Hallo Leute,

gestern habt ihr von uns eine Anleitung bekommen, wie ihr WordPress ganz einfach und unkompliziert auf eurem Server installieren könnt.
Das sollte also hiermit abgeschlossen sein. Doch einer der wichtigsten Aspekte auch bei uns im Unternehmen ist die Sicherheit.
Alles was im Netz verfügbar ist, kann gehackt werden und das möchten wir möglichst vermeiden. Darum haben wir unzählige verschiedene Plugins für WordPress getestet, die alle den selben Zweck hatten: WordPress hack-sicher zu machen.

Wir sind irgendwann bei einem bestimmten Plugin hängen geblieben, welches wir immer und wieder eingesetzt haben und damit auch schon einige Erfahrungen sammeln durften. Dieses Plugin möchten wir euch heute vorstellen, damit auch ihr davon profitieren könnt.

Das beste Security Plugin für WordPress

Die Rede ist von All In One WP Security & Firewall. Das Plugin bietet unzählige Einstellungsmöglichkeiten und erlaubt es euch auch etwas komplexere Absicherungen mit wenigen Klicks zu integrieren.
Angezeit bekommt ihr eure derzeite Sicherheitsstufe in einem kleinen Tacho auf dem Dashboard der Plugineinstellungen. Hierüber könnt ihr ungefähr abschätzen, wie gut ihr bereits abgesichert seit. Bei der Installation von dem Plugin ist die Sicherheitsstufe meist ziemlich niedrig.
Nachdem ihr eure Einstellungen vorgenommen habt, steigt der Tacho dann in den grünen Bereich.

 

Die Plugin-Einstellungen

Das Dashboard

Das Dashboard bietet einen groben Überblick über die wichtigsten Funktionen, wird von uns aber wenig bis garnicht benutzt. Man hat die Möglichkeit, seine drei wichtigsten Fenster in der obersten Zeile anzupinnen um sofort darauf zugreifen zu können.

Die Settings

In den Settings wird es Interessant. Hier haben wir schon einige Reiter die diesen Unterpunkt noch weiter unterteilen.

Bevor ihr in dem Plugin jedoch irgendwelche Einstellungen vornehmt, mach bitte ein Backup eurer Datenbank, der .htaccess und der wp-config.php.
Dies könnt ihr gleich hier erledigen:

Unter dem Reiter „WP Version Info“ könnt ihr auch gleich eure erste Sicherheitsmaßnahme treffen und mit einem Klick die WordPress Version aus dem Quellcode entfernen. Dies erschwert Hackern bekannte Sicherheitslücken auszunutzen.
Unter dem Reiter „Import/Export“ könnt ihr eure gesamten Einstellungen exportieren und in einer neuen WordPress Version wieder importieren. Das kann unter Umständen praktisch sein, wenn man mehrere ähnliche WordPress Installationen hat, die Einstellungen jedoch nur einmal vornehmen möchte.

User Accounts

Ich denke dieser Punkt ist ziemlich selbsterklärend. Hier könnt ihr bei Bedarf euren Username ändern (Ja, nicht nur euer Passwort sollte komplex sein) und eben auch das Passwort selbst.

Das ist eine ganz nette Funktion, da man dies sonst nicht so einfach bewerkstelligen könnte.

User Login

Die Login Lockdown Funktion bietet euch die Möglichkeit User die sich öfter als X mal mit den falschen Zugangsdaten anmelden möchten, für einen gewissen Zeitraum zu sperren. Wenn dies passiert (und das tut es durchaus häufig), dann könnt ihr euch auch per E-Mail benachrichtigen lassen.
Diese Funktion würde ich jedoch meiden, da sonst euer E-Mail Postfach ganz schnell mal etwas voll werden könnte.

Bei aktivierter Force Logout Funktion werden alle angemeldeten Benutzer nach einer gewissen Zeit automatisch abgemeldet. Dies kann besonders dann hilfreich sein, wenn man viel von unterschiedlichen Geräten an seiner Website arbeitet und hin und wieder vergisst sich abzumelden.

User Registration

Die User Registration ist ein weit unterschätztes Tool. Hat ein Hacker erstmal einen Benutzeraccount, fällt es ihm umso leichter Zugriff über das gesamte System zu erlangen. Mit der ersten Funktion könnt ihr neue Registrierungen ganz einfach manuell approven. Dies kann durchaus Zeitaufwändig sein und sollte nur dann eingesetzt werden, wenn es in Relation mit der Arbeit steht.

Registration Captcha und Registration Honeypot würde ich in jedem Fall aktivieren. Diese beiden Funktionen gehören einfach zur Standartausrüstung gegen SPAM Bots.

