WordPress Sicherheit Security Plugins

WordPress-Sicherheit: Wie sinnvoll sind Security-Plugins wirklich?

Mittlerweile laufen über 32 Prozent aller Webseiten auf WordPress. Damit ist unser Lieblings-CMS ein beliebtes Hacker- und Malware-Ziel. Doch kein Grund zur Panik! Denn WordPress-Sicherheit ist kein Hexenwerk. Neben praktischen Sicherheits-Tipps haben wir heute die drei besten WordPress-Security-Plugins im Gepäck und zeigen dir, wann du sie wirklich brauchst.

Brauche ich denn überhaupt noch ein Security-Plugin? Diese Frage bekommen wir regelmäßig im Support gestellt. Im folgenden Artikel möchte ich dir zeigen, welchen Mehrwert ein Security-Plugin für die Sicherheit deiner WordPress-Seite hat und wann es wirklich sinnvoll ist, eines einzusetzen.

Im zweiten Teil vergleichen wir die drei besten WordPress-Sicherheits-Plugins, um dir einen schnellen Überblick zu verschaffen. So kannst du zielgerichtet und schnell eine Entscheidung treffen und dich danach wieder dem Wesentlichen widmen: deinem Business.

Kennst du schon die aktuellen WordPress-News?

Erhalte alle zwei Wochen unsere neusten Blog-Artikel und Neuigkeiten rund um WordPress!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Warum WordPress-Sicherheit so entscheidend ist

Grundsätzlich gibt es vor allem drei wesentliche Aspekte, warum du dich aktiv mit der Sicherheit deiner WordPress-Seite auseinandersetzen und nicht den Kopf in den Sand stecken solltest.

Punkt 1: Deine WordPress-Seite kann unbenutzbar werden

Vor einigen Jahren waren wir noch im Agenturgeschäft tätig. Da kam es durchaus vor, dass wir ein komplettes Redesign einer Seite in Angriff nehmen durften, da die Ursprungsseite durch Sicherheitsprobleme, die man hätte vermeiden können, unbrauchbar geworden ist.

Nun hat jemand, der Malware auf Seiten installiert, in der Regel kein Interesse daran, diese zu zerstören. Schließlich möchte der Angreifer damit beispielsweise Spam versenden, Besucher auf Spam-Seiten leiten, Anzeigen einbinden oder Kryptowährung generieren. Neben der generellen Einschränkung der Funktionalität deiner Seite kann Malware so auch zu erheblichen Performance-Problemen führen.

Punkt 2: Blacklisting und Absturz in Google Rankings

Ein noch viel gravierender Punkt in der heutigen Zeit ist das Blacklisting der Domain, insbesondere durch Google oder Norton. Wenn Google deine Website auf seine Blacklist setzt, heißt dies im schlimmsten Fall, dass deine Webseite aus den Google Suchergebnissen fliegt.

Es ist zwar möglich, nach einem Malware-Befall einen Scan der Seite erneut einzureichen. Allerdings garantiert dies nicht, dass du auch deine früheren Rankings zurückbekommst. Gerade bei wichtigen Money Keywords oder hohem organischen Traffic kann dies schwerwiegende wirtschaftliche Folgen nach sich ziehen.

Punkt 3: Verlust von Daten

Gerade in Zeiten der DSGVO, wo das Thema Datenschutz eine neue Dimension erreicht hat, gilt es, die Daten deiner Nutzer zu schützen. Während dies bei einer normalen Unternehmensseite eine eher untergeordnete Rolle spielt, ist es bei einer Shop-Seite umso dramatischer, wenn Zahlungsinformationen nicht ausreichend geschützt sind.

Typische Gefahren für die Sicherheit deiner WP-Seite

Brute-Force-Attacken auf den Login-Bereich

Bei einer Brute-Force-Attacke wird automatisiert eine hohe Anzahl von Passwort-Kombinationen ausprobiert um sich über den /wp-admin-Login von WordPress Zugang zur Seite zu verschaffen. Ist dies einmal gelungen und hat der WordPress-Benutzer Admin-Rechte ist die Webseite fast komplett in der Kontrolle des Angreifers.

Unsere Erfahrung bei RAIDBOXES zeigt: Durch ein starkes Passwort und die Limitierung der Login-Versuche lassen sich nahezu alle Malware-Fälle vermeiden. Doch dazu gleich mehr.

Automatisiertes Ausnutzen von Sicherheitslücken

In aller Regel erfolgen Angriffe auf Webseiten automatisiert. WordPress-Seiten werden durch sogenannte Crawler, z.B. nach einem bestimmten Plugin, was eine Sicherheitslücke aufweist, automatisiert gescannt. Bei den Angriffen können diverse Sicherheitslücken ausgenutzt werden. SQL-injections, Cross-Site-Scripting oder das Ausnutzen der XMLrpc-Schnittstelle.

