Mittlerweile laufen über 43 Prozent aller Websites auf WordPress. Damit ist unser Lieblings-CMS ein beliebtes Ziel für Angriffe und Malware. Doch kein Grund zur Panik! Denn WordPress Security ist kein Hexenwerk. Neben praktischen Sicherheitstipps haben wir heute die drei besten WordPress Security Plugins im Gepäck und zeigen dir, wann du sie wirklich brauchst.
Brauche ich denn überhaupt noch ein WordPress Security Plugin? Diese Frage bekommen wir regelmäßig im Support gestellt. Im folgenden Artikel möchte ich dir zeigen, welchen Mehrwert ein Security Plugin für die Sicherheit deiner WordPress Website hat und wann es wirklich sinnvoll ist, eines einzusetzen.
Im zweiten Teil vergleichen wir die drei beliebtesten WordPress Security Plugins, um dir einen schnellen Überblick zu verschaffen. So kannst du zielgerichtet und schnell eine Entscheidung treffen und dich danach wieder dem Wesentlichen widmen: deinem Business.
Warum WordPress Security so entscheidend ist
Grundsätzlich gibt es vor allem drei wesentliche Aspekte, warum du dich aktiv mit der Sicherheit deiner WordPress Website auseinandersetzen und nicht den Kopf in den Sand stecken solltest.
#1 Deine Website kann unbenutzbar werden
Vor einigen Jahren waren wir noch im Agenturgeschäft tätig. Da kam es durchaus vor, dass wir ein komplettes Redesign einer Seite in Angriff nehmen durften, da die Ursprungsseite durch Sicherheitsprobleme, die man hätte vermeiden können, unbrauchbar geworden ist.
Nun hat jemand, der Malware auf Seiten installiert, in der Regel kein Interesse daran, diese zu zerstören. Schließlich möchte der Angreifer damit beispielsweise Spam versenden, Besucher auf Spamwebsites leiten, Anzeigen einbinden oder Kryptowährung generieren. Neben der generellen Einschränkung der Funktionalität deiner Website kann Malware so auch zu erheblichen Problemen mit der Performance führen.
„*“ zeigt erforderliche Felder an
#2 Blacklisting und Absturz in Google Rankings
Ein noch viel gravierender Punkt in der heutigen Zeit ist das Blacklisting der Domain, insbesondere durch Google oder Norton. Wenn Google deine Website auf seine Blacklist setzt, heißt dies im schlimmsten Fall, dass deine Webseite aus den Google Suchergebnissen fliegt.
Es ist zwar möglich, nach einem Malwarebefall einen Scan der Seite erneut einzureichen. Allerdings garantiert dies nicht, dass du auch deine früheren Rankings zurückbekommst. Gerade bei wichtigen Money Keywords oder hohem organischen Traffic kann dies schwerwiegende wirtschaftliche Folgen nach sich ziehen.
#3: Verlust von Daten
Gerade in Zeiten der DSGVO, wo das Thema Datenschutz eine neue Dimension erreicht hat, müssen entsprechende Daten geschützt werden. Während dies bei einer normalen Unternehmensseite weniger ins Gewicht fällt, ist es bei einer Shopseite umso dramatischer, wenn Zahlungsinformationen nicht ausreichend geschützt sind.
Typische Gefahren für die Sicherheit von WordPress
Brute Force Attacken auf den Loginbereich
Bei einer Brute Force Attacke wird automatisiert eine hohe Anzahl von Passwortkombinationen ausprobiert, um sich über den /wp-admin Login von WordPress Zugang zur Website zu verschaffen. Ist dies einmal gelungen und hat der Account auf deiner Website Adminrechte, ist die Website fast komplett in fremder Hand.
Unsere Erfahrung bei Raidboxes zeigt: Durch ein starkes Passwort und die Limitierung der Loginversuche lassen sich nahezu alle Malwarefälle vermeiden. Doch dazu gleich mehr.
Automatisiertes Ausnutzen von Sicherheitslücken
In aller Regel erfolgen Angriffe auf Websites automatisiert. WordPress Websites werden durch sogenannte Crawler automatisiert gescannt, zum Beispiel nach einem bestimmten Plugin, welches eine Sicherheitslücke aufweist. Bei den Angriffen können diverse Sicherheitslücken ausgenutzt werden, wie beispielsweise bei SQL-Injections oder Cross Site Scripting.
Manuelle Angriffe
Natürlich besteht auch die Möglichkeit, manuell eine Sicherheitslücke auszunutzen. Dies ist aber eher selten, da sich der Aufwand nur bei großen WooCommerce Shops lohnen würde, wo etwa tatsächlich Zahlungsdaten gestohlen werden sollen.
