtes Scannen der Website um Malware zu erkennen und zu entfernen
- Scannen von Webseiten im Entwurfsmodus
- Effektive White-Box-Tests für die Website-Analyse
- Blockieren schädlicher Anfragen durch die Web Application Firewall
Nachteile von SiteLock
- SiteLock bietet keine wichtigen sicherheitsverstärkenden Features, wie das Ändern von Sicherheitsschlüsseln oder das vollständige Deaktivieren des Zugriffs auf das Backend.
- Keine kostenlose Version verfügbar
Preise
SiteLock bietet eine Premium-Version, die ab 30 Dollar pro Monat angeboten wird. Dazu gibt es eine kostenlose Beratung.
Fazit
Potenzielle Online-Bedrohungen sind hochkomplex. Die meisten Websitebetreiber kämpfen damit alle Sicherheitsanforderungen ihrer Websites zu erfüllen. Das richtige und passende Sicherheits-Plugin für die eigene Website auszuwählen ist ein guter Einstieg. Dieser Beitrag informiert sie über die Optionen, die Ihnen zur Verfügung stehen.
Anmerkung der Redaktion: Websitesicherheit hat viele Aspekte. Sicherheits-Plugins wie die oben diskutierten decken viele Aspekte ab. Wir wollen in diesen Zusammenhang nicht versäumen ein Mal mehr auf die Bedeutung von HTTPS hinzuweisen. HTTP-Seiten werden zunehmend als »nicht sicher« gekennzeichnet. Soweit sollten es Websitebetreiber erst gar nicht kommen lasse. Lesen Sie dazu unseren Leitfaden – SSL-Zertifikate auswählen: Eine Schritt-für-Schritt-Anleitung.
Akshat Choudhary, Gründer und CEO von BlogVault, MigrateGuru & MalCare und Gastautor bei GlobalSign.
Über den Autor
Sein wichtigster Antrieb ist es Produkte zu entwickeln, die reale Probleme von realen Menschen lösen. Seit 2005 entwickelt der Autor Systeme und Produkte. Der Kerngedanke beim Entwickeln eines Produktes ist, dass der Nutzer keine Hilfe braucht um es einzusetzen, aber im Bedarfsfall einen Ansprechpartner bei Fragen und unerwarteten Problemen hat.
IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise
Augen auf im World Wide Web: Wann ist »sicher« wirklich sicher?
Malware in der Cloud: Best Practices zum Schutz vor einer wachsenden Bedrohung