Manuelle Hacks

Natürlich besteht auch die Möglichkeit, manuell eine Sicherheitslücke auszunutzen. Dies ist aber eher selten, da sich der Aufwand nur bei großen WooCommerce-Shops lohnen würde, wo z.B. tatsächlich Zahlungsdaten gestohlen werden sollen.

7 Sicherheitsmaßnahmen, die wir als Hoster leisten

Grundsätzlich lässt sich über spezialisiertes WordPress-Hosting die Sicherheit deiner Webseite deutlich erhöhen. Über die Jahre wurde das Sicherheitskonzept immer weiter ausgebaut, sodass Fälle von Malware zur absoluten Seltenheit geworden sind. Insbesondere die detaillierte Analyse von Malware-Fällen hilft häufig genutzte Sicherheitslücken zu erkennen und dann zu schließen.

#1 Starke Passwörter – die wichtigste Sicherheitsmaßnahme überhaupt

Eine der wichtigste Sicherheitsmaßnahmen überhaupt ist ein starkes Passwort für alle WordPress-Benutzer! Leider haben wir als Hoster nur bedingt Einfluss auf die Passwortvergabe. Insbesondere bei Umzügen können wir nur wenig Einfluss auf die Passwörter nehmen. Das Erzwingen eines starken Passworts beim Anlegen einer Box (WordPress-Webseite) hat zu einer deutlichen Reduktion von Malware-Befall geführt.

Erzwingen eines starken Passworts beim Anlegen einer WordPress-Webseite
Das Erzwingen eines starken Passworts beim Anlegen einer BOX (WordPress-Webseite) hat zu einer deutlichen Reduktion von Malware-Befall geführt.
Zur Erinnerung: Eine Passwort sollte aus Zahlen, Sonderzeichen und Kleinbuchstaben mit einer Mindestlänge von sieben Zeichen bestehen. Sollte dies bei deinen WordPress-Benutzern nicht gegeben sein, brauchst du musst du unbedingt erst Schritt 1 unternehmen: Bitte ändere sofort deine Passwörter.

#2 Schutz vor Brute-Force-Attacken

Fast eine Milliarde mal pro Monat werden Webseiten mit den oben beschriebenen Brute-Force-Attacken angegriffen. Gut, wenn sich dein WordPress-Hoster darum bereits gekümmert hat. Da bei uns auf jeder Webseite das Plugin Limit Login Attempts vorinstalliert ist, spielen Brute-Force-Attacken seit Anbeginn keine Rolle mehr. Sollte ein Angreifer drei Passwörter falsch ausprobieren, wird seine IP-Adresse automatisch geblockt. In Kombination mit einem starken Passwort ist es praktisch unmöglich sich über diesen Weg Zugang zur Website zu verschaffen.

#3 Standardmäßige Blockierung der XML-RPC

XML-RPC ist eine Schnittstelle, die seit WordPress 3.5 auf jeder WP-Seite verfügbar ist. Da die allermeisten Webmaster XML-RPC ohnehin nicht nutzen, ist es sinnvoll, diese Schnittstelle zu deaktivieren. Denn: Über XML-RPC können Hacker direkt Angriffe auf deine Seite fahren.

Aus diesem Grund ist XML-RPC mittlerweile standardmäßig bei uns blockiert und kann über die Einstellungen im RAIDBOXES Dashboard freigeschaltet werden.

XML-RPC Blocker
Aus diesem Grund ist XML-RPC mittlerweile standardmäßig bei uns blockiert und kann über die Einstellungen im RAIDBOXES Dashboard freigeschaltet werden.

#4 Gemanagte Sicherheitsupdates von WordPress

Ganz wesentlich ist natürlich die Aktualisierung von WordPress. Hier werden circa alle 2-3 Monate neue WordPress-Versionen veröffentlicht. Insbesondere Maintenance Updates schließen wichtige Sicherheitslücken. Diese Updates sollten unmittelbar installiert  werden. Bei den Major-Updates kann häufig abgewägt werden, was es im Zweifel für die Kompatibilität bedeutet. Daher verzögern Managed WordPress Hoster große Updates in der Regel, um den Plugin- und Theme-Herstellern Zeit zu geben, sich auf die neue Version einzustellen.

#5 Selektiver Schreibschutz – WordPress Hardening Maßnahmen

Ein Fokus des Security-Plugins iThemes Security ist, WordPress durch das Schützen von Dateien sicherer zu machen. Auch dies ist selektiv bei uns integriert. So wird es erschwert Elemente der Seite zu infizieren und unbrauchbar zu machen. Hier muss immer ein sinnvoller Ausgleich zwischen Flexibilität und Sicherheit geschaffen werden. Diesen wahren wir durch Konfigurationsmöglichkeiten direkt über die RAIDBOXES Benutzeroberfläche.