8 Sicherheitsmaßnahmen, die wir als Hoster leisten
Grundsätzlich lässt sich über spezialisiertes WordPress Hosting die Sicherheit deiner Website deutlich erhöhen. Wir haben das Raidboxes Sicherheitskonzept über die Jahre immer weiter ausgebaut, sodass Fälle von Malware zur absoluten Seltenheit geworden sind. Insbesondere die detaillierte Analyse von Malwarefällen hilft, häufig genutzte Sicherheitslücken zu erkennen und mit entsprechenden Maßnahmen zu verhindern.
#1 Starke Passwörter – die wichtigste Sicherheitsmaßnahme überhaupt
Eine der wichtigsten Sicherheitsmaßnahmen überhaupt ist ein starkes Passwort für alle Accounts. Leider haben wir als Hoster nur bedingt Einfluss auf die Passwortvergabe. Insbesondere bei Umzügen können wir nur wenig Einfluss auf die Passwörter nehmen. Das Erzwingen eines starken Passworts beim Anlegen einer Box (also einer neuen WordPress Website) hat zu einer deutlichen Reduktion von Malwarebefall geführt.
Zur Erinnerung
Ein Passwort sollte aus Zahlen, Sonderzeichen und Kleinbuchstaben mit einer Mindestlänge von sieben Zeichen bestehen. Ist dies bei deinen WordPress Accounts nicht der Fall, solltest du unbedingt erst Schritt 1 unternehmen und sofort deine Passwörter ändern.
#2 Schutz vor Brute Force Attacken
Fast eine Milliarde mal pro Monat werden Websites mit den oben beschriebenen Brute Force Attacken angegriffen. Gut, wenn sich dein WordPress Hoster darum bereits gekümmert hat. Unsere Login Protection schaltet sich vor deinen WordPress Loginbereich und ‘blacklistet‘ IP Adressen, die wiederholt versuchen, sich mit falschen Logindaten einzuloggen.
In den Einstellungen deiner Box kannst du genau definieren, nach wie vielen Loginversuchen diese Sperre greifen soll und wie lange die betreffenden IPs ausgesperrt werden. In Kombination mit einem starken Passwort ist es praktisch unmöglich, sich über diesen Weg Zugang zur Website zu verschaffen.
#3 WP Session Eraser
Gemäß der DSGVO solltest du so wenig Daten wie möglich speichern. Wir helfen dir dabei! Unser Tool für mehr Datensparsamkeit – der WordPress Session Eraser – löscht nach einem von dir festgelegten Intervall die WordPress Sessions aller deiner User aus der Datenbank. Dieses Intervall kannst du in deinen Boxeinstellungen in unserem Dashboard für jede Box einzeln festlegen.
#4 Standardmäßige Blockierung der XML-RPC
XML-RPC ist eine Schnittstelle, die seit WordPress 3.5 auf jeder WordPress Website verfügbar ist. Da die allermeisten Webmaster XML-RPC ohnehin nicht nutzen, ist es sinnvoll, diese Schnittstelle zu deaktivieren. Denn: Über XML-RPC können Hacker direkt Angriffe auf deine Seite fahren.
Deswegen ist die Schnittstelle mittlerweile standardmäßig bei uns blockiert und kann bei Bedarf über die Einstellungen im Raidboxes Dashboard freigeschaltet werden.
#5 Gemanagte Sicherheitsupdates von WordPress
Ganz wesentlich ist natürlich die Aktualisierung von WordPress. Hier werden circa alle 2-3 Monate neue WordPress Versionen veröffentlicht. Insbesondere Maintenance Updates schließen wichtige Sicherheitslücken. Diese Updates sollten unmittelbar installiert werden.
Major Updates bringen meist größere Codeänderungen mit sich, weshalb es dabei zu Inkompatibilitäten kommen kann. Um genügend Zeit für die Updates von Themes und Plugins einzuräumen, rollen wir große Updates immer erst nach 14 Tagen auf unserem System aus. Natürlich stellen wir die neueste WordPress Version aber sofort zum manuellen Update zur Verfügung. Wichtig ist hier natürlich, dass du vor dem Update immer zuerst ein Backup deiner Seite machst!
#6 Selektiver Schreibschutz – WordPress Hardening Maßnahmen
Ein Fokus des Securityplugins iThemes Security ist, WordPress durch das Schützen von Dateien sicherer zu machen. Auch dies ist selektiv bei uns integriert. So wird es erschwert, Elemente der Seite zu infizieren und unbrauchbar zu machen. Hier muss immer ein sinnvoller Ausgleich zwischen Flexibilität und Sicherheit geschaffen werden. Diesen wahren wir durch Konfigurationsmöglichkeiten direkt über die Raidboxes Benutzeroberfläche.
Darüber hinaus nutzen wir natürlich auch WordPress Best Case Practices, wo sie Sinn machen. Ein Beispiel ist hier das Umbenennen des Präfixes der WordPress Datenbank. Diese ist bei uns nicht über den Standard wp_ erreichbar. Ein Umbenennen des wp-content Ordners hingegen, wie ihn iThemes Security anbietet, führt erfahrungsgemäß zu Fehlern, da Plugins und Themes damit nicht zurechtkommen.
