Die 8 besten WordPress-Sicherheits-Plugins zum Sperren Ihrer Site

WordPress betreibt über 35% aller Websites im Internet, was es zu einem interessanten Ziel für böswillige Akteure auf der ganzen Welt macht.

Wenn Sie Ihre Website oder die Websites Ihrer Kunden schützen möchten, kann ein dediziertes Sicherheits-Plugin eine Menge Arbeit für Sie erledigen.

Um Ihnen bei der Auswahl des besten WordPress-Sicherheits-Plugins für Ihre Bedürfnisse zu helfen, haben wir acht großartige Optionen zusammengestellt, die bei der Sicherheitshärtung, Firewalls und Malware-Scans helfen können.

Lassen Sie uns einsteigen und beginnen mit einem kurzen Überblick darüber, was die meisten WordPress-Sicherheits-Plugins tatsächlich tun.

WordPress-Sicherheit ist ein ziemlich breites Thema. Wenn ich also „WordPress-Sicherheits-Plugin“ sage, kann das eine Reihe verschiedener Funktionen umfassen.

Bevor ich also zu den Plugins komme, lassen Sie uns die verschiedenen High-Level-Funktionen durchgehen, damit Sie wissen, was jedes dieser Tools tut.

Die grundlegende Sicherheitshärtung ist eine Art Sammelbegriff für „Konfigurationsänderungen oder Tools, die Ihre WordPress-Website sicherer machen“.

Sicherheits-Plugins helfen Ihnen beispielsweise normalerweise dabei, Ihre Anmeldeseite mit Funktionen wie den folgenden zu schützen:

• Einschränken von Anmeldeversuchen
• Zwei-Faktor-Authentifizierung
• Ändern der WordPress-Anmelde-URL
• Erzwingen starker Passwörter
• Ablauf des Passworts festlegen
• Hinzufügen eines CAPTCHA

Das sind alles härtere Taktiken.

Andere beliebte Härtungsstrategien umfassen die Überwachung der WordPress-Kerndateien, um festzustellen, ob etwas geändert wurde, das Deaktivieren von WordPress-Funktionen wie XML-RPC, das Stoppen der Benutzeraufzählung usw.

Eine weitere Taktik, die häufig erwähnt wird, ist eine Firewall.

Im Wesentlichen ist eine Website-Firewall etwas, das sich zwischen Ihrer WordPress-Site und ihren Besuchern befindet. Regelmäßige Besucher haben kein Problem damit, Ihre Website zu nutzen, aber wenn die Firewall bösartige Aktivitäten erkennt (über IP-Adresse, Aktionen usw.), wird sie diesen Besucher blockieren, bevor sie ein Problem verursachen kann.

Bei WordPress wird dies als Web Application Firewall oder WAF bezeichnet.

Es ist wichtig zu beachten, dass nicht alle Firewalls gleich sind. Das heißt, nur weil zwei Plugins beide eine „Firewall“ bieten, heißt das nicht, dass diese Tools automatisch gleich sind, denn eine Firewall ist nur so gut wie die Regeln, denen sie folgt.

Einige WordPress-Sicherheits-Plugins wie Wordfence aktualisieren ihre Firewall-Regeln ständig in Echtzeit, um sich an aufkommende Sicherheitsbedrohungen anzupassen. Andere sind im Grunde ein statisches Regelwerk, das sich nie ändert. Beides kann nützlich sein – nur eines schützt Sie effektiver vor neuen Arten von Schwachstellen.

Ein weiterer beliebter Teil von WordPress-Sicherheits-Plugins ist das Scannen von Malware. Sie kennen dieses Konzept wahrscheinlich von der Ausführung von Scans auf Ihrem eigenen Computer.

Grundsätzlich scannt das Tool Ihre Website auf bösartigen Code und gibt einen Bericht über alles zurück, was es findet.

Auch hier hängt die Effektivität des Malware-Scans von seinen Regeln und seinem Ansatz ab. Das heißt, nur weil zwei Plugins beide „Malware-Scans“ durchführen, sind sie nicht gleich.