Unterbinden von Dateiänderungen in WordPress
Darüber hinaus nutzen wir natürlich auch WordPress Best-Case-Practices, wo sie Sinn machen. Ein Beispiel ist hier das Umbenennen des Präfix der WordPress-Datenbank.

Darüber hinaus nutzen wir natürlich auch WordPress Best-Case-Practices, wo sie Sinn machen. Ein Beispiel ist hier das Umbenennen des Präfix der WordPress-Datenbank. Diese ist bei uns nicht über den Standard wp_ erreichbar. Ein Umbenennen des WP-Content Ordners hingegen, wie ihn iThemes Security anbietet, führt erfahrungsgemäß zu Fehlern, da Plugins und Themes damit nicht zurecht kommen.

#6 Gemanagte Plugin-Updates von WordPress

Nun gilt es noch das letzte größere Einfallstor vor Angriffen zu schließen: Nicht aktuelle Plugins. Wie bei WordPress selbst, kann es auch bei Plugins und Themes zu Sicherheitslücken kommen. Nicht jedes Update beinhaltet Sicherheits-Features. Dennoch: Sind alle Plugins aktuell, ist die Wahrscheinlichkeit von Sicherheitslücken deutlich geringer.

Da insbesondere dieses Feature viel Zeit spart, ist es in unserem Fully Managed Tarif für 30 Euro (netto) enthalten. Als Leser dieses Blogartikels kannst du den Tarif dauerhaft für nur 20 Euro unter folgendem Link beim Checkout in Anspruch nehmen: Fully Managed Spezial.

#7 Serverseitige Maßnahmen

Alle oben genannten Maßnahmen schützen WordPress selbst. Darüber hinaus gibt es natürlich noch eine schier endlose Liste von Sicherheitsmaßnahmen, die den Server selbst betreffen. Dies fängt bei Linux Updates an und hört bei der regelmäßigen Aktualisierung von PHP als Basis von WordPress auf. PHP 5.6 und auch 7.0 wird sehr bald nicht mehr unterstützt und mit Sicherheits-Updates versorgt. Wir sorgen daher für das automatische Update, ohne dass der Kunde sich darum kümmern muss.

Die Konkurrenz beliest sich auch

Erhalte alle zwei Wochen unsere neusten Blog-Artikel und News rund um WordPress!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Nachteile von Security-Plugins

Dies dargestellt möchte ich nun kurz auf die Nachteile von Security-Plugins eingehen. Diese sind teilweise nicht unerheblich, insbesondere aus Zeitaspekten.

Einrichtungsaufwand

Wer denkt, dass es mit einem bloßen Installieren eines Plugins getan ist, irrt sich. Leider setzt auch das Einrichten eines Security-Plugins gewisse Kenntnisse voraus.

Am Beispiel des Plugins All-in-One-Security wird dies sehr schön deutlich. Es ist eines der beliebtesten kostenlosen Plugins, was zu einem sehr großen Umfang die .htaccess Datei nutzt. Das Plugin erkennt jedoch gar nicht, wenn es sich um einen NGINX Server handelt. Dieser unterstützt das Konzept der .htaccess nicht und wird im WordPress-Umfeld aufgrund seiner Flexibilität genutzt.

Darüber hinaus sind die Sicherheitsmaßnahmen zwar in Schwierigkeits-Levels eingeteilt, was sehr viel Sinn macht, dennoch sind viele der vom Plugin angebotenen Maßnahmen weniger sinnvoll. Um die Notwendigkeit der verschiedenen Maßnahmen angemessen zu beurteilen, muss man sich unweigerlich mit der Security-Materie auseinandersetzen.

Wartungsaufwand

Für unseren Test haben wir verschiedene Security-Plugins installiert. Eines der Plugins hat sich automatisch einer in WordPress hinterlegten Team-E-Mail-Adresse bedient und begonnen, fleißig E-Mails zu verschicken. Zur großen Freude aller Teammitglieder…

Dies ist leider überhaupt keine Seltenheit. Selbstverständlich möchte man in gewisser Hinsicht informiert bleiben. Allerdings wird man in den häufigsten Fällen auf Dinge hingewiesen, die überhaupt kein Sicherheitsrisiko darstellen. Am Ende fühlt man sich unsicherer als vorher, da man z.B. über jede Dateiänderung informiert wird und im Zweifel prüfen muss.

Performance-Probleme

Standardmäßig bietet jedes der Plugins einen Malware- oder Security-Scan an. Das Plugin Wordfence setzt diese gerne automatisiert bei einer Stunde an. Dies bedeutet, dass im Zweifel jede Stunde! ein Scan der Seite durch ein automatisches Script (via Cronjob) läuft. Wer auf seinem Rechner schon einmal eine Antivirus-Software installiert hat, kennt die Leidensgeschichten von teilweise massiven Performance-Problemen.