#7 Gemanagte Pluginupdates von WordPress
Nun gilt es noch das letzte größere Einfallstor vor Angriffen zu schließen: nicht aktuelle Plugins. Wie bei WordPress selbst, kann es auch bei Plugins und Themes zu Sicherheitslücken kommen. Nicht jedes Update beinhaltet Sicherheitsfeatures. Dennoch: Sind alle Plugins aktuell, ist die Wahrscheinlichkeit von Sicherheitslücken deutlich geringer.
#8 Serverseitige Maßnahmen
Alle oben genannten Maßnahmen schützen WordPress selbst. Ansonsten gibt es natürlich noch eine schier endlose Liste von Sicherheitsmaßnahmen, die den Server selbst betreffen. Dies fängt bei Linux Updates an und hört bei der regelmäßigen Aktualisierung von PHP als Basis von WordPress auf. Wir sorgen für das automatische Update veralteter PHP Versionen (natürlich mit entsprechendem Vorlauf und Zeit zum Testen), ohne dass du dich selbst darum kümmern musst.
Nachteile von WordPress Security Plugins
Dies dargestellt, möchte ich nun kurz auf die Nachteile von Security Plugins eingehen. Diese sind teilweise nicht unerheblich, insbesondere aus Zeitaspekten.
Einrichtungsaufwand
Wer denkt, dass es mit einem bloßen Installieren eines Plugins getan ist, irrt sich. Leider setzt auch das Einrichten eines Security Plugins gewisse Kenntnisse voraus.
Am Beispiel des Plugins All-in-One Security wird dies wunderbar deutlich. Es ist eines der beliebtesten kostenlosen Plugins, welches zu einem sehr großen Umfang die .htaccess Datei nutzt. Das Plugin erkennt jedoch gar nicht, wenn es sich um einen NGINX Server handelt. Dieser unterstützt das Konzept der .htaccess Datei nicht. NGINX wird aber im WordPress Umfeld aufgrund seiner Flexibilität genutzt.
Weiterhin sind die Sicherheitsmaßnahmen zwar in Schwierigkeitslevels eingeteilt, was viel Sinn ergibt, dennoch sind viele der vom Plugin angebotenen Maßnahmen weniger sinnvoll. Um die Notwendigkeit der verschiedenen Maßnahmen angemessen zu beurteilen, muss man sich unweigerlich mit der Security-Materie auseinandersetzen.
Wartung und gefühlte (Un)sicherheit
Für unseren Test haben wir verschiedene Securityplugins installiert. Eines der Plugins hat sich automatisch einer in WordPress hinterlegten Team-E-Mail Adresse bedient und begonnen, fleißig E-Mails zu verschicken. Zur großen Freude aller Teammitglieder…
Dies ist leider überhaupt keine Seltenheit. Selbstverständlich möchte man in gewisser Hinsicht informiert bleiben. Allerdings wird man in den häufigsten Fällen auf Dinge hingewiesen, die überhaupt kein Sicherheitsrisiko darstellen. Am Ende fühlt man sich unsicherer als vorher, da man z.B. über jede Dateiänderung informiert wird und im Zweifel prüfen muss.
Performanceprobleme
Standardmäßig bietet jedes der Plugins einen Malware- oder Security-Scan an. Das Plugin Wordfence setzt diese gerne automatisiert bei einer Stunde an. Dies bedeutet, dass im Zweifel jede Stunde (!) ein Scan deiner Seite durch ein automatisches Script (via Cronjob) läuft. Wer auf seinem Rechner schon einmal eine Antivirensoftware installiert hat, kennt die Leidensgeschichten von teilweise massiven Performanceproblemen.
Unter Umständen ist dies auch ein Grund, wieso von über 90 Millionen Downloads am Ende „nur“ 2 Millionen aktiv geblieben sind.
Kosten
Für die Recherche dieses Artikels haben wir nur Plugins evaluiert, welche es auch in einer kostenfreien Version gibt. Dennoch ist es leider so, dass bei vielen WordPress Security Plugins die wirklich sinnvollen Features mindestens 80 Dollar pro Jahr kosten. Wenn man diese nicht nutzt, bleibt häufig das Gefühl von Unsicherheit.
Wann ist ein WordPress Security Plugin wirklich sinnvoll?
Für alle, die noch die extra Meile gehen wollen, hier ein paar Beispiele für Fälle, wo ein WordPress Security Plugin sinnvoll sein kann. Diese Empfehlungen beziehen sich nur auf spezialisiertes WordPress Hosting. Da bei anderen Hostern Sicherheitsmaßnahmen unter Umständen nicht so spezifisch und umfangreich umgesetzt sind, kann dort ein WordPress Security Plugin empfehlenswert sein. Du siehst, es ist kaum möglich, zum Nutzen von Security Plugins eine generelle Aussage zu treffen, da die Anforderungen und Umstände unterschiedlich sind.