Erstens gibt es wie bei Firewalls Unterschiede in den Erkennungsregeln. Ein Malware-Scanner stützt sich auf „Malware-Signaturen“, um Malware zu identifizieren. Wenn Ihr Malware-Scanner also keine Signatur für eine aufkommende Bedrohung hat, kann er diese möglicherweise nicht erkennen.

Zweitens haben Sie den Ansatz. Einige Plugins/Tools, wie das beliebte Sucuri SiteCheck-Tool, scannen nur das Frontend Ihrer Site. Dadurch kann Malware abgefangen werden, die vom Front-End Ihrer Website aus erkannt werden kann, aber keine Malware, die auf Ihrem Server lauert.

Um Malware zu erkennen, die sich nicht im Front-End Ihrer Website manifestiert, müssen Sie einen Malware-Scanner verwenden, der alle Dateien auf Ihrem Server scannt.

Nachdem diese Einführung erledigt ist, helfen wir Ihnen, das beste WordPress-Sicherheits-Plugin für Ihre Bedürfnisse auszuwählen.

Hier sind die acht Plugins, die wir uns ansehen werden:

1. Sucuri
2. iThemes-Sicherheit
3. All In One WP-Sicherheit & Firewall
4. Kugelsichere Sicherheit
5. Jetpack
6. SecuPress
7. Cerber-Sicherheit
8. Wortzaun

Sucuri ist ein weiteres beliebtes Website-Sicherheitstool. Sucuri besteht aus zwei Teilen:

1. Ein kostenloses Plugin bei WordPress.org
2. Ein kostenpflichtiger Firewall-, Überwachungs- und Hack-Bereinigungsdienst

Das kostenlose Plugin bei WordPress.org hilft dir hauptsächlich bei der grundlegenden Sicherheitshärtung.

Es gibt Ihnen verschiedene Regeln und Tipps, die Sie anwenden können, z. B. das Deaktivieren des In-Dashboard-Plugins und der Themenbearbeitung und das Blockieren der PHP-Ausführung in bestimmten sensiblen Verzeichnissen.

Zu den weiteren Sicherheitsfunktionen gehören die folgenden Funktionen:

• Überwachen Sie die Dateiintegrität für Kerndateien
• Verfolgen Sie fehlgeschlagene Anmeldeversuche
• Erhalten Sie Sicherheitswarnungen für verschiedene Aktionen
• Listen Sie Skripte und Iframes auf Ihrer Website auf.

Darüber hinaus enthält das Plugin auch den Sucuri SiteCheck-Dienst zum Malware-Scannen. Es ist jedoch wichtig zu verstehen, dass dieser Dienst nur das Front-End Ihrer Site auf Probleme durchsucht – er scannt die Dateien auf Ihrem Server nicht wie andere Malware-Scans. Sie benötigen das Plugin auch nicht, um dieses Tool zu verwenden – Sie können es von der Sucuri-Website ausführen.

Für mehr Sicherheit kann das Plugin Ihnen helfen, sich mit dem kostenpflichtigen Sucuri-Firewall-Dienst zu verbinden. Diese Firewall ist eine Cloud-basierte WAF mit regelmäßig aktualisierten Regeln des Sucuri-Teams. Die Firewall ermöglicht Ihnen außerdem:

• Bestimmte IP-Adressen auf die Whitelist oder Blacklist setzen
• Ganze Länder blockieren
• Sichere sensible Bereiche (wie dein WordPress-Dashboard/Login) mit CAPTCHAs, Zwei-Faktor-Authentifizierung oder zusätzlichen Passwörtern.

Der kostenpflichtige Sucuri-Dienst kann auch dazu beitragen, Ihre Website vor DDoS-Angriffen zu schützen.

Preis: Das Sucuri-Plugin ist 100% kostenlos. Die Sucuri-Firewall kostet 19,98 US-Dollar pro Monat und die gesamte Sucuri-Plattform (einschließlich Malware-Erkennung und -Bereinigung) kostet 299,99 US-Dollar pro Jahr.

iThemes Security ist ein Freemium-Sicherheits-Plugin von … iThemes – daher der Name. Wenn Sie nicht vertraut sind, iThemes ist ein beliebter Entwickler einer Reihe von Plugins, einschließlich BackupBuddy. iThemes wurde 2018 von Liquid Web übernommen.

iThemes Security konzentriert sich auf die Härtung der WordPress-Sicherheit. Sie können sich damit mit dem Sucuri SiteCheck-Dienst für die Front-End-Malware-Erkennung verbinden – aber Sie könnten diese Funktion einfach von der Sucuri-Website ausführen, also ist es nicht wirklich ein integrierter Malware-Scan.

Es wirbt keine Firewall, aber es enthält Funktionen, mit denen Sie einige Bots und IP-Adressen blockieren können. Es gibt auch eine „Netzwerk-Brute-Force-Schutz“-Funktion, die automatisch IP-Adressen blockieren kann, die versucht haben, andere WordPress-Sites mit Brute-Force zu betreiben.

Was die Sicherheitshärtung angeht, kann iThemes Security Ihnen helfen, Ihren Anmeldeprozess mit Funktionen wie:

• Anmeldeversuche begrenzen
• Ändern Sie die WordPress-Anmelde-URL
• Google reCAPTCHA (kostenpflichtig)
• Zwei-Faktor-Authentifizierung (kostenpflichtig)
• Starke Passwortdurchsetzung
• Ablauf des Passworts (kostenpflichtig)

Es bietet auch einen „Abwesend“-Modus, mit dem Sie Ihre Site grundsätzlich sperren können, wenn Sie nicht darauf zugreifen.

Weitere Sicherheitshärtungsfunktionen sind:

• Erkennung von Dateiänderungen
• Datenbankpräfix ändern
• Deaktivieren Sie die Dateibearbeitung im Dashboard
• Protokollierung von Benutzeraktionen ( kostenpflichtig )
• wp-content-Pfad ändern

Wenn Sie mehrere WordPress-Sites verwalten müssen, verfügt es auch über eine Integration mit iThemes Sync.

Preis: Kostenlose Version auf WordPress.org. Die kostenpflichtige Version beginnt bei 80 US-Dollar.

All In One WP Security & Firewall ist ein beliebtes WordPress-Sicherheits-Plugin, das zu 100% kostenlos ist.

Es hilft Ihnen bei der Implementierung einer Vielzahl verschiedener Sicherheitsfunktionen wie:

• Ändern Sie das WordPress-Datenbankpräfix
• Dateiberechtigungen überwachen
• Dateibearbeitung im Dashboard deaktivieren
• Überwachung der Dateiintegrität
• WordPress-Versionsnummer ausblenden

Es enthält auch Funktionen zur Sicherung Ihres Anmeldevorgangs wie:

• Anmeldeversuche begrenzen
• Abmelden von Benutzern nach einer bestimmten Zeit erzwingen
• Fügen Sie reCAPTCHA für den Login-Schutz hinzu
• Bestimmte IP-Adressen auf die Whitelist setzen
• Benutzeraufzählung stoppen

Es gibt Ihnen auch einen „Sicherheitsstärkemesser“, der Ihnen hilft, die Sicherheit Ihrer Site zu verbessern.

All In One WP Security & Firewall enthält eine sogenannte Firewall, ist jedoch nicht ganz so robust wie Wordfence oder Sucuri. Es ist eher ein statisches Regelwerk – es passt sich nicht wie diese anderen Plugins an neue Bedrohungen an.

Preis: 100% kostenlos bei WordPress.org.

BulletProof Security ist eine weitere Option, die einen All-in-One-Ansatz für die WordPress-Sicherheit bietet mit:

• Härten
• Firewall
• Malware-Scans

Die kostenlose Version bietet grundlegende Härtung wie:

• Login-Sicherheit
• Datenbanktabellenpräfix ändern
• Sicherheitsprotokollierung
• Datenbanksicherung

In der kostenlosen Version ist auch Malware-Scanning enthalten, während die kostenpflichtige Version Echtzeitschutz mit dem AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) von BulletProof Security bietet.

Die kostenpflichtige Version fügt auch andere Funktionen hinzu, wie zum Beispiel:

• Datenbanküberwachung und Differenzialprüfung
• Upload-Schutz
• Plugin-Firewall

Die Benutzeroberfläche sieht ziemlich veraltet aus und ist nicht so angenehm wie bei anderen Tools, aber BulletProof Security ist in Bezug auf seine Wirksamkeit hoch angesehen.

Preis: Kostenlose Version auf WordPress.org. Die kostenpflichtige Version beginnt bei 69,95 US-Dollar.

Jetpack ist ein beliebtes All-in-One-Plugin von Automattic, den gleichen Leuten hinter WordPress.com und WooCommerce.

Im Gegensatz zu allen anderen Plugins auf dieser Liste konzentriert sich Jetpack nicht nur auf die WordPress-Sicherheit, sondern enthält viele Sicherheitsfunktionen in seinen kostenlosen und kostenpflichtigen Plänen.

Die kostenlose Version hilft, Ihr WordPress-Login mit Brute-Force-Schutz und der Option zur sicheren Anmeldung bei WordPress.com zu sichern. Das heißt, Sie können sich mit Ihren WordPress.com-Anmeldeinformationen bei Ihrer eigenen WordPress-Site anmelden.

Mit den kostenpflichtigen Plänen erhalten Sie auch Zugriff auf Backups und Malware-Scans (diese Funktionen wurden früher als VaultPress bezeichnet. Jetzt ist VaultPress mit Jetpack fusioniert).

Die Backup- und Scanfunktionen sind miteinander verbunden, was sie einzigartig macht. Bei den meisten Malware-Scan-Tools scannt das Tool die Dateien auf Ihrem tatsächlichen WordPress-Server. Dies ist gut zum Abfangen von Malware, verbraucht aber auch Ressourcen auf dem Server Ihrer Live-Website.

Mit Jetpack sichert Jetpack Ihre Site zunächst an einem externen Standort. Anschließend durchsucht es die Sicherungskopie Ihrer Website auf Malware, was bedeutet, dass die Leistung Ihrer Live-Website nicht beeinträchtigt wird.

Im Rahmen seiner Scans sucht Jetpack nach:

• Änderungen an den Kern-WordPress-Dateien
• Webbasierte Shells
• TimThumb-Schwachstellen

Wenn Jetpack etwas Schädliches findet, kann es Ihnen helfen, das Problem zu beheben.

Preis: Einige Funktionen sind in der kostenlosen Version verfügbar. Malware-Scans sind ab dem Premium- Plan verfügbar, der bei 9 US-Dollar pro Monat beginnt. Dadurch erhalten Sie auch Zugriff auf viele andere Jetpack-Funktionen.

SecuPress ist ein weiteres bekanntes WordPress-Sicherheits-Plugin, das sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version erhältlich ist.

SecuPress wurde ursprünglich von WP Media ins Leben gerufen, dem gleichen Unternehmen, das hinter dem beliebten WP Rocket-Plugin steht. Später übergab WP Media jedoch das Eigentum an den aktuellen Eigentümer (der einer der Mitbegründer von WP Media war). Im Grunde ist das ein langer Weg zu sagen, dass Sie einige Design-Ähnlichkeiten zu WP Rocket sehen werden, aber die beiden sind nicht mehr dieselbe Einheit.

Mit der kostenlosen Version können Sie:

• Blockieren Sie IP-Adressen und schlechte Bots
• Schützen Sie Ihr Login vor Brute-Force-Angriffen
• Verstecke die Login-Seite
• Verstecke deine WordPress- und WooCommerce-Versionen
• XML-RPC und REST API verwalten
• Protokollieren Sie wichtige Benutzeraktionen

In der kostenlosen Version erhalten Sie auch eine Firewall.

Die Premium-Version bietet zusätzliche Funktionen wie:

• Zwei-Faktor-Authentifizierung zur Sicherung Ihres Logins
• Antispam-Funktionen
• Backup für Datenbank und Dateien
• Erkennung von Themes oder Plugins mit bekannten Sicherheitslücken
• PHP-Malware-Scan
• Ländersperrung (Geolocation)
• Aufgabenplanung

Ein herausragendes Merkmal von SecuPress ist die Benutzeroberfläche. Es hat die angenehmste Benutzeroberfläche aller Tools auf dieser Liste, was besonders schön ist, wenn Ihre Kunden es jemals sehen werden. Auch hier kann man definitiv den Einfluss von WP Rocket in der Benutzeroberfläche sehen.

Preis: Kostenlose Version auf WordPress.org. Die kostenpflichtige Version beginnt bei 65 US-Dollar.

Cerber Security ist ein weiteres beliebtes All-in-One-WordPress-Sicherheits-Plugin, das Folgendes enthält:

• Sicherheitshärtung
• Firewall
• Malware-Scans

Zunächst einmal ist es vollgepackt mit Sicherheitshärtungsregeln wie:

• Ändern der WordPress-Anmeldeseite
• Deaktivieren von PHP im Upload-Ordner
• Stoppen der Benutzeraufzählung
• Einschränken von Anmeldeversuchen
• Überwachung der Dateiintegrität
• Zwei-Faktor-Authentifizierung

Sie können auch Regeln einrichten, z. B. automatisch jede IP-Adresse blockieren, die versucht, sich mit einem nicht vorhandenen Benutzernamen anzumelden. Sie können auch benutzerdefinierte rollenbasierte Richtlinien erstellen, z. B. zwei Faktoren für Administratorbenutzer erfordern und sie nach einer bestimmten Zeit automatisch abmelden.

Als Teil der Firewall erhalten Sie einen Echtzeit-Verkehrsinspektor, mit dem Sie alles sehen können, was auf Ihrer Website passiert, einschließlich der Überwachung von angemeldeten Sitzungen und Besuchern. Sie erhalten auch Geoblocking-Regeln.

Schließlich erhalten Sie Malware-Scans, einschließlich der Möglichkeit, Scans so zu planen, dass sie automatisch ausgeführt werden.

Wenn Sie mehrere Sites verwalten müssen, enthält es auch eine Cerber.Hub- Funktion, mit der Sie mehrere Sites von einem Dashboard aus verwalten können. Dieses Dashboard wird im Gegensatz zu Wordfence selbst gehostet. Sie bestimmen eine WordPress-Site als „Master“ und dann als „Slave“ andere Installationen auf diesem Master-Dashboard.

Preis: Kostenlose Version auf WordPress.org. Die kostenpflichtige Version beginnt bei 99 US-Dollar.

Erstens enthält WordPress jede Menge Tools, die bei der grundlegenden WordPress-Sicherheitshärtung helfen, wie zum Beispiel:

• Deaktivieren der Codeausführung im Upload-Verzeichnis
• Verstecke deine WordPress-Version
• Stoppen der Benutzeraufzählung

Sie erhalten auch einen eigenen Login - Registerkarte Sicherheit , von dem Sie Login Sicherheitsmaßnahmen wie steuern:

• Zwei-Faktor-Authentifizierung verwenden (für alle Benutzer oder nur bestimmte Benutzerrollen)
• Deaktivieren der XML-RPC-Authentifizierung
• Hinzufügen von reCAPTCHA auf der Anmeldeseite
• Begrenzung fehlgeschlagener Anmeldeversuche (dies ist Teil der Firewall)
• Erzwingen starker Passwörter

Wordfence enthält auch eine eigene WAF . Das Wordfence-Team fügt ständig neue Regeln in Echtzeit hinzu, um sich an aufkommende Bedrohungen anzupassen. Sie können auch die Funktionsweise der Firewall konfigurieren, z. B. bestimmte IP-Adressen und Dienste auf die Whitelist setzen.

Sie können auch sofort IP-Adressen blockieren, die versuchen, auf bestimmte sensible URLs zuzugreifen. Und mit der Premium-Version können Sie ganze Länder mit Geotargeting blockieren.

Schließlich erhalten Sie auch detaillierte Malware-Scans. Diese Scans können alle Dateien auf Ihrem Server scannen und nach anderen Sicherheitsproblemen suchen, wie zum Beispiel:

• Schädliche Links in Kommentaren
• Neu erstellte Admin-Benutzer
• Veraltete Themes oder Plugins
• Schwache Passwörter

Es handelt sich also um eine Art „allgemeiner WordPress-Sicherheitsschwachstellen-Scan“, der auch Malware-Scans umfasst.

Sie erhalten auch Regeln, um zu konfigurieren, wie oft und wie tief gescannt werden soll, wodurch Sie die Serverressourcen steuern können, die Ihre Scans verbrauchen.

Wenn Sie viele WordPress-Sites ( wie Client-Sites ) verwalten, enthält Wordfence auch ein Wordfence Central-Tool, mit dem Sie die Sicherheit für alle Ihre Sites von einem zentralen Ort aus verwalten können. Sie können auch Wordfence-Einstellungsvorlagen erstellen, die Sie schnell auf neue Websites anwenden und Benachrichtigungen erhalten können, wenn auf einer Ihrer Websites etwas passiert.

Das Kern-Wordfence-Plugin und die meisten Funktionen sind kostenlos. Es gibt jedoch einen bemerkenswerten Unterschied, wenn es um die Regeln geht, die Wordfence für seine Firewall- und Malware-Scans verwendet.

Mit der Premium-Version erhalten Sie Echtzeit-Updates zu diesen Regeln. Sobald Wordfence eine Bedrohung erkennt ( wobei es ziemlich proaktiv ist ), fügt Wordfence diese Regeln sofort zu Ihrer Site hinzu.

Bei der kostenlosen Version werden diese Regelaktualisierungen jedoch um 30 Tage verzögert.

Preis: Wordfence ist kostenlos auf WordPress.org erhältlich. Die kostenpflichtige Version beginnt bei 99 US-Dollar für die Nutzung auf einer einzigen Website, mit Mengenrabatten für eine größere Anzahl von Websites.

Nein! Bei weitem nicht.

Während all diese Sicherheits-Plugins sicherlich dazu beitragen, Ihre Website zu schützen, ist die Sicherheit von WordPress nicht so einfach wie die Installation eines Plugins und das Einrichten eines Tages.

Das bedeutet nicht, dass Sicherheits-Plugins nicht nützlich sind – es bedeutet nur, dass selbst ein Sicherheits-Plugin Sie nicht retten kann, wenn Sie die kleinen Dinge nicht richtig machen.

Eines der absolut wichtigsten Dinge, die Sie tun können, ist die zeitnahe Aktualisierung der WordPress-Kernsoftware , Ihrer Plugins und Ihres Themes – insbesondere bei kleineren Sicherheitsversionen (zB WordPress 5.4.X ).

Laut Sucuris Hacked Website Report 2019 lief auf etwa der Hälfte aller WordPress-Sites eine veraltete Version der Kernsoftware, als ihre Site infiziert wurde. Darüber hinaus führten 44 % der gehackten Websites ein veraltetes Plugin aus.

Lange Rede, kurzer Sinn, die folgenden Aktionen sind genauso wichtig, wenn nicht sogar wichtiger, als die Verwendung eines WordPress-Sicherheits-Plugins:

• Aktualisieren Sie Ihre Website und ihre Erweiterungen umgehend für Sicherheitsupdates.
• Seien Sie vorsichtig mit den von Ihnen gewählten Erweiterungen (und installieren Sie niemals nulled Plugins aus fragwürdigen Quellen).
• Verwendung starker Passwörter, insbesondere bei Administratorkonten.

Weitere Tipps finden Sie in unserer vollständigen Anleitung zum Sichern Ihrer WordPress-Site .

Und wenn Sie sich nicht sicher sind, welches Plugin Sie auswählen sollen, werden Sie mit Wordfence als erste Option sicherlich nichts falsch machen .