Unter Umständen ist dies auch ein Grund, wieso von über 90 Millionen Downloads am Ende “nur” 2 Millionen aktiv geblieben sind.

Kosten

Für die Recherche dieses Artikels haben wir nur Plugins evaluiert, welche es auch in einer kostenfreien Version gibt. Dennoch ist es leider so, dass bei vielen WordPress-Security-Plugins die wirklich sinnvollen Features mindestens 80 Dollar pro Jahr kosten. Wenn man diese nicht nutzt, bleibt häufig das Gefühl von Unsicherheit.

Performance Messen E-Book

Wann macht ein WordPress-Security-Plugin wirklich Sinn?

Für alle, die noch die extra Meile gehen wollen, hier ein paar Beispiele, wo ein Plugin für die WordPress-Sicherheit Sinn machen kann. Diese Empfehlungen beziehen sich nur auf spezialisiertes WordPress Hosting. Da bei anderen Anbietern Sicherheitsmaßnahmen nicht so spezifisch und umfangreich umgesetzt sind, kann dort durchaus generell ein Security-Plugin Sinn machen.

Manuelles Hacking beim WooCommerce-Shop

Dies ist eines der wenigen Beispiele, wo wir tatsächlich aktiv ein Security-Plugin empfohlen haben, um die Sicherheit des Online-Shops zu erhöhen. Der WooCommerce-Kunde hatte den Eindruck, dass er manuell angegriffen wird, was wie wir oben beschrieben haben, sehr selten vorkommt.

In diesem Fall konnte er mit Wordfence und dessen Logging-Funktion schnell die IP-Adresse des Angreifers identifizieren und dann blocken. Der Angriff konnte damit effektiv unterbunden werden.

Gefährdete Plugins

Je höher die Anzahl an Plugins, desto höher ist auch die Wahrscheinlichkeit von Sicherheitsrisiken. Insbesondere, wenn kein Tool zur Aktualisierung genutzt wird, können bestehende Sicherheitslücken im System bleiben. Gerade bei WooCommerce-Shops ist die Anzahl an Plugins meist systemimmanent hoch und die Daten sind gleichzeitig sensibler. Daher sollte hier auch eher über ein Security-Plugin nachgedacht werden.

Die drei besten Security-Plugins für WordPress

Im Folgenden möchte ich kurz darstellen, wieso wir uns nur auf drei Plugins beschränken und nicht zehn – oder gar die besten 101 WordPress-Sicherheitsplugins vorstellen.

Andere Plugins wurden evaluiert

Bei den Security-Plugins beschränken wir uns auf die TOP 3 WordPress-Plugins weltweit. Wir haben uns auch andere Security-Plugins, wie z.B. All In One WP Security & Firewall angeschaut, welches mit 700.000+ das beliebteste rein kostenlose Plugin (ohne Premiumversion) darstellt. Allerdings haben uns hier die Usability und teilweise die empfohlenen Maßnahmen nicht überzeugt. Gleichzeitig ist es nur auf Apache Webservern anwendbar.

Es geht um die letzten Meter

Da wir die Plugins eher als Ergänzung zu einem schon sicheren WordPress-Hosting sehen, geht es darum, die letzten 0,1 Prozent Sicherheitsrisiko abzudecken. Somit beschränken wir uns auf die professionellen Plugins, welche eine sehr hohe Verbreitung haben.

Aber auch bei anderen, nicht spezialisierten Hostern hat diese Auswahl von Plugins eine hohe Relevanz. Hier sollte man sich ohnehin intensiver mit dem Thema WordPress-Sicherheit auseinandersetzen.

Schnelle Entscheidungshilfe

Gleichzeitig ist es uns wichtig, eine schnelle Entscheidungshilfe zu liefern. Unserer Meinung nach ist dies bei einer Darstellung von zehn Plugins nicht mehr möglich, da dann am Ende doch wieder alle zehn Plugins evaluiert werden müssen. Bei drei Plugins mit unterschiedlichem Fokus fällt die Entscheidung hier leichter.    

Beschränkung auf All-In-One-Plugins

Natürlich gibt es unzählige Plugins, welche großartig einzelne Funktionen übernehmen. Unser Limit Login Attempts Plugin ist hier das beste Beispiel. Aber auch Funktionen, welche die Plugins erst in den PRO Versionen anbieten, lassen sich über einzelne Plugins lösen. Bestes Beispiel ist dieses Plugin für die 2-Faktor-Authentifizierung.

Verbreitung und Daten sind bei Firewalls wichtig

Firewalls wenden bestimmte Regeln an, um zu erkennen, ob jemand schadhaft agiert oder lediglich die Seite besucht. Wenn jemand versucht, in die Seite einzudringen, wird er geblockt. Insbesondere die Regeln basieren auf dem Wissen von existierenden Sicherheitslücken. Gleichzeitig kann man Netzwerke von Angreifern bei 2 Millionen Seiten in der Verwaltung besser erkennen und für alle anderen Seiten blocken als bei 10.000 Seiten. Daher spielt Verbreitung für Security-Plugins eine Rolle.

Eure persönlichen Favoriten sind willkommen

Dies heißt nicht, dass es nicht noch andere großartige Plugins für mehr WordPress-Sicherheit gibt. Nennt eure persönlichen Favoriten gerne in den Kommentaren. So sorgen wir für noch mehr Chancengleichheit auch für neue innovative Ansätze.

Kennst du schon die aktuellen WordPress-News?

Erhalte alle zwei Wochen unsere neusten Blog-Artikel und Neuigkeiten rund um WordPress!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Die drei besten Sicherheits-Plugins in der Übersicht

Webseite des Plugins Wordfence iThemes Security Sucuri
Security
Download-Link Download Download Download
Features Hier Hier Hier
Aktive Installationen 2+ Millionen 900.000+ 400.000+
Sprachen Englisch 12 Sprachen Englisch, Spanisch
Getestet mit aktuellster WordPress-Version Ja Ja Ja
Anzahl Bewertungen 3280 3812 303
Bewertung von fünf Sternen 4,8 4,7 4,5
Kostenlose Version Ja Ja Ja
Premium ab 99$ (8,25$ p.M.) 80$ (6,67$ p.M.) 9,99$ p.M.
Malware-Entfernung ab 179$ Nicht angeboten 200$ (16,67$ p.M.)

In der Übersicht wird deutlich, dass jedes der Plugins eine sehr hohe Verbreitung hat und gut bewertet ist. Dennoch ist Wordfence der unangefochtene Marktführer und auch vom Preis-Leistungs-Verhältnis ausgewogen. Bei Sucuri zahlt man die Malware-Entfernung zwar direkt mit, hier können die Preise allerdings insbesondere durch einen schnelleren Service und häufigere Scans auf 500 Dollar pro Jahr ansteigen. Bei Wordfence wird die professionelle Malware-Entfernung als optionaler Service angeboten. Hier kommt es also ganz auf deine Bedürfnisse an.

Wichtig zu wissen ist, dass es recht unwahrscheinlich ist, sich mit starken WP User Passwörtern Malware einzufangen. Unserer Meinung nach ist es daher wenig sinnvoll, die Malware-Entfernung direkt als Leistung mitzukaufen. Umgekehrt hätte man bei einem Malware-Befall bei Wordfence die Pro-Jahreslizenz direkt inklusive und müsste daher nur 179 Dollar zahlen für ein Jahr.

Gleichzeitig hat man bei Wordfence auch in der kostenlosen Version direkt Zugriff auf das gesamte Spektrum der Firewall, anders als beispielsweise bei iThemes Security, wo Informationen aus dem Netzwerk erst in der PRO Version zugänglich sind.

Ein wichtiger Punkt, den es auch nicht zu verachten gilt: Wordfence ist in unserem Beispiel der einzige unabhängige Anbieter, welcher sich mit 35 Mitarbeitern nur auf das Thema WordPress-Sicherheit spezialisiert hat. Sucuri gehört mittlerweile zum GoDaddy Konzern und iThemes wurde auch durch ein anderes Hosting-Unternehmen gekauft. Zudem sind sie noch in diversen anderen Bereichen, wie z.B. Theme-Entwicklung aktiv. Hinter Wordfence steckt ausschließlich die Security-Firma Defiant.

Zwischenfazit

Unsere Security-Plugin-Empfehlung ist somit ganz klar Wordfence. Das Plugin bietet schon in der kostenlosen Variante eine umfangreiche Firewall und konzentriert sich auf die zwei Kernthemen, die ein Sicherheits-Plugin leisten sollte: Eine Firewall und Security-Scans.

Darüber hinaus ist es schnell eingerichtet, übersichtlich gehalten und verunsichert nicht, wie dies bei anderen Plugins mit zu technischen Informationen vorkommt.

Um Performance-Schwierigkeiten zu vermeiden, sollte “Low Resource Scanning” unter den Scan-Optionen genutzt werden. Da IP-Adressen verarbeitet werden, solltest du mit Wordfence einen AV schließen.

Im Folgenden gehe ich noch einmal detailliert auf die einzelnen Kernbereiche eines Security-Plugins ein, um die Unterschiede zwischen den Plugins deutlich zu machen.