Manuelles Hacking beim WooCommerce Shop
Dies ist eines der wenigen Beispiele, bei denen wir tatsächlich aktiv ein Security Plugin empfohlen haben, um die Sicherheit des Onlineshops zu erhöhen. Der WooCommerce Kunde hatte den Eindruck, dass er manuell angegriffen wird, was wie oben beschrieben, sehr selten vorkommt.
In diesem Fall konnte er mit Wordfence und dessen Loggingfunktion schnell die entsprechende IP Adresse identifizieren und dann blockieren. Der Angriff konnte damit effektiv unterbunden werden.
Je höher die Anzahl an Plugins, desto höher ist auch die Wahrscheinlichkeit von Sicherheitsrisiken. Insbesondere, wenn kein Tool zur Aktualisierung genutzt wird, bleiben bestehende Sicherheitslücken lange unbemerkt im System und bieten eine Angriffsfläche. Gerade bei WooCommerce Shops ist die Anzahl an Plugins meist wegen der Natur von WooCommerce hoch und die Daten sind gleichzeitig sensibler. Daher sollte hier auch eher über ein Security Plugin nachgedacht werden.
Die drei besten Security Plugins für WordPress
Im Folgenden möchte ich kurz darstellen, wieso wir uns nur auf drei Plugins beschränken und nicht zehn – oder gar die besten 101 WordPress Security Plugins vorstellen.
Bei den Security Plugins beschränken wir uns auf die Top 3 der WordPress Plugins weltweit. Wir haben uns auch andere Security Plugins, wie z.B. All In One WP Security & Firewall angeschaut, welches mit 800.000+ das beliebteste rein kostenlose Plugin (ohne Premiumversion) darstellt. Allerdings haben uns hier die Usability und teilweise die empfohlenen Maßnahmen nicht überzeugt. Gleichzeitig ist es nur auf Apache Webservern anwendbar.
Es geht um die letzten Meter
Da wir die Plugins eher als Ergänzung zu einem schon sicheren WordPress Hosting sehen, geht es darum, die letzten 0,1 Prozent Sicherheitsrisiko abzudecken. Somit beschränken wir uns auf die professionellen Plugins, welche eine sehr hohe Verbreitung haben.
Aber auch bei anderen, nicht spezialisierten Hostern hat diese Auswahl von Plugins eine hohe Relevanz. Hier solltest du dich ohnehin intensiver mit dem Thema WordPress Security auseinandersetzen.
Schnelle Entscheidungshilfe
Gleichzeitig ist es uns wichtig, eine schnelle Entscheidungshilfe zu liefern. Unserer Meinung nach ist dies bei einer Darstellung von zehn Plugins nicht mehr möglich, da dann am Ende doch wieder alle zehn Plugins evaluiert werden müssen. Bei drei Plugins mit unterschiedlichem Fokus fällt die Entscheidung hier leichter.
Beschränkung auf All-In-One Plugins
Natürlich gibt es unzählige Plugins, welche großartig einzelne Funktionen übernehmen, zum Beispiel die Loginversuche limitieren (Limit Login Attempts). Aber auch Funktionen, welche die Plugins erst in den PRO Versionen anbieten, lassen sich über einzelne Plugins lösen. Bestes Beispiel ist dieses Plugin für die 2-Faktor-Authentifizierung.
Verbreitung und Daten sind bei Firewalls wichtig
Firewalls wenden bestimmte Regeln an, um zu erkennen, ob jemand schadhaft agiert oder lediglich die Seite besucht. Wenn jemand versucht, in die Seite einzudringen, wird er geblockt. Insbesondere die Regeln basieren auf dem Wissen von existierenden Sicherheitslücken. Gleichzeitig kann man Netzwerke von Angreifern bei 2 Millionen Seiten in der Verwaltung besser erkennen und für alle anderen Seiten blocken als bei 10.000 Seiten. Daher spielt Verbreitung für Security Plugins eine Rolle.
Eure persönlichen Favoriten sind willkommen
Dies heißt nicht, dass es nicht noch andere großartige Plugins für mehr WordPress Security gibt. Nennt eure persönlichen Favoriten gerne in den Kommentaren. So sorgen wir für noch mehr Chancengleichheit auch für neue innovative Ansätze.
