Sicherheitsrisiken für WordPress im Jahr 2020 managen [Ultimative Checkliste]

Was steht für WordPress Sicherheit?

Sicherheitsrisiken von WordPress

Einfache Tricks zum Schutz deiner WordPress-Website

Kostenlose Sicherheitsplugins für WordPress

Checkliste zur Sicherheit deiner WordPress-Website

Betreibst du einen WordPress-Blog oder eine Multi-Site? Wie gut ist deine Website vor Online-Betrug geschützt? Obwohl WordPress als eines der sichersten und vertrauenswürdigsten Content-Management-Systeme der Welt gilt, werden täglich immer noch über 30.000 Websites gehackt.

Ich wette, du willst nicht einer von denen werden. Vorgewarnt ist gewappnet. Wir haben beschlossen, diesen Beitrag zu verfassen, um dir zu helfen, Inhalte deiner Website zu schützen und jeden Anmeldeversuch unter Kontrolle zu halten. Weiter entdeckst du ausführliche Erklärungen, Anweisungen und eine Liste von Tools, die ermöglichen alle Sicherheitsrisiken von WordPress Themes auszuschließen.

Was steht für WordPress Sicherheit?

Die Sicherheit für WordPress ist ein kontinuierlicher Prozess, den die Site-Administratoren mit besonderer Vorsicht angehen sollen. Wenn es um die Sicherheit geht, ist damit gemeint, wie gut deine Website vor allerlei Risiken geschützt ist, mit denen sie online konfrontieren kann. Wie verwundbar ist deine Website für Hackerangriffe oder Spam? Um den höchsten Grad an Sicherheit für deine Website zu gewährleisten, solltest du die richtigen Sicherheitskontrollen implementieren, um das Schadensrisiko auf ein Minimum zu reduzieren.

Was sind wichtige Bestandteile der WordPress-Sicherheit? Wir können drei Kernbereiche hervorheben - Technologie, Menschen und die Implementierung von Sicherheitslösungen in ein Webprojekt. Jeder davon ist für die Sicherheit deines Blogs gleich wichtig. Unsere Empfehlung ist es, extrem wachsam zu sein, wenn du eine neue Technologie implementierst und neuen Personen den Zugriff zur Sicherheit deiner Website erlaubst.

Die erste und wichtigste Entscheidung, die bei der Erstellung einer Website mit WordPress getroffen werden muss, ist die richtige Auswahl des Webhostings, das benötigte Optionen und hohe Geschwindigkeit gewährleistet. Es gibt deutsche Hosting-Anbieter wie Checkdomain, die sich gerade auf das WordPress-Hosting spezialisieren. 

Unabhängig davon, ob du dich für Shared, VPS, dediziertes oder verwaltetes Webhosting entscheidest, ist es ratsam, sich in die technischen Spezifikationen der einzelnen Anbieter einzuarbeiten. Verschiedene Hostings sind für verschiedene Zwecke gedacht, unterscheiden sich durch den Speicherplatz, zusätzliche Dienste, die Sicherheit und Preispläne.

Sicherheitsrisiken von WordPress 

Es gibt immer zwei Seiten einer Medaille. WordPress ist beliebt für seine regelmäßigen Systemaktualisierungen, die jede Menge neuer und toller Funktionen für die Site-Administratoren mitbringt. In der Regel zielen verbesserte Funktionen und Fehlerbehebungen, die jedes neue Update liefert, darauf ab, deine Website sicherer zu machen.

Das erste und wichtigste, was zu beachten gilt, ist, dass die WordPress-Installation NUR von WordPress.org heruntergeladen werden muss. Das ist die einzige offizielle Ressource, welche die neuesten Versionen des Content-Management-Systems liefert und Aktualisierungen veröffentlicht (die detailliert überprüft werden).

Die verwundbarsten Seiten deiner WordPress-Site sind die Erweiterungen, die du installierst, um deren Performance zu steigern. Die Themes und Plugins, die du auf deiner Website installierst, werden häufig von Cyberkriminellen und Hackern ausgenutzt. Das liegt daran, dass Entwickler von Tools und Templates für WordPress-Sites keine Sicherheitsexperten sind und für ihre digitalen Produkte nicht beabsichtigt den unsicheren Code schreiben können.