Die wichtigsten Plugin-Features im Vergleich

Monitoring und Scans

Wordfence iThemes Security Sucuri
Monitoring und Scans
Security Scans Ja Mit Sucuri per Klick Ja
Geplante Security Scans Nur Premium Nur Premium Nur Premium
Malware Identifizierung Ja Mit Sucuri per Klick Ja
Identifizierung von Sicherheitsanomalien Ja Mit Sucuri per Klick Ja
Blacklist Monitoring Nur Google Safe Browsing Mit Sucuri per Klick Ja
Dateiänderungen Ja Mit Sucuri per Klick Ja
DNS Monitoring Ja Unklar Ja
SSL Monitoring Nein Unklar Ja
Benachrichtigungen Ja Ja Ja
Spamüberprüfung Nur Premium Ja Ja
Security Logs Erweitert Basic Basic

Ein wesentlicher Bestandteil eines Sicherheits-Plugins ist das Überprüfen, ob die Webseite kompromittiert wurde.

Da jeder Plugin-Hersteller im Grunde genommen für gleiche Inhalte andere Bezeichnungen verwendet und diese anders darstellt, ist es sehr schwierig, einen vernünftigen Vergleich durchzuführen. Die Tabelle weiter oben soll hier eine Übersicht verschaffen.

Jedes Plugin bietet eine Scan-Funktion

So werden zwar Security-Scans, Malware-Identifizierung, Identifizierung von Sicherheitsanomalien oder Dateiänderungen häufig separat aufgeführt, gemeint ist aber das Gleiche. Über den Abgleich von Dateien wird geprüft, ob Malware auf der Seite vorhanden ist. Unserer Erfahrung nach kann es durchaus vorkommen, dass ein unauffälliger Test bei Sucuri dennoch bedeuten kann, dass Malware auf der Seite zu finden ist, wenn detaillierter gescannt oder in die einzelnen Dateien geschaut wird.  

Malware check: Site is clean
iThemes Security bedient sich hier einfach der API von Sucuri. Als Ergebnis erhält man sowohl bei Sucuri als auch bei iThemes nichts anderes als den kostenlosen Sitecheck, welcher auch auf der Sucuri Webseite zu finden ist.

iThemes Security bedient sich hier einfach der API von Sucuri. Als Ergebnis erhält man sowohl bei Sucuri als auch bei iThemes nichts anderes als den kostenlosen Sitecheck, welcher auch auf der Sucuri Webseite zu finden ist.

Unterschiede beim Blacklist-Monitoring

Neben den Scans ist das Blacklist-Monitoring ein wichtiger Faktor, insbesondere für die oben beschriebenen Ranking-Verluste. Hier prüft Wordfence laut eigener Darstellung nur den Google Safe Browsing Status. Sollte eine Webseite hier auftauchen, ist es im Grunde genommen schon zu spät. Die Webseite wird mit hoher Wahrscheinlichkeit zunächst aus den Suchergebnissen geworfen. iThemes Security und Sucuri prüfen hier direkt mehrere Blacklists. Das Ergebnis ist dennoch identisch. Wenn die Webseite auf den Blacklists auftaucht, ist es schon zu spät. Genau um dies zu verhindern,  werden diese Scans gemacht.

Securi check: not blacklisted
Eine erweiterte Blacklist-Prüfung ist bei Wordfence erst in der Premium Version verfügbar. Hier wird der von extern gut zu erkennende und für Google wichtige Punkt der Spam-Werbung mit geprüft.

Eine erweiterte Blacklist-Prüfung ist bei Wordfence erst in der Premium Version verfügbar. Hier wird der von extern gut zu erkennende und für Google wichtige Punkt der Spam-Werbung mit geprüft.

Niedrige Relevanz von DNS-Monitoring

Die Features des DNS- und SSL-Monitorings halten wir für wenig relevant. Uns ist noch kein einziger Fall bekannt, wo DNS-Veränderungen oder SSL-Änderungen herbeigeführt wurden, um damit kriminellen Machenschaften nachzugehen.

Wordfence punktet bei den Security Logs

Die Basis eines Security-Plugins sollte sein, Logins vernünftig darzustellen. Dies ist bei allen Plugins gegeben. Wordfence geht hier mit seinem Live Traffic Monitoring einige Schritte voraus. Es werden nicht nur Logins erkannt, sondern Traffic wird entsprechend kategorisiert. So können Crawler-Aktivitäten bzw. Besucherverhalten in Bezug auf Sicherheitsaspekte nachvollzogen werden. Das Tool eignet sich daher hervorragend, um beispielsweise manuelle Hacks zu verhindern.

