Bild einer Frau, die ein Geschenk hält

WordPress-Plugins für mehr Sicherheit?

22.12.2020
Wordpress

Mit WordPress werden ca. ein Drittel aller Websites weltweit erstellt und gepflegt. Durch den Bekanntheitsgrad wird WordPress somit aber auch zum Ziel von Hacker-Angriffen. Wie sichere ich nun also meine WordPress-Website ab, damit sie möglichst wenig Angriffsfläche bietet? Leider gibt es kein Standard-Plugin, welches sich um alle Sicherheitslücken von WordPress, Themes und Plugins kümmert. Vielmehr gibt es ein paar Maßnahmen, die die Sicherheit von WordPress erhöhen und die aufeinander aufbauen. Je mehr dieser Maßnahmen umgesetzt werden, desto sicherer wird die Website sein – und hoffentlich keine oder nur wenige Lücken für potenzielle Angreifer lassen.

Die WordPress Sicherheits-Basics

Essenziell, aber hier nur kurz erwähnt: natürlich sollten die gewählten Passwörter wirklich sicher ausgewählt werden. Ansonsten sind alle anderen Maßnahmen leider relativ wertlos.

Der zweite wirklich wichtige Punkt sind aktuelle gehaltene WordPress-Versionen, Plugins und Themes. Die Website sollte also regelmäßig aktualisiert und veröffentlichte Updates installiert werden. Ansonsten können bekannte Sicherheitslücken veralteter Versionen von Angreifern ausgenutzt werden. Es bietet sich eventuell auch an, automatische Updates zu aktivieren (ab WordPress 5.5 möglich und bei den Plugins selbst aktivierbar).

WordPress-Plugins, die Sicherheitslücken schließen?

Provider bieten in Ihrer WordPress-Verwaltung zum Teil die Überprüfung der Installation an und schlagen zur Absicherung Plugins vor. Die gängigsten dieser „Sicherheits“-Plugins sind:

  • Limit Login Attempt Reloaded: Das Plugin soll sogenannte Brute-Force-Attacken zum Ausspionieren von Zugangsdaten, verhindern. Viele Variationen von Username und Passwort werden hierbei getestet. Die Angriffe sind oft erfolgreich, weil der Benutzername oft „Admin“ und das Passwort kurz und einfach ist. Hier wären wir also wieder bei individuellen Usernamen und Passwörtern. Das Plugin stoppt die Angriffe (allerdings nur von einer IP-Adresse, Angriffe erfolgen aber zunehmend aus einem ganzen Netz von Adressen).
    Fazit: glaubt man Experten, ist das Plugin nur wenig effektiv, da gezielte Angriffe von vielen verschiedenen Adressen aus sich nicht verhindern lassen. Die Begrenzung der Login-Versuche einer IP-Adresse ist zwar dennoch sinnvoll, in Zukunft wird dieser Mechanismus aber immer weniger wirkungsvoll sein.
  • WPS HIDE Login: Die zuvor genannten Brute-Force-Attacken greifen die WordPress Login-Seite an. Also scheint eine einfache Möglichkeit zur Vermeidung der Angriffe zu sein, die Login-Seite zu verstecken und Angreifer nicht darauf zugreifen zu lassen. Das Plugin HIDE Login ändert die Adresse der Login-Seite in eine frei wählbare URL. Für sich alleine ist diese Maßnahme aber nicht ausreichend und sollte durch weitere Schritte ergänzt werden.
  • Meta Info und Version Remover: Entfern die WordPress-Version im Source Code, welche von „Sniffern“ gerne ausspioniert wird, um Schwachstellen herauszufinden. Dieses Plugin ist aber auch wie das vorhergehende nur eine scheinbare Absicherung der Installation, denn anhand des Software-Aufbaus selbst kann ein Angreifer dennoch herausfinden, welche Version installiert ist und wo die Sicherheitslücken sind. Dies ist also auch nur eine zusätzliche Option zu anderen Sicherheitsvorkehrungen.
Frau verschnürt Päckchen
Einige einfache Maßnahmen erhöhen die Sicherheit der Website.

Maßnahmen zur Ergänzung der Sicherheits-Plugins

  1. Und nochmals: sicheres Passwort verwenden!
  2. Keinen Admin als Usernamen verwenden!
  3. Ein wirklich sicherer Schutz vor Attacken mit wechselnden IPs ist eine Zwei-Faktor-Authentifizierung, beispielsweise mit dem Google Authenticator. Hier wird per Smartphone-App der WordPress-Login bestätigt. Der Vorgang der doppelten Authentifizierung klingt zwar etwas aufwändig, ist aber inzwischen ja bei vielen Anwendungen, beispielsweise beim Online-Banking, Standard. Und ist eine wirklich gute Absicherung gegen Website-Angriffe.
  4. Anzahl Logins beschränken: hier kann tatsächlich das oben genannte Plugin verwendet werden. Zusätzlich zur Zwei-Faktor-Aufthentifizierung sollte ein gutes Maß an Absicherung erreicht sein.

Fazit

Die drei vorgestellten Plugins können eine gute Ergänzung zu weiteren Maßnahmen der Absicherung von WordPress sein – sollten diese aber nicht ersetzen!

Wer sich wirklich eingehender mit der Absicherung von WordPress beschäftigen will, findet natürlich unzählige Anleitungen und Tutorials, die dann mit ihren vorgestellten Maßnahmen tiefer in den WordPress-Code einsteigen. Beispielsweise haben wir hier eine gute Anleitung gefunden. Aus unserer bisherigen Erfahrung kommt man aber mit den hier vorgestellten Schritten als Anwender und Administrator gut zurecht, ohne, dass man gleich auf Code-Ebene arbeiten muss.

Fotos von Kira auf der Heide on Unsplash