Database Security

Hier könnt ihr mit einem Klick euer Datenbank-Präfix ändern. Jeder von euch, der schon einmal eine MySQL Datenbank von WordPress gesehen hat, weiß vermutlich wovon ich spreche.
Für alle anderen kurz erklärt: Die Datenbank besteht aus einzelnen Tabellen. Diese haben in WordPress vordefinierte Namen und beinhalten all eure Inhalte (Bilder, Texte, Menüstrukturen, etc.). Vor jedem dieser Tabellennamen steht nun ein Präfix. Der WordPress Standard ist wp_.
Nun könnt ihr genau dieses Präfix abändern und gegen ein generisches tauschen. Desto generischer desto besser.

Filesystem Security

Unter dem Reiter „File Permissions“ würde ich den Tipps des Plugins folgen. Stehen alle Felder auf grün, dann ist keine weitere Handlung erforderlich. Wenn jedoch eine Zeile rot aufleuchtet, dann bedeutet das, dass die Dateiberechtigungen dieses Verzeichnisses zu wage gesteckt sind. Hier jetzt über die einzelnen Folderberechtigungen einzugehen, würde den Rahmen sprengen, jedoch sei gesagt, dass eine Datei beispielsweise vom einen gelesen und bearbeitet werden kann, währenddessen ein ander die Datei nur lesen darf.
Das ist mit Berechtigungen gemeint und sind diese zu weit gesteckt, dann können eventuell unerwünschte Personen eure Dateien abändern.

PHP File Editing und WP File Access kann auch bedenkenlos aktiviert werden und verhindert lediglich, dass bestimmte Dateien aus dem WordPress Backend nicht mehr bearbeitbar sind.

Blacklist Manager

Beim Blacklist Manager könnt ihr bestimmte IP Adressen vollständig blockieren. Diese haben danach keinen Zugriff mehr auf eure Seite.
In Zeiten in denen mit dynamischen IP Adressen gearbeitet wird, bleibt die Sinnhaftigkeit dieser Funktion in Frage gestellt. Ein Angreifer kann heute die IP Adresse X und morgen die IP Adresse Y besitzen.

Bemerkt man eine bestimmte Adresse jedoch immer und immer wieder in den Log Files, so kann diese jedoch hier ausgeschlossen werden.

Firewall

Ich denke auch dieser Punkt spricht für sich. Generell sei gesagt, dass man hier wissen sollte was man tut. Es gibt unzählige Einstellungen die alle eure WordPress Installation zerstören können (daher auch das Backup am Anfang).
Funktionen wie die Basic Firewall Protection und die 6G Blacklist/Firewall Settings könnt ihr jedoch ohne Bedenken aktivieren.

Brute Force

Hier wird es interessant. Gleich auf der ersten Seite könnt ihr eine alternative Anmelde-URL vergeben. WordPress wird ja immer häufiger eingesetzt und so kommt es, dass die Standard-URL (https://deinedomain.at/wp-admin) schon vielen Leuten bekannt ist.
Es kann also jeder auf euer Anmelde-Formular und sein Glück versuchen.

Bitte notiert euch eure neue Anmelde-URL irgendwo wo ihr sie nicht verlieren könnt. Habt ihr diese nämlich vergessen, wird es sehr schwer überhaupt wieder in euer Backend zu kommen.

Das Ganze kann man auch auf Cookie-Basis erstellen, bzw. auch hier hat man die Möglichkeit ein Captcha, bzw. einen Honeypot für seine LoginPage einzurichten.

SPAM Prevention

Habt ihr weder einen Blog, noch ein Kontakformular auf eurer Website, dann könnt ihr diesen Punkt überspringen. Alle anderen sollten sich den folgenden Absatz jedoch aufmerksam durchlesen.

Unter Comment SPAM setzt ihr am besten beide Häckchen. Habt ihr ein User Plugin wie BuddyPress oder BBPress installiert, so könnt ihr auch für diese weitere Einstellungen vornehmen.
Allgemein sei gesagt, dass diese Funktionen kein vollwertiges SPAM Plugin ersetzen können, jedoch bieten sie einen guten Mehrwert und für kleinere Blogs wird mehr garnicht nötig sein.

Scanner

Wer gerne auf Nummer Sicher gehen möchte, der kann auch diesen Scanner aktivieren. Einmal eingerichtet durchforstet er alle Dateien innerhalb der WordPress Installation und prüft diese mit der den Dateien des letzten Scans.
Sollte sich etwas verändert haben schreit er Alarm und schickt euch eine E-Mail mit genaueren Informationen.
Bitte beachtet, dass es manchmal durchaus natürlich ist, dass sich Dateien ändern. Dies kann beispielsweise bei Updates der Fall sein.

Maintenance

Ein weiteres sehr praktisches Feature ist der Maintenance Mode. Mit einem einfachen Klick kann man alle User „aussperren“ und gedankenlos an seiner WordPress Website arbeiten. Absolut nice to have.

 

Das All In One WP Security & Firewall Plugin überzeugt durch eine einfache Menüführung, unglaublich viele Einstellungsmöglichkeiten und echt guten Schutz eurer WordPress Seite. Für uns stellt es das GoTo-Security Plugin für alle WordPress Installationen dar.

Wir wünschen euch einen schönen 1. Adventsonntag.