Wordfence Live Traffic
Wordfence geht hier mit seinem Live Traffic Monitoring einige Schritte voraus.
Fazit in dieser Kategorie

Die Scanqualität ist schwer zu beurteilen und müsste durch Testcases evaluiert werden. iThemes Security und Sucuri haben eine bessere Blacklist-Überwachung. Allerdings sollte der Scan ohnehin dazu dienen zu verhindern, dass die Seite auf der Blacklist landet. Beim Monitoring ist insbesondere das Live Traffic Feature von Wordfence ein großer Pluspunkt.  

Schutz in Kombination mit Firewalls

Wordfence iThemes Security Sucuri
Web Application Firewall (WAF) Eingeschränkt 404-Detection Ja
Intrusion Detection System (IDS) Ja Nein Ja
DDoS Schutz Nein Nein Ja
Brute Force Schutz Ja Ja Ja
Block von Hacking-Versuchen Ja Teilweise Ja
Zero-day Exploits Schutz Unklar Nein Ja
Einzelner Seitenschutz Nein Nein Ja
Heuristic Correlation Algorythmus Unklar Nein
Load Balancing / Failover Nein Ja Ja
Länder Blocking Ja Nein Nein
Fortgeschrittenes manuelles Blocking Ja Nein Nein
iThemes ohne richtige Firewall

In Punkto Firewall werden die Unterschiede zwischen den Plugins besonders deutlich. Die Herangehensweisen auf das Thema sind hier nämlich grundlegend unterschiedlich. Genau genommen setzt iThemes-Security keine wirkliche Firewall ein. In Ansätzen könnte man den 404-Detection-Ansatz als einen ersten Ansatz bezeichnen. Hierbei wird geschaut, ob ein Crawler viele 404-Fehler erzeugt und geblockt.

Sucuri inklusive vollwertigem CDN

Wohingegen für Wordfence nur ein Plugin installiert werden muss, um die Firewall zu nutzen, muss bei Sucuri der Nameserver oder ein A-Record bei den DNS-Einstellungen geändert werden. Dafür ist es eine komplett cloudbasierte Lösung, inklusive einem CDN (Content-Delivery-Network), welche auch DDoS-Attacken verhindern kann. Bei einer DDoS-Attacke wird häufig mit einem Botnetz eine Seite so lange mit Anfragen befeuert bis die Seite nicht mehr erreichbar ist, weil der Server nachgibt.

Der Sucuri-Ansatz führt auch dazu, dass es im Gegensatz zu Wordfence mit Loadbalancern funktioniert.

Insgesamt ist bei Sucuri bei bestimmten Begriffen wie z.B. dem “Heuristic Correlation Algorithmus” eher von einer Marketingformulierung auszugehen und es ist unklar, ob dies ein tatsächlicher Mehrwert ist, da Wordfence vermutlich auch mit heuristischen Methoden arbeitet.

Wer nur einen CDN benötigt könnte diese jedoch auch kostenlos durch Cloudflare realisieren.

Wordfence mit mehr Konfigurationsmöglichkeiten

Bei Sucuri läuft vieles automatisch und das ohne Zutun des Users. Dafür lässt sich hier scheinbar weniger konfigurieren. So lassen sich bei Wordfence explizit einzelne Länder IPs blocken und auch manuelles Blockieren ist möglich. Insbesondere bei manuellen Hacks ist dies hilfreich.

WordPress Sicherheitsmaßnahmen

Wordfence iThemes Security Sucuri
Datenbank Backups Nein Ja Nein
WordPress sicherer machen Nein Ja Nein
Informationen verstecken Nein Ja Nein
Schreibschutz Nein Ja Nein
Passwort-Management Nein Ja Nein
Two-Factor Authentication Premium Premium Nein

iThemes Security konzentriert sich wie in der Tabelle zu sehen auf die Sicherheitsmaßnahmen innerhalb von WordPress. Insgesamt werden hier 30 verschiedene Punkte abgearbeitet, welche zum größten Teil sehr sinnvoll sind. Viele der Punkte sind daher bereits in unserem Hosting inklusive.

iThemes Security ist daher eine tolle Möglichkeit ein “unsicheres” generisches Hosting um mehr Sicherheit auf WordPress-Ebene zu ergänzen. Die kostenlose Version bietet hier schon umfangreichen Schutz. Bei der Premium-Version ist die 2-Faktor Authentifizierung hervorzuheben.

Da Wordfence und Sucuri den Fokus auf das “Abschirmen” der Seite legen. Sind sie in diesen Punkten schwach aufgestellt.