Um das Risiko zu vermeiden, gehackt zu werden, veröffentlichen die Entwickler von Themes und und Plugins Updates für ihre Produkte. Wenn eine Erweiterung, die du auf deiner WordPress-Site installieren willst, nicht mehr unterstützt wird oder nicht mit der neuesten WordPress-Version kompatibel ist, dann solltest du besser auf Nummer sicher gehen und nach einer sichereren Alternative suchen.

Auch dein WordPress-Webserver und die darauf installierte Software können gefährdet sein. Die Sicherheitslücken, um die du dich kümmern musst, kommen hauptsächlich darauf an, welche Art vom WordPress-Webserver du für deine Website ausgewählt hast. Wenn du dich für das Managed Hosting entscheidest, dann kümmerst du dich nur um regelmäßige Updates von Seiten des Webhost-Providers und installierst diese rechtzeitig auf deinem Host. Wenn du Shared Webhosting-Dienste nutzt, dann solltest du in Erwägung ziehen, dass deine Website anfälliger für Risiken ist. Es ist so, dass du auf gemeinsam genutzten Webhosts Speicherplatz mit anderen Webressourcen teilst, die gehackt werden können. Falls eine dieser Sites gehackt wird, kann es passieren, dass die IP-Adresse deiner eigenen Website von Spam-Listen auf eine schwarze Liste gesetzt wird. Wenn du bemerkst, dass irgendwelche Probleme mit der Zustellbarkeit von E-Mails auftreten, ist es besser, mit Hilfe von Tools für schwarze Listen (wie MxToolBox oder Domain Health Check) zu prüfen, was los ist.

Betreibst du mehrere Blogs auf demselben Server? Dann handle vernünftig und nutze für sie  verschiedene Datenbanken, die von einem anderen Benutzer verwaltet werden. Das wird am besten durch ursprüngliche WordPress-Installation erreicht. Andernfalls, wenn ein Betrüger einen deiner Blogs hackt, wird es fast unmöglich sein, Änderungen an deinen übrigen Online-Projekten vorzunehmen.

Einfache Tricks zum Schutz deiner WordPress-Website

Du glaubst vielleicht, dass dein Blog nichts Besonderes ist, und Hacker sich ihre Zeit und Mühe besser für einen anderen Ort im Web sparen. In der Tat ist das nicht so! Die meisten der Fremdzugriffe auf Websites erfolgen nicht, weil jemand deine Daten stehlen will. Dein Server stellt das größte Interesse für Betrüger dar. Webserver, die als E-Mail-Relay für Spam verwendet werden können, sind nicht selten im modernen Web. Natürlich gibt es Betrüger und Konkurrenten, die nach einem Weg suchen, um deinem Unternehmen zu schaden. Sowieso musst du deine Website vor Betrügern und Hackern schützen. Die folgende Trick-Liste wird dir helfen, deine Website sicher zu halten.

Verwendet deine Website das HTTPS-Protokoll? Wenn du immer noch HTTP verwendest, läufst du Gefahr, viele Besucher zu verlieren, sowie bist höheren Risiken von Hackerangriffen ausgesetzt. Wenn du dich um die Online-Sicherheit deiner Kunden kümmerst und sicherstellen willst, dass alles, was du mit ihnen teilst, zu 100% sicher und geschützt ist, dann ist das HTTPS-Protokoll der sichere Weg, die Online-Privatsphäre zu garantieren. Darüber hinaus werden HTTPS-Sites in Suchmaschinen an höheren Positionen ausgegeben. Diese erhalten auch mehr SEO-Vorteile. Die gängigen Webbrowser warnen vor Websites, die das HTTPS-Protokoll nicht verwenden. Möchtest du denn nicht nicht, dass dies mit deiner Website passiert? Wechsle zu HTTPS und beachte die folgenden Sicherheitstricks für WordPress.

1. Login-Seite sichern 

Jeder weiß, wie sich normalerweise eine Anmeldeseite auf jeder WordPress-Site erreichen lässt. Um dreiste Hackerangriffe zu verhindern, solltest du daran denken, die /wp-login.php oder /wp-admin durch eine benutzerdefinierte URL zu ersetzen, die nur die Mitglieder deines Teams kennen. Stattdessen kannst du etwas wie  /my_new_login or /my_new_registration verwenden.

Darüber hinaus solltest du WordPress-Sicherheitsplugins installieren, die eine Sperrfunktion für fehlgeschlagene Anmeldeversuche enthalten. Es gibt einige der beliebtesten und zuverlässigsten Lösungen, die wir weiter in unserer Liste aufführen. Als Site-Administrator kannst du die Anzahl der fehlgeschlagenen Anmeldeversuche angeben, die gesperrt werden sollen, oder den IP-Bereich, der auf der Anmeldeseite nicht zugelassen werden soll.

2. Zwei-Faktor-Authentifizierung verwenden

Das ist eine weitere gute Sicherheitsmaßnahme, die zwei Schritte umfasst, die ein Benutzer vornehmen muss, um auf eine geschützte Website zugreifen zu können. Ein Site-Administrator kann über diese beiden Optionen selbst entscheiden. Dies kann zum Beispiel eine gewöhnliche Login- und Passwortanfrage sein, die mit einer Sicherheitsfrage kombiniert wird.

P.S. Es gibt ein kostenloses WP-Plugin zur 2-Faktor-Authentifizierung, das in einer Liste unten aufgeführt wird.

3. Software auf dem neuesten Stand halten 

Es scheint ganz offensichtlich zu sein. Stelle dennoch sicher, dass du die neueste Version der Software auf deiner Website nutzt. Dies betrifft sowohl die WordPress Version als auch Themes oder Erweiterungen, die du zusätzlich installiert hast. WordPress veröffentlicht recht häufig Fehlerbehebungen und Systemaktualisierungen. Sie dienen dazu, deine Site vor Hackern zu schützen, die bereits behobene Fehler ausnutzen. Wenn du deine Software, Themes, Erweiterungen u.ä. nicht aktualisierst, machst du deine Site automatisch anfälliger, ein erhöhtes Risiko besteht, gehackt zu werden.

4. Passwort sichern

Ein schwaches Passwort, das deinen Benutzernamen dupliziert oder ähnlich wie deine E-Mail-Adresse klingt, vervielfacht das Risiko, dass Hackerangriffe erfolgreich sein werden. Um das zu verhindern, verwende komplexere Passwörter, die sowohl Klein- als auch Großbuchstaben, Zahlen und Sonderzeichen enthalten. Mache es nicht zu kurz. Entscheide  dich für Passwörter, die mehr als 10 Zeichen enthalten.

5. Daten mit SSL verschlüsseln

Secure Socket Layer ist eine der bewährtesten Methoden zum Schutz des Admin-Bereichs deiner Website. Dank SSL kannst du dich auf die sicheren Datenübertragungen zwischen dem Webbrowser eines Benutzers und dem Webserver verlassen, so dass Hacker keinen Zugriff auf ihre Daten haben.

Du solltest keine Schwierigkeiten haben, wenn du dich für ein SSL-Zertifikat für deine Website entscheidest. In der Regel nehmen die meisten zuverlässigen Hosting-Provider es in die Liste der Funktionen auf, die ein Site-Administrator nach dem Abonnement erhält.

Darüber hinaus ranken Websites, die durch das SSL-Zertifikat geschützt sind, in Suchmaschinen höher als Websites, die keine SSL-Zertifikate einsetzen. Google gibt den sicheren Online-Projekten den Vorzug, wodurch die Chancen steigen, dass deine Website den Traffic anhaltend erhält.

6. Verzeichnisschutz für WP-admin 

Das ist das Herzstück deiner Website. Dies ist eine weitere verwundbare Stelle, auf die Hacker unbedingt zugreifen werden. Um sie vor einem Angriff zu schützen, wird dringend empfohlen, dein wp-admin-Verzeichnis mit einem Passwort zu schützen. Auf diese Weise wird ein Website-Administrator gebeten, 2 Passwörter einzugeben, wenn er auf das Backend deiner Website zugreifen will. Eines davon ist das Passwort für die Login-Seite, während das zweite für das Admin-Panel deiner Site zuständig ist.

7. Benutzerrollen bedächtig festlegen

Wenn du einen Multi-Autoren-Blog betreibst, solltest du angeben, auf welche Art von Inhalten verschiedene Benutzer zugreifen und diese verwalten können, nachdem sie sich beim Admin-Panel deiner Website angemeldet haben. Zu diesem Zweck kannst du kostenlose WordPress-Plugins verwenden. Einige der hilfreichsten davon sind unten aufgelistet. Diese helfen dir, Benutzerrollen auf deiner Site zuzuweisen und den Zugang zu den relevanten Daten einzuschränken.

Als Administrator deiner Website solltest du den Admin-Benutzernamen so umbenennen, dass Hacker ihn nicht so leicht erraten können, wenn sie versuchen, auf das Admin-Panel deiner Website zuzugreifen.

8. Website-Backups regelmäßig machen 

Deine Website kann über eine 2-Faktor-Authentifizierung und diverse Sicherheits-Plugins installiert haben. Du weißt jedoch nie genau, welche Risiken auf deine Webressource und deinen Webhost lauern können. Deshalb solltest du sicher sein, dass alle Daten und Website-Einstellungen geschützt sind. Dazu sollen regelmäßige Backups der Website ins Spiel kommen. Selbst wenn deine Website abstürzt oder von Betrügern angegriffen wird, kannst du  sie jederzeit mit Hilfe eines Backups wiederherstellen.

9. Durchsickern von Informationen durch Fehlermeldungen nicht zulassen

Die Verwendung von Fehlermeldungen auf deiner Website ist im Hinblick auf die Usability und Benutzerfreundlichkeit gut. Wenn eine Fehlermeldung auf deiner Website aufgegeben wird, achte darauf, dass keine geheimen Daten wie API-Schlüssel, Datenbankpasswörter oder Ähnliches preisgegeben werden. Halte die Fehlerdetails geheim und zeige nur die Daten an, die deine Website-Besuchern kennen sollten. Dadurch machst du dein WordPress widerstandsfähiger gegenüber SQL-Injections.

10. Aktuelle WordPress-Version geheim halten

Hilf den Hackern nicht, dich anzugreifen! Wenn sie die genaue Version der Software kennen, mit der deine Website läuft, werden sie in der Lage sein, den Angriff auf dein Webprojekt vorzubereiten. Um dies zu verhindern, verstecke deine WordPress-Version mit Hilfe der kostenlosen Sicherheitsplugins, die wir weiter vorstellen. Falls deine Website gehackt worden ist, dann verwende Sucuri. Den Download-Link zu diesem Plugin findest du auch in unserer Liste.

Kostenlose Sicherheitsplugins für WordPress

Jetzt ist es an der Zeit, WordPress-Sicherheitsplugins etwas näher unter die Lupe zu nehmen. Auf wordpress.org sind Tausende von Sicherheitsplugins zum Download verfügbar. Wir haben 15 der beliebtesten Lösungen herausgepickt, die das Vertrauen von Millionen von WordPress-Benutzern verdient haben und verschiedene Bereiche deiner Onlinepräsenz schützen können. Lass uns anfangen.

Jetpack

Jetpack ist das All-in-One-Plugin für WordPress. Mit seiner Hilfe kannst du ein einzigartiges Design für deine Website erstellen, sie promoten und schützen wie eine Pro-Lösung. Alle Kernfunktionen sind in der kostenlosen Version der Software enthalten. Dazu gehören mehr als 100 kostenlose Themes, Lazy Loading von Bildern, der Schutz vor Brute-Force-Angriffen, Statistiken und verwandte Inhalte, automatische Veröffentlichung in sozialen Medien und E-Mail-Unterstützung. Wenn du mehr Funktionen benötigst, kannst du dich für eine  Premium-Version entscheiden.

Jetpack ist mehr als nur ein gutes WordPress-Sicherheitsplugin. Es enthält eine Reihe der großartigen Tools zum Schutz vor Malware. Es kommt auch mit kostenlosen WordPress Themes, die ohne Coden angepasst werden können. Es gibt zudem Onlinemarketing-Tools für die Postplanung.

Features:

• Hunderte von Themen für alle Arten von Websites;
• unbegrenztes und schnelles Netzwerk zur Bereitstellung von Inhalten;
• Nachladen von Bildern;
• Integration mit allen wichtigen WordPress-Anwendungen;
• Tools zur Messung, Bewerbung und Monetarisierung;
• Spam-Filterung;
• Echtzeit-Backups;
• Malware- und Code-Scannen;
• Sichere Anmeldungen mit der 20-Faktor-Authentifizierung und anderes mehr.

Preis: kostenlos; Premium-Pläne ab 39$ im Jahr

Wordfence

Wordfence ist eines der beliebtesten WordPress-Sicherheitsplugins mit mehr als 2 Millionen aktiven Installationen. Dabei handelt es sich um eine Open-Source-Lösung, die eine Fülle zuverlässiger Funktionen zum Scannen und Schützen deiner WordPress-Site vor allerlei Malware-Angriffen bietet. Mit der WordPress-Firewall und dem Sicherheitsscanner wird keine der bösartigen IP-Adressen unentdeckt bleiben.

Features:

• Live Traffic überwacht Besuche und Hackversuche, die in anderen Analyseplattformen nicht in Echtzeit angezeigt werden.
• Der Kommentar-Spamfilter ist sowohl in der kostenlosen als auch in der Premium-Version verfügbar.
• Scannt Dateiinhalte, Beiträge und Kommentare, um die Sicherheit der Inhalte auf deiner  Website zu überprüfen.
• Überprüft deine Website und warnt bei Problemen.
• Repariert und überschreibt Dateien, damit sie der Originalversion entsprechen.
• Überprüft, ob deine Website oder IP-Adresse auf eine schwarze Liste wegen böswilliger Aktivitäten gesetzt wurde.

Preis: kostenlos; Premium-Pläne starten ab 29,86$ im Jahr.

MalCare

MalCare ist ein multifunktionales Sicherheits-Plugin, das leistungsstarke Funktionen mitbringt. Seine kostenlose Version bietet zwei grundlegende Optionen. Erstens erhältst du einen Firewall-Schutz. Darüber hinaus verfügt es über einen fortschrittlichen Malware-Scanner. Dank eines dynamischen Algorithmus ist es einfach, komplexe Malware zu finden. Der gesamte Prozess findet auf dedizierten Servern statt. Sogar die kostenlose Version erlaubt das!

Was soll über die kostenpflichtige Version gesagt werden? Sie bietet umfangreiche Sicherheitsfunktionen. Außerdem beinhaltet sie eine Funktion zur sofortigen Löschung von Malware. Es steht den Benutzern frei, Viren auf ihren Websites in einem dreistufigen Verfahren selbst zu entfernen. Dadurch wird die Bearbeitungszeit verkürzt, wodurch das Risiko einer Sperrung von Google Blacklist oder vom Webhosting verringert wird.

Features:

• Offsite-Scanprozess, der weder Server noch Website-Leistung beeinträchtigt;
• Unbegrenzte Scans und Bereinigungen auf Abruf ohne zusätzliche Kosten;
• Eine Cloud-basierte Firewall, die deine Website rund um die Uhr vor Angriffen schützt;
• Ein komplettes Verwaltungsmodul, das die Verwaltung mehrerer Online-Projekte von einem einzigen Dashboard aus ermöglicht;
• Ergänzende Instrumente, die ein integriertes Staging, Website-Härten, Geoblocking, Leistungs- und Betriebszeitüberwachung umfassen.

MalCare verfügt über einen mit 5 Sternen bewerteten 24/7-Kundensupport. Eine Premium-Version beginnt ab 99$ im Jahr. Die Entwickler bieten auch eine kostenlose Testversion an, die alle Optionen zur Verfügung stellt.

Limit Login Attempts

Wie der Name schon andeutet, kannst du mit diesem Plugin die Anzahl der Login-Versuche auf deiner Website sowohl über die normalen Login- als auch über Auth-Cookies begrenzen. Es ist als Standardeinstellung festgelegt, dass WordPress eine unbegrenzte Anzahl von Login-Versuchen der Benutzer auf einer Website zulässt. Dies macht es recht einfach, die bestehenden Benutzer-Passwörter zu knacken. Das Plugin wird es den Betrügern erheblich erschweren, Ihre Website zu hacken, während es die Anzahl der falschen Login-Versuche in das Dashboard Ihres WordPress-Projekts blockiert.

Features:

• Begrenzt die Anzahl der Wiederholungsversuche beim Einloggen (für jede IP);
• Begrenzt die Anzahl der Anmeldeversuche, wenn die Authentifizierungs-Cookies auf die gleiche Weise verwendet werden;
• Informiert den Benutzer über verbleibende Wiederholungsversuche oder Sperrzeit auf der Anmeldeseite;
• Optionale Protokollierung, optionale E-Mail-Benachrichtigung;
• Verarbeitet Server hinter einem Reverse-Proxy.

Preis: kostenlos

iThemes Security

Wenn du dieses Plugin auf deiner Website installierst, erhältst du Zugriff auf mehr als 30 Möglichkeiten, deine WordPress-Site vor jeder Art von Online-Schwachstellen zu schützen. Sobald es installiert und aktiviert ist, wird deine Website automatisch nach möglichen Angriffen und Sicherheitslücken durchsucht. Das stellt sicher, dass alle Inhalte zu 100% geschützt sind. Das Plugin enthält sowohl kostenlose als auch professionelle Funktionen. Wenn du zusätzliche Tools wie 2-Faktor-Authentifizierung, Zeitplanung für das Malware-Scannen, Ablauf des Passworts, Import-/Export-Einstellungen usw. benötigst, kannst du dich für Premium entscheiden. iThemes Security unterstützt den Multi-Site-Modus. Es sperrt auch diejenigen Benutzer, die versucht haben, andere Sites zu kapern. Die automatische Meldung der IP-Adressen, die sich nicht bei deiner Site anmelden konnten, und eine ganze Reihe anderer Sicherheitsfunktionen sind integriert.

Features:

• Verhindert Brute-Force-Angriffe, indem Hosts und Benutzer mit vielen ungültigen Anmeldeversuchen gesperrt werden;
• Scannt deine Website, um sofort zu melden, wo Schwachstellen bestehen, und behebt diese in Sekundenschnelle;
• Bannt lästige Benutzer, Bots und andere Hosts;
• Stärkt die Server-Sicherheit;
• Generiert sichere Passwörter für alle Konten mit einer konfigurierbaren Mindestrolle;
• Setzt SSL für Verwaltungsseiten, Seiten oder Beiträge (auf unterstützenden Servern) ein;
• Verbietet die Dateibearbeitung von dem WordPress-Admin-Bereich aus;
• Erkennt und blockiert zahlreiche Angriffe auf dein Dateisystem und deine Datenbank usw.

Preis: kostenlos; Premium-Pläne ab 80$ im Jahr

All in One WP Security & Firewall

Verwende dieses Plugin, um deiner WordPress-Site zusätzliche Sicherheit zu verpassen und eine Firewall hinzuzufügen. Dies ist ein ultimatives Tool, das dich über aktuelle Sicherheitsstufe deiner Website informiert und auf dem Laufenden hält. Es übernimmt die Kontrolle über alle Aspekte deines Online-Projekts, von den fehlgeschlagenen Anmeldeversuchen bis hin zu den Datenbankproblemen. Wenn immer etwas schief geht, erhält der Site-Administrator eine automatische Benachrichtigung.

Features:

• Sicherheit von Benutzerkonten;
• Sicherheit der Benutzeranmeldung;
• Sicherheit der Benutzerregistrierung;
• Sicherheit der Datenbank;
• Sicherheit des Dateisystems;
• Sicherung und Wiederherstellung von HTACCESS- und WP-CONFIG.PHP-Dateien;
• Blacklist-Funktionalität.

Preis: kostenlos

Sucuri Scanner

Das Plugin ist für alle WordPress-Benutzer kostenlos, bietet jedoch einige Premium-Funktionen. Dabei handelt es sich um das weltweit anerkannte Sicherheitsplugin für WordPress, das eine Reihe von Pro-Features bietet, die eine bestehende Website ergänzen.

Features:

• Audit von Sicherheitsaktivitäten
• Überwachung der Dateiintegrität
• Remote-Malware-Überprüfung
• Blacklist-Überwachung
• Effektives Sicherheitshärtung
• Post-Hack-Sicherheitsmaßnahmen
• Sicherheitsbenachrichtigungen
• Website-Firewall (Premium)

Preis: kostenlos, mit Premium-Funktionen

ManageWP Worker

The Worker ist eine Multi-Site-Lösung, mit deren Hilfe sich Dutzende von Online-Projekten von einem einzigen Ort aus verwalten lassen. Das Plugin soll dir helfen, Arbeitsabläufe zu automatisieren und dich besser auf die Erledigung der wichtigsten Aufgaben zu konzentrieren. Dies ist eine schnelle, sichere und kostenlose Lösung, mit der du eine unbegrenzte Anzahl von Websites  verwalten kannst.

Features:

• Massenaktionen;
• funktionierende Cloud-Sicherung;
• sichere Updates;
• Client-Unterstützung;
• Integration von Google Analytics;
• Leistungs- und Sicherheitsprüfungen;
• Uptime-Überwachung;
• Klonen und Migrieren, etc.

Preis: kostenlos, mit Premium-Funktionen

Bulletproof Security

Bulletproof Security ist eine Open-Source-Software, die für den smarten Schutz deiner WordPress-Site verantwortlich ist. Sie ist kostenlos und bietet dennoch Premium-Funktionen. Bulletproof Security lässt sich mit Hilfe eines Setup-Assistenten mit wenigen Klicks installieren. Mit diesem Plugin erhältst du die sichere Login-Überwachung, erweiterte Frontend- und Backend-Wartungsmodi, UI-Skin-Wechsler usw. Dir stehen 3 Skins zur Auswahl. 

Features:

• Setup-Assistent AutoFix;
• MScan Malware-Scanner;
• .htaccess Website-Sicherheitsschutz (Firewalls);
• Versteckte Plugin-Ordner|Dateien Cron (HPF);
• Login-Sicherheit & Überwachung;
• JTC-Lite (Eingeschränkte Version von BPS Pro JTC Anti-Spam|Anti-Hacker)
• Abmeldung von Leerlaufsitzungen (ISL)
• Auth Cookie-Ablauf (ACE)
• DB Backup.

Preis: kostenlos, mit Premium-Funktionen

Cerber Security & Antispam

Der Zweck dieses Plugins ist es, deine WordPress-Seite vor den Brute-Force-Angriffen zu schützen. Es begrenzt die Anzahl der fehlgeschlagenen Login-Versuche. Die Benutzer- und Eindringlingsaktivitäten werden mit Hilfe der E-Mail-/Mobil-/Desktop-Benachrichtigungen verfolgt, wenn eine verdächtige Aktivität bemerkt wird.

Features:

• Beschränkt Anmeldeversuche beim Einloggen nach IP-Adresse oder gesamtem Subnetz.
• Überwacht Anmeldungen, die über Anmeldeformulare, XML-RPC-Anfragen oder Auth-Cookies stattfinden.
• Protokolliert Benutzer, Bots, Hacker und andere verdächtige Aktivitäten.
• Benachrichtigungen mit leistungsstarken Ereignisfiltern.
• Sofortige Blockierung einer IP oder eines Subnetzes, wenn versucht wird, sich mit einem nicht existierenden oder verbotenen Benutzernamen anzumelden.
• Einschränkung der Benutzerregistrierung oder Anmeldung mit einem Benutzernamen, der dem REGEX-Muster entspricht.
• Deaktiviert die WP REST API oder beschränkt den Zugriff auf Sicherheitsregeln.

Preis: kostenlos

WP Security Audit Log

Das Plugin bietet dir die vollständige Kontrolle über alle Aktionen, die auf deiner Website stattfinden. Es unterstützt die Multisite-Funktion von WordPress, mit der du ein Audit-Protokoll über alle Vