Wenn du im Internet Geld verdienen und dabei eine eigene Website oder einen Blog betreiben möchtest, ist es wichtig, deine Systeme zu schützen. Sicherst du deinen Blog, deinen Webspace und deine Datenbanken nicht ab, läufst du Gefahr, einen kompletten Datenverlust zu erleiden, was deine Existenz bedrohen kann.
Sicherlich hast du logischerweise für deinen Webspace, deine MySQL-Datenbanken und für deinen Blog jeweils ein sicheres Passwort vergeben, doch das genügt nicht, wenn du Opfer eines Hackerangriffs oder ähnlichem wirst. Es kann alle treffen und betrifft längst nicht nur Behörden oder Großkonzerne. Denn die Initiatoren von Cyberattacken, Viren, Ransomware und so weiter verfolgen stets ganz unterschiedliche Ziele.
Eines der weltweit bekanntesten und am weitesten verbreiteten CMS für Blogs ist WordPress. Aus diesem Grund liste ich hier die besten Security-Tools beziehungsweise Sicherheits-Plug-ins für WordPress, die du kennen solltest. Du alleine kannst somit entscheiden, ob und falls ja, welches du für deine persönlichen Bedürfnisse nutzen möchtest. So kannst du deinen eigenen WordPress-Blog bestmöglich vor Attacken von außen schützen und absichern. Die meisten davon sind übrigens komplett kostenlos nutzbar.
Übrigens – Tipp: Bevor es losgeht… Wenn du wissen willst, wie du generell deine Daten zuverlässig schützen und sichern kannst, dann schau dir doch mal die besten meist kostenlosen Backup-Tools an. Sollte dein Blog also trotz aller Sicherheitsmaßnahmen doch einmal gehackt werden, kannst du alle Inhalte mit nur wenigen Klicks umgehend wieder herstellen.
Jetpack Protect
Jetpack Protect ist ein kostenloses Plug-in für WordPress, welches deinen Blog kontinuierlich und automatisch nach Sicherheitslücken oder Bedrohungen scannt. Im Zuge dessen prüft es auch, ob die aktuell installierte Version möglicherweise veraltet ist und daher ebenfalls Sicherheitsrisiken birgt. Zudem überprüft es stets die installierten Themes oder fremde Plug-ins, ob sich in diese Viren oder ähnliches eingeschlichen haben.
Wenn du auf deinem Blog viel mit Bildern und anderen Medieninhalten arbeitest, kann Jetpack Protect diese ebenfalls auf „Schädlinge“ hin untersuchen, schlägt im Ernstfall Alarm und gibt dann nützliche Tipps, wie du die Probleme beheben kannst. Möchtest du, dass das Tool mögliche Bedrohungen selbstständig entfernt, musst du allerdings auf die kostenpflichtige Version upgraden.
SecuPress
Das Sicherheits-Plug-in SecuPress für WordPress ist grundsätzlich kostenlos, bietet in der kostenpflichtigen Upgrade-Variante jedoch noch mehr umfangreiche Security-Tools. Das Tool unterstützt dich dabei, die Sicherheit deines Blogs zu erhöhen und blockiert im Zuge dessen mithilfe des sogenannten „Einbruchschutzes“ sofort jegliche Hacking-Versuche oder das Eindringen von Malware.
Besonders nützlich in Bezug auf deine Reputation ist der integrierte Schutz vor schlechtem SEO, Spam oder sonstigen schädlichen Inhalten. Hierzu wird dein Blog regelmäßig nach Sicherheitsbedrohungen durchsucht, während diese im Ernstfall automatisch und umgehend behoben werden. Damit du den Überblick über alle Aktivitäten behältst, versorgt dich SecuPress stets mit ausführlichen Sicherheitsberichten, die du dann selbst weiter analysieren kannst.
Activity Log
Bei dem WordPress-Plug-in Activity Log handelt es sich weniger um ein aktives Sicherheits-Plug-in, sondern vielmehr um eine Lösung, die deinen eigenen Blog überwacht. Es erkennt automatisch verdächtige Aktivitäten von außen (wie etwa Hackerangriffe), identifiziert mögliche Sicherheitslücken und protokolliert alles detailliert, damit du im Ernstfall eingreifen kannst.
Falls du auf deinem Blog andere (Gast-) Autorinnen oder Autoren zulässt, informiert dich das Plug-in jedes Mal darüber, sobald ein Artikel veröffentlicht wurde und wer es war. Darüber hinaus schlägt es sofort „Alarm“, wenn beispielsweise ein Theme oder Plug-in aktiviert beziehungsweise deaktiviert wurde. Je mehr Menschen an einem Blog beteiligt sind, desto unübersichtlich können die ganzen Aktivitäten werden. Dieses Tool hilft dir als Administratorin oder Administrator dabei, diese stets im Griff zu haben.
MalCare WordPress Security
WordPress Security von MalCare gibt es derzeit leider nur in englischer Sprache, ist jedoch hochaktuell und verfügt bisher immerhin über mehr als 400.000 Installationen. Das Security-Plug-in wurde speziell zum Aufspüren sogenannter Malware entwickelt und entfernt diese im Notfall mit nur einem Klick. Für noch mehr Sicherheit sorgt die integrierte Echtzeit-Firewall, die deinen Blog zusätzlich vor Angriffen von außen absichert.
Sollte es dennoch mal zu einem Hack deiner Website kommen, erhältst du von dem Tool umgehend eine Benachrichtigung darüber, um sofort entsprechende Gegenmaßnahmen einleiten zu können. Darüber hinaus überwacht MalCare WordPress Security auch deine installierten Themes und Plug-ins, um so sicherzustellen, dass sich dort keinerlei schädliche Inhalte eingenistet haben. Ist dem doch so, erhältst du auch hierüber sofort eine Nachricht.
Wordfence Security
Über vier Millionen Mal wurde das Security-Plug-in Wordfence Security installiert. Es gehört mit Abstand zu den populärsten WordPress-Plug-ins im Bereich Firewall und Sicherheitsscanner. Es sichert gezielt den Log-in deines Blogs ab und schützt so vor allem vor sogenannten Brute-Force-Attacken. Mit einer IP-Zugriffskontrolle, einer reCAPTCHA-Funktion sowie einer Zwei-Faktor-Authentifizierung stehen hierzu unter anderem verschiedene Mittel zur Verfügung.
Mittels der integrierten Firewall wird die Sicherheit deines WordPress-Blogs noch weiter erhöht, indem das Plug-in in Echtzeit auf neue Begebenheiten reagiert und entdeckte Sicherheitslücken in Dateien, anderen Plug-ins, Themes oder Add-ons umgehend schließt. Regelmäßige Malware-Scans, die auf Informationen aus einer großen Malware-Datenbank basieren, sind hier zudem selbstverständlich.
BulletProof Security
Zu den eher umfangreicheren Sicherheits-Plug-ins für WordPress gehört BulletProof Security. Es liefert sowohl einen aktiven Malware-Schutz als auch eine integrierte Firewall, um deinen Blog bestmöglich vor Angriffen von außen zu schützen. Auch die Anmeldung in deinem Blog wird durch eine ständige Überwachung abgesichert.
Ein besonderes Feature von BulletProof Security ist der eigene Anti-Spam-Schutz für Formulare und Kommentare. Somit kannst du beispielsweise auf ein zusätzliches Anti-Spam-Plug-in verzichten, was weniger aktive Plug-ins bedeutet und immer gut für die Performance deines Blogs ist. Darüber hinaus beinhaltet das Tool sogar noch eine eigene Backup-Funktion, mithilfe derer deine Datenbank automatisch und regelmäßig gesichert wird.
Zu guter Letzt werden alle Aktivitäten des Plug-ins detailliert protokolliert, während alles mittels eines umfangreichen Berichts für dich bereitgestellt wird. Des Weiteren arbeitet BulletProof Security vollständig DSGVO-konform und ist auch noch Open Source, also komplett kostenlos. Klingt nach einer echten All-in-one-Lösung, die gleich drei bis vier Plug-ins ersetzt.
Security & Malware Scan von CleanTalk
Von CleanTalk kommt das Sicherheits-Plug-in Security & Malware Scan, welches zwar nicht unbedingt zu den bekanntesten gehört, aber dennoch einiges zu bieten hat. Es liefert unter anderem eine eigene Firewall für deinen Blog, die du selbst nach deinen Bedürfnissen konfigurieren kannst. So hast du beispielsweise die Möglichkeit, den Zugriff auf deine Website nach IP, Land oder Netzwerk zu begrenzen, was vor allem dabei hilft, Angriffe von außen abzuwehren.
Bei Bedarf führt das Tool automatisierte tägliche Scans durch, um so potenzielle Malware und Viren ausfindig zu machen. Auch sogenannte Brute-Force-Attacken werden beim Erkennen umgehend gestoppt, während der Log-in in deinen Blog ebenfalls aktiv begrenzt sowie limitiert werden kann. Wenn du möchtest, kannst du dir täglich einen Sicherheitsbericht in dein E-Mail-Postfach schicken lassen, um jederzeit auf dem Laufenden zu sein,
Security Ninja
Ein sehr interessantes Plug-in für die Sicherheit deines WordPress-Blogs ist Security Ninja, das es bereits seit mehr als zehn Jahren gibt und immer noch regelmäßig aktualisiert wird. Es unterzieht deinen Blog auf Wunsch über 50 speziellen Sicherheitstests und warnt dich im Falle einer erkannten Sicherheitslücke. Um deinen Blog vor Bedrohungen wie Hackerangriffen oder Brute-Force-Attacken zu schützen, liefert Security Ninja eine Cloud-basierte Firewall, die sagenhafte 600 Millionen bekannte bösartige IP-Adressen blockieren kann.
Falls du mehrere Blogs betreibst, auf denen du das Tool im Einsatz hast, hilft dir das Zusatz-Plug-in MainWP-Dashboard, mithilfe dessen du von einem Ort aus alle Aktivitäten deiner Blogs steuern und überwachen kannst. Ein nettes Feature nebenbei ist die Möglichkeit, deine Datenbank sowie die generelle Performance deines Blogs zu optimieren.
Patchstack
Zu Patchstack gibt es ehrlicherweise nicht viel zu schreiben. Dabei handelt es sich um ein simples, schlank gehaltenes Sicherheits-Plug-in für WordPress, das einfach das macht, was es soll: Die Sicherheit deines Blogs erhöhen. Im Zuge dessen überwacht es alle installierten Plug-ins, Dateien, Designs sowie Themes und informiert dich in Echtzeit über potenzielle Sicherheitslücken sowie Bedrohungen.
Über das übersichtliche Dashboard hast du alle Aktivitäten stets auf dem Schirm, während du (ähnlich wie bei Security Ninja) bis zu 99 Websites beziehungsweise Blogs an einem einzigen Ort zentral verwalten kannst. Patchstack ist eine sogenannte Open-Source-Lösung und damit komplett kostenlos nutzbar. Auch der Code kann bei Bedarf jederzeit eingesehen werden.
Google Authenticator von miniOrange
Ein nicht ganz so umfangreiches, aber dennoch extrem wirkungsvolles Plug-in in Sachen WordPress-Sicherheit ist Google Authenticator von miniOrange. Dieses fokussiert sich in erster Linie auf die Sicherheit des Log-ins in WordPress und schützt diesen im Zuge dessen durch eine sogenannte Multi-Faktor-Authentifizierung (MFA). Hierzu stehen dir beim Log-in in deinen Blog unter anderem mehrere Sicherheitsmechanismen zur Verfügung. Darunter etwa die Anmeldung durch Spracherkennung, einen QR-Code oder mittels mehrerer Sicherheitsfragen. Auch eine Bestätigung durch eine Telefonnummer ist möglich.
Natürlich kannst du auch alle Maßnahmen miteinander kombinieren, um einen maximal möglichen Schutz zu gewährleisten. Ist in diesem Fall während der Anmeldung nur eine einzige Methode falsch, verweigert Google Authenticator den Log-in und sperrt diesen umgehend für eine zuvor festgelegte Zeitspanne. Sperrst du dich so einmal selbst aus, helfen nur noch spezielle Wiederherstellungscodes, um wieder Zugriff auf deinen Blog zu bekommen.
iThemes Security
Kostenlos nutzbar, aber mit erweiterten Features in der kostenpflichtigen Version, kommt das Plug-in iThemes Security daher. Dabei verfolgt es im Vergleich zu anderen Sicherheits-Plug-ins einen ungewöhnlichen Weg und liefert gleich fertige Designs, die als vorgefertigte Sicherheits-Themes dienen. Damit kannst du die Sicherheit deines Blogs dann ganz individuell gestalten, je nach Kategorie deiner Website. Hier stehen dir unter anderem die Kategorien E-Commerce, Non-Profit oder eben einfach Blog zur Verfügung.
Letztlich überwacht iThemes Security in Echtzeit deinen Blog, schützt den Log-in durch eine Zwei-Faktor-Authentifizierung und ermöglicht es dir darüber hinaus, selbst noch zusätzliche Anforderungen an die Passwörter festzulegen. Neben automatisierten Malware-Scans erkennt das Plug-in zudem sofort, sobald irgendetwas an Dateien, Plug-ins oder Themen verändert wird und benachrichtigt dich darüber.
Sucuri Scanner
Sucuri Scanner ist eine Cloud-basierte Lösung zum Schutz deines eigenen WordPress-Blogs. Das Plug-in hilft dir aktiv dabei, die Sicherheit deines Blogs zu erhöhen, indem es diesen unter anderem mithilfe des integrierten Malware-Scanners regelmäßig sowie automatisiert nach Bedrohungen durchsucht. Während dessen erkennt es mögliche Sicherheitslücken, die letztlich schnell geschlossen werden können.
Darüber hinaus liefert dir Sucuri Scanner eine ebenfalls Cloud-basierte Firewall, die Angriffe und Hackversuche beim Erkennen sofort blockiert. Dazu gehören auch sogenannte Brute-Force-Attacken, mithilfe derer unter anderem Passwörter ausgelesen werden sollen. Wichtig ist in diesem Fall zu erwähnen, dass die Firewall sogar lernfähig ist und somit bei künftigen Attacken noch schneller reagieren kann.
Defender
Auch Defender ist ein Plug-in mit Malware-Scanner, integrierter Firewall und speziellem Log-in-Schutz. Es hilft dir unter anderem dabei, deinen Blog hinsichtlich Brute-Force-Attacken und sogenannter SQL-Injektionen abzusichern. Letzteres sind Versuche, die Datenbanken deines Blogs gezielt mit schädlichem Inhalt zu „füttern“, um Fehlfunktionen oder gezieltes schädliches Verhalten des Systems zu fokussieren.
Regelmäßig durchsucht Defender deinen Blog nach Viren, Malware oder Ransomware und macht dies unter einer sogenannten Open-Source-Lizenz. Das bedeutet unter anderem, dass du das Plug-in absolut kostenlos nutzen darfst.
WP Hide & Secure Enhancer
Bei WP Hide & Secure Enhancer handelt es sich im Vergleich zu anderen Security-Plug-ins um ein sehr außergewöhnliches Tool. Neben obligatorischen Sicherheitsmechanismen, die du auch von anderen Plug-ins kennst, kommt dieses nämlich mit einem besonderen Feature daher: Es ermöglicht es, alle sicherheitsrelevanten Inhalte wie beispielsweise Kerndateien, Plug-in-Pfade, Verzeichnisse von Themes oder die Anmeldeseite selbst vor normalen Nutzerinnen und Nutzern zu verstecken.
Dabei führt WP Hide & Secure Enhancer keinerlei Änderungen an den jeweiligen Dateien durch und schränkt die Funktion anderer Plug-ins in keinster Weise ein. Auch Verzeichnisse werden zu keinem Zeitpunkt verändert, weil alle Sicherheitsmaßnahmen ausschließlich virtuell umgesetzt werden. Das kostenlose Open-Source-basierte Tool sorgt sogar dafür, dass letztlich niemand mehr erkennen kann, welches CMS (in diesem Fall WordPress) tatsächlich zum Einsatz kommt.