Entfernung von Malware & Performance

Wordfence iThemes Security Sucuri
Hack Cleanup & Malware Removal Optional Nicht auffindbar Optional
Blacklist Warning Entfernung Optional Nicht auffindbar Optional
Malware Removal Request Limit Optional Nicht auffindbar Optional
Automatisches Cleanup Teilweise Nicht auffindbar Teilweise
Security Analyst Eskalation Optional Nicht auffindbar Optional
Volles Website Cleanup Optional Nicht auffindbar Optional
Schließen der Sicherheitslücken Optional Nicht auffindbar Optional
Backups Nein Nicht auffindbar Ja
Post-Cleanup Report Optional Nicht auffindbar Optional
Full Log and Incident Report Optional Nicht auffindbar Optional
Root Cause Follow Up Optional Nicht auffindbar Optional

Zu guter Letzt schauen wir uns noch das Thema Malware-Entfernung an. Hier sind die Preise bei Sucuri und Wordfence ähnlich. Wordfence liegt bei 179 Dollar und Sucuri beginnt ab 200 Dollar. Für eine schnellere Bearbeitung verlangen beide einen Aufpreis. Die angebotenen Leistungen sind hier identisch. Bei iThemes konnte ich einen Malware-Entfernungsservice nicht entdecken. Eine Malware-Entfernung kann 2-3 Stunden in Anspruch nehmen, mit allerdings großen Schwankungen. Da wir auch Malware-Entfernung durchführen sind die Preise als fair einzuordnen.

Und was ist mit der Performance?

Zu guter Letzt noch ein Hinweis zur Performance. Dies würde man bei einem Security-Plugin-Vergleich nicht vermuten. Da aber Sucuri einen CDN und eine Firewall in einem anbietet, kann insbesondere bei internationalen Besuchern auch ein Performance-Verbesserung entstehen. Bei einem CDN wird die Webseite immer vom nächsten Server ausgeliefert, was insbesondere Vorteile bei Besuchern in Übersee hat. Bei einem WooCommerce-Shop wenig cachebaren Inhalten ist es allerdings weniger zu gebrauchen.

Gutenberg und WordPress 5.0 E-Book

Unser Fazit

Wie lautet nun das Gesamtfazit zum Thema WordPress-Sicherheit? Unser persönliches Gesamtfazit lässt sich durch folgenden Fakt gut auf den Punkt bringen: Wir nutzen für unsere eigene RAIDBOXES-Seite kein Security-Plugin. Wir haben noch nie ein Security-Plugin genutzt und hatten auch noch nie Probleme. Dies alles, obwohl unsere Webseite eine absolut zentrale Bedeutung für uns hat. Umfangreiche Kundendaten werden allerdings nicht auf unserer WordPress-Webseite gespeichert. Uns war das Risiko eines Performance-Verlustes durch umfangreiche Scan-Maßnahmen zu hoch und die Nachteile haben für uns überwiegt.

Ein Security-Plugin verbessert die Sicherheit

Dennoch erhöht eine Firewall die Sicherheit der Webseite. Wer daher das Ziel hat, die maximale Sicherheit zu erreichen und die Nachteile bei Performance und Zeitaufwand in Kauf nehmen möchte, sollte zu einem Sicherheits-Plugin greifen.

Insbesondere für WooCommerce-Shops oder gefährdete Seiten, welche ggf. schon Probleme mit Malware hatten, kann ein WordPress-Security-Plugin sinnvoll sein. Unsere Empfehlung lautet daher wie folgt:

Wordfence als beste kostenlose Lösung

Wer sich eine wirklich sehr solide Firewall mit umfangreichem Monitoring wünscht, ist mit Wordfence sehr gut bedient. Nicht umsonst ist es das beliebteste Security-Plugin der Welt. Die Premium-Version ergänzt die Funktionalität sehr punktgenau und sinnvoll. Bei der Implementierung sollte unbedingt auf eine korrekte Einrichtung der Scan-Vorgänge geachtet werden um Performance-Schwierigkeiten zu verhindern.

iThemes Security für generische Hoster

iThemes Security führt wirklich sinnvolle Sicherheitsmaßnahmen auf der Webseite aus, die insbesondere WordPress betreffen. Für generische Hoster ist es eine tolle Möglichkeit, auch in der kostenlosen Version das Sicherheitsniveau ohne umfangreiche Scans und Firewall zu erhöhen.

Sucuri für CDN-Interessierte

Wer ohnehin mit dem Gedanken spielt, einen CDN zu nutzen und für den das Thema DDoS-Attacken eine Relevanz haben sollte, dem sei Sucuri empfohlen. Es bleibt lediglich der etwas fade Beigeschmack des Godaddy-Konzerns.

Wie handhabst du das Thema WordPress-Sicherheit? Baust du auf die Sicherheitsmaßnahmen deines Hosters oder lässt dich nur ein Security-Plugin ruhig schlafen? Wie immer, freue ich mich über deinen Kommentar!

Kennst du schon die aktuellen WordPress-News?

Erhalte alle zwei Wochen unsere neusten Blog-Artikel und Neuigkeiten rund um WordPress!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Wenn du fortfährst, stimmst du unserer Cookie-Richtlinie zu.