Die drei besten Security Plugins in der Übersicht
Webseite des Plugins | Wordfence | iThemes Security | Sucuri Security |
Download-Link | Download | Download | Download |
Features | Hier | Hier | Hier |
Aktive Installationen | 3+ Millionen | 900.000+ | 700.000+ |
Sprachen | Englisch | 16 Sprachen (auch DE) | Englisch, Spanisch |
Getestet mit aktuellster WordPress-Version | Ja | Ja | bis 5.3.4 |
Anzahl Bewertungen | 3,572 | 3,830 | 338 |
Bewertung (fünf Sterne) | 4,8 | 4,7 | 4,4 |
Kostenlose Version | Ja | Ja | Ja |
Premium (Jahreslizenz) | ab $99 | ab $80 | $199,99 |
Malware-Entfernung ab | $286.40 | nicht angeboten | in Lizenz enthalten |
In der Übersicht wird deutlich, dass jedes der Plugins eine sehr hohe Verbreitung hat und gut bewertet ist. Dennoch ist Wordfence der unangefochtene Marktführer und auch vom Preis-Leistungs-Verhältnis ausgewogen. Bei Sucuri zahlt man die Malware-Entfernung zwar direkt mit, hier können die Preise allerdings insbesondere durch einen schnelleren Service und häufigere Scans auf 500 Dollar pro Jahr ansteigen. Bei Wordfence wird die professionelle Malware-Entfernung als optionaler Service angeboten. Hier kommt es also ganz auf deine Bedürfnisse an.
Wichtig zu wissen ist, dass es recht unwahrscheinlich ist, sich mit starken WP User Passwörtern Malware einzufangen. Unserer Meinung nach ist es daher wenig sinnvoll, die Malware-Entfernung direkt als Leistung mitzukaufen.
Bei Wordfence bekommst du wiederum in der kostenlosen Version direkt Zugriff auf das gesamte Spektrum der Firewall, anders als beispielsweise bei iThemes Security, wo Informationen aus dem Netzwerk erst in der PRO Version zugänglich sind.
Ein wichtiger Punkt, den es auch nicht zu verachten gilt: Wordfence ist in unserem Beispiel der einzige unabhängige Anbieter, welcher sich nur auf das Thema WordPress Security spezialisiert hat. Sucuri gehört mittlerweile zum GoDaddy Konzern und iThemes wurde auch durch ein anderes Hosting-Unternehmen gekauft. Zudem sind sie noch in diversen anderen Bereichen, wie z.B. Theme-Entwicklung aktiv. Hinter Wordfence steckt ausschließlich die Security-Firma Defiant.
Zwischenfazit
Unsere Security Plugin Empfehlung ist somit ganz klar Wordfence. Das Plugin bietet schon in der kostenlosen Variante eine umfangreiche Firewall und konzentriert sich auf die zwei Kernthemen, die ein WordPress Security Plugin leisten sollte: Eine Firewall und Security Scans.
Weiterhin ist es schnell eingerichtet, übersichtlich gehalten und verunsichert nicht, wie dies bei anderen Plugins mit zu technischen Informationen vorkommt.
Um Performanceprobleme zu vermeiden, sollte „Low Resource Scanning“ unter den Scanoptionen genutzt werden. Da IP-Adressen verarbeitet werden, solltest du mit Wordfence einen AV schließen.
Im Folgenden gehe ich noch einmal detailliert auf die einzelnen Kernbereiche eines WordPress Security Plugins ein, um die Unterschiede zwischen den Plugins deutlich zu machen.
Die wichtigsten Pluginfeatures im Vergleich
Monitoring und Scans
Wordfence | iThemes Security | Sucuri | |
Security Scans | Ja | Ja | Ja |
Geplante Security Scans | Nur Pro Version | Nur Pro Version | Nur Pro Version |
Malware Identifizierung | Ja | Ja | Ja |
Identifizierung von Sicherheitsanomalien | Ja | Ja | Ja |
Blacklist Monitoring | Nur Google Safe Browsing | Blacklist Status Check | Ja |
Dateiänderungen | Ja | Ja | Ja |
DNS Monitoring | Ja | Unklar | Ja |
SSL Monitoring | Nein | Ja | Ja |
Benachrichtigungen | Ja | Ja | Ja |
Spamüberprüfung | Nur Pro Version | Ja | Ja |
Security Logs | Ja | Ja | Basic |
Ein wesentlicher Bestandteil eines WordPress Security Plugins ist das Überprüfen, ob die Webseite kompromittiert wurde. Da es keine einheitliche Verwendung von Begriffen gibt und für gleiche Inhalte oft andere Bezeichnungen und Erklärungen verwendet werden, ist es sehr schwierig, einen vernünftigen Vergleich durchzuführen. Die Tabelle weiter oben soll hier eine Übersicht verschaffen.
Jedes Plugin bietet eine Scanfunktion
So werden zwar Security Scans, Malwareidentifizierung, Identifizierung von Sicherheitsanomalien oder Dateiänderungen häufig separat aufgeführt, gemeint ist aber das Gleiche. Über den Abgleich von Dateien wird geprüft, ob Malware auf der Seite vorhanden ist. Unserer Erfahrung nach kann es durchaus vorkommen, dass ein unauffälliger Test bei Sucuri dennoch bedeuten kann, dass Malware auf der Seite zu finden ist, wenn detaillierter gescannt oder in die einzelnen Dateien geschaut wird.
iThemes Security bedient sich hier einfach der API von Sucuri. Als Ergebnis erhält man sowohl bei Sucuri als auch bei iThemes nichts anderes als den kostenlosen Sitecheck, welcher auch auf der Sucuri Webseite zu finden ist.
Unterschiede beim Blacklist Monitoring
Neben den Scans ist das Blacklist Monitoring ein wichtiger Faktor, insbesondere für die oben beschriebenen Rankingverluste. Hier prüft Wordfence laut eigener Darstellung nur den Google Safe Browsing Status. Sollte eine Webseite hier auftauchen, ist es prinzipiell schon zu spät. Die Webseite wird mit hoher Wahrscheinlichkeit zunächst aus den Suchergebnissen geworfen. iThemes Security und Sucuri prüfen hier direkt mehrere Blacklists. Das Ergebnis ist dennoch identisch. Wenn die Website auf den Blacklists auftaucht, ist es schon zu spät. Genau um dies zu verhindern, werden diese Scans gemacht.
Eine erweiterte Blacklistprüfung ist bei Wordfence erst in der Premium Version verfügbar. Hier wird der von extern gut zu erkennende und für Google wichtige Punkt der Spamwerbung mit geprüft.
Niedrige Relevanz von DNS Monitoring
Die Features des DNS- und SSL-Monitorings halten wir für wenig relevant. Uns ist noch kein einziger Fall bekannt, wo DNS-Veränderungen oder SSL-Änderungen herbeigeführt wurden, um damit kriminellen Machenschaften nachzugehen.
Wordfence punktet bei den Security Logs
Die Basis eines WordPress Security Plugins sollte es sein, Logins vernünftig darzustellen. Dies ist bei allen Plugins gegeben. Wordfence geht hier mit seinem Live Traffic Monitoring einige Schritte voraus. Es werden nicht nur Logins erkannt, sondern Traffic wird entsprechend kategorisiert. So können Crawleraktivitäten bzw. menschliches Verhalten in Bezug auf Sicherheitsaspekte nachvollzogen werden. Das Tool eignet sich daher hervorragend, um etwa manuelle Hacks zu verhindern.
Fazit in dieser Kategorie
Die Scanqualität ist schwer zu beurteilen und müsste durch Testcases evaluiert werden. iThemes Security und Sucuri haben eine bessere Blacklist Überwachung. Allerdings sollte der Scan ohnehin verhindern, dass die Seite auf der Blacklist landet. Beim Monitoring ist insbesondere das Live Traffic Feature von Wordfence ein großer Pluspunkt.
Schutz in Kombination mit Firewalls
Wordfence | iThemes Security | Sucuri | |
Web Application Firewall (WAF) | Eingeschränkt | 404 Detection | Ja |
Intrusion Detection System (IDS) | Ja | Nein | Ja |
DDoS Schutz | Nein | Nein | Ja |
Brute Force Schutz | Ja | Ja | Ja |
Block von Hacking-Versuchen | Ja | Teilweise | Ja |
Zero-day Exploits Schutz | Unklar | Nein | Ja |
Einzelner Seitenschutz | Nein | Nein | Ja |
Heuristic Correlation Algorythmus | Unklar | Nein | |
Load Balancing / Failover | Nein | Ja | Ja |
Länder Blocking | Ja | Nein | Nein |
Fortgeschrittenes manuelles Blocking | Ja | Nein | Nein |
iThemes ohne richtige Firewall
In puncto Firewall werden die Unterschiede zwischen den Plugins besonders deutlich. Die Herangehensweisen auf das Thema sind hier nämlich grundlegend unterschiedlich. Genau genommen setzt iThemes-Security keine wirkliche Firewall ein. In Ansätzen könnte man die 404 Detection als einen ersten Ansatz bezeichnen. Hierbei wird geschaut, ob ein Crawler viele 404-Fehler erzeugt und geblockt.
Sucuri inklusive vollwertigem CDN
Wohingegen für Wordfence nur ein Plugin installiert werden muss, um die Firewall zu nutzen, muss bei Sucuri der Nameserver oder ein A Record bei den DNS Einstellungen geändert werden. Dafür ist es eine komplett cloudbasierte Lösung, inklusive eines CDN (Content Delivery Network), welche auch DDoS Attacken verhindern kann. Bei einer DDoS Attacke wird häufig mit einem Botnetz eine Seite so lange mit Anfragen befeuert, bis die Seite nicht mehr erreichbar ist, weil der Server nachgibt.
Der Sucuri-Ansatz führt auch dazu, dass es im Gegensatz zu Wordfence mit Loadbalancern funktioniert. Insgesamt ist bei Sucuri bei bestimmten Begriffen wie zum Beispiel dem „Heuristic Correlation Algorithmus“ eher von einer Marketingformulierung auszugehen und es ist unklar, ob dies ein tatsächlicher Mehrwert ist, da Wordfence vermutlich auch mit heuristischen Methoden arbeitet. Wer nur einen CDN benötigt, könnte diese jedoch auch kostenlos durch Cloudflare realisieren.
Wordfence mit mehr Konfigurationsmöglichkeiten
Bei Sucuri läuft vieles automatisch und das ohne Zutun des Users. Dafür lässt sich hier scheinbar weniger konfigurieren. So lassen sich bei Wordfence explizit einzelne Länder IPs blocken und auch manuelles Blockieren ist möglich. Insbesondere bei manuellen Hacks ist dies hilfreich.
WordPress Sicherheitsmaßnahmen
Wordfence | iThemes Security | Sucuri | |
Datenbank Backups | Nein | Ja | Nein |
WordPress sicherer machen | Nein | Ja | Nein |
Informationen verstecken | Nein | Ja | Nein |
Schreibschutz | Nein | Ja | Nein |
Passwortmanagement | Nein | Ja | Nein |
Two Factor Authentication | Premium | Premium | Nein |
iThemes Security konzentriert sich wie in der Tabelle zu sehen auf die Sicherheitsmaßnahmen innerhalb von WordPress. Insgesamt werden hier 30 verschiedene Punkte abgearbeitet, welche zum größten Teil sehr sinnvoll sind. Viele der Punkte sind daher bereits in unserem Hosting inklusive.
iThemes Security ist daher eine tolle Möglichkeit ein „unsicheres“ generisches Hosting um mehr Sicherheit auf WordPress Ebene zu ergänzen. Die kostenlose Version bietet hier schon umfangreichen Schutz. Bei der Premiumversion ist die 2-Faktor Authentifizierung hervorzuheben.
Da Wordfence und Sucuri den Fokus auf das „Abschirmen“ der Seite legen. Sind sie in diesen Punkten eher schwach aufgestellt.
Entfernung von Malware & Performance
Wordfence | iThemes Security | Sucuri | |
Hack Cleanup & Malware Removal | Optional | Nicht auffindbar | Optional |
Blacklist Warning Entfernung | Optional | Nicht auffindbar | Optional |
Malware Removal Request Limit | Optional | Nicht auffindbar | Optional |
Automatisches Cleanup | Teilweise | Nicht auffindbar | Teilweise |
Security Analyst Eskalation | Optional | Nicht auffindbar | Optional |
Volles Website Cleanup | Optional | Nicht auffindbar | Optional |
Schließen der Sicherheitslücken | Optional | Nicht auffindbar | Optional |
Backups | Nein | Nicht auffindbar | Ja |
Post-Cleanup Report | Optional | Nicht auffindbar | Optional |
Full Log and Incident Report | Optional | Nicht auffindbar | Optional |
Root Cause Follow Up | Optional | Nicht auffindbar | Optional |
Zu guter Letzt schauen wir uns noch das Thema Malwareentfernung an. Hier sind die Preise bei Sucuri und Wordfence ähnlich. Für eine schnellere Bearbeitung verlangen beide einen Aufpreis. Die angebotenen Leistungen sind hier identisch. Bei iThemes konnte ich einen Malware-Entfernungsservice nicht entdecken. Eine Malwareentfernung kann 2-3 Stunden in Anspruch nehmen, mit allerdings großen Schwankungen. Da wir auch Malwareentfernung durchführen, sind die Preise als fair einzuordnen.
Und was ist mit der Performance?
Zu guter Letzt noch ein Hinweis zur Performance. Dies würde man bei einem Security Plugin Vergleich nicht vermuten. Da aber Sucuri einen CDN und eine Firewall in einem anbietet, kann insbesondere bei internationalen Besuchern auch eine Performanceverbesserung entstehen. Bei einem CDN wird die Webseite immer vom nächsten Server ausgeliefert, was vor allem Vorteile bei Besuchern in Übersee hat. Bei einem WooCommerce Shop mit wenig cachebaren Inhalten ist es allerdings weniger ausschlaggebend.
„*“ zeigt erforderliche Felder an
Unser Fazit
Wie lautet nun das Gesamtfazit zum Thema WordPress Security? Unser persönliches Fazit lässt sich durch folgenden Fakt gut auf den Punkt bringen: Wir nutzen für unsere eigene Raidboxes Website kein Security Plugin. Wir haben noch nie ein Security Plugin genutzt und hatten auch noch nie Probleme. Dies alles, obwohl unsere Website eine absolut zentrale Bedeutung für uns hat. Umfangreiche Kundendaten werden allerdings auch nicht auf unserer WordPress Website gespeichert. Uns war das Risiko eines Performanceverlustes durch umfangreiche Scanmaßnahmen zu hoch und die Nachteile haben für uns überwogen.
Dennoch erhöht eine Firewall die Sicherheit der Website. Wer daher das Ziel hat, die maximale Sicherheit zu erreichen und die Nachteile in puncto Performance und Zeitaufwand in Kauf nehmen möchte, sollte zu einem Security Plugin greifen.
Insbesondere für WooCommerce Shops oder gefährdete Websites, welche eventuell schon Probleme mit Malware hatten, kann ein WordPress Security Plugin sinnvoll sein. Unsere Empfehlung lautet daher wie folgt:
Wordfence als beste kostenlose Lösung
Wer sich eine wirklich sehr solide Firewall mit umfangreichem Monitoring wünscht, ist mit Wordfence hervorragend bedient. Nicht umsonst ist es das beliebteste WordPress Security Plugin der Welt. Die Premiumversion ergänzt die Funktionalität punktgenau und sinnvoll. Bei der Implementierung sollte unbedingt auf eine korrekte Einrichtung der Scanvorgänge geachtet werden, um Performanceprobleme zu verhindern.
iThemes Security für generische Hoster
iThemes Security führt wirklich sinnvolle Sicherheitsmaßnahmen auf der Website aus, die insbesondere WordPress selbst betreffen. Für Websites bei generischen Hostern ist es eine tolle Möglichkeit, auch in der kostenlosen Version das Sicherheitsniveau ohne umfangreiche Scans und Firewall zu erhöhen.
Sucuri für CDN
Wer ohnehin mit dem Gedanken spielt, ein CDN zu nutzen und falls das Thema DDoS Attacken eine Relevanz haben sollte, dann sei Sucuri empfohlen. Es bleibt lediglich der etwas fade Beigeschmack des GoDaddy-Konzerns.
Wie viel (gefühlte) Sicherheit brauchst du?
Wie handhabst du das Thema WordPress Security? Baust du auf die Sicherheitsmaßnahmen deines Hosters oder lässt dich nur ein WordPress Security Plugin ruhig schlafen? Wie immer, freuen wir uns über deinen Kommentar!
Hallo Johannes,
eine Frage zu Wordfence. Ist das Plugin Eurer Meinung nach DSGVO-konform?
Unser Rechtsanwalt schreibt dazu: „Auch sind, trotz anderslautender Aussagen des Anbieters, leider nicht alle erforderlichen Informationen über deren Datenverarbeitung auf deren Internetseite veröffentlicht. Dies ist insbesondere insoweit problematisch als der dahinterstehende Anbieter, Defiant Inc., seinen Sitz in den USA hat, sich aber bislang nicht den US Privacy Shield Anforderungen unterworfen hat. Da der Anbieter auch auf unsere konkrete Nachfrage (bislang) nicht alle Informationen mitteilte, die für einen DSGVO-konformen Einsatz erforderlich sind,…“
Wie ist Eure Meinung dazu?
Grüße aus Köln
Horst Gräbner
Hallo Horst,
das ist leider die traurige Konsequenz der DSGVO. Kleine Nicht-EU Unternehmen haben hier große Schwierigkeiten 100%ig DSGVO konform zu werden. Dies geht nämlich tatsächlich „nur“ über eine Privacy Shield Mitgliedschaft oder über eine explizite Einwilligung von Nutzern, was hier theoretisch über Cookie Banner umgesetzt werden könnte.
Das Risiko ist hier natürlich überschaubar. Jemand muss sich bei der Landesdatenschutzbehörde beschweren, dass du WordFence einsetzt ohne seine explizite Zustimmung.
Dies natürlich alles meine Hinweise als „Laie“ final kann dir das der Anwalt sagen. Wir selbst haben leider schon auf viel hilfreiche Software aus dem Ausland verzichtet, da keine Privacy Shield Mitgliedschaft gegeben war.
Wie oben beschrieben, haben wir WordFence nicht im Einsatz.
Ich hoffe dies hilft etwas. Danke für deine Frage!
Beste Grüße
Johannes
Ich habe schon viele Sicherheitsplugins getestet und muss sagen dass NinjaFirewall das Beste ist.
Hallo Markus,
danke für die Empfehlung. Wird tatsächlich auch von ein paar Kunden von uns eingesetzt.
Beste Grüße
Johannes
Hallo Johannes, besten Dank für diesen ausführlichen Artikel.
Ich verzichte bis jetzt auch auf ein zusätzliches Sicherheitsplugin, und setzte auf einen spezialisierten Hoster (Raidboxes) und auf sichere Passwörter mit zwei Faktor Authentifizierung.
Freundliche Grüße
Hallo Claudio,
danke für deinen Input! Sinnvolles Vorgehen wie ich finde. Wir handhaben es genauso.
Beste Grüße
Johannes
Super ausführlicher Artikel! Vielen Dank! Das XML-RPC wurde gleich umgesetzt
Danke dir! Freut mich, dass du noch eine Anpassung für dich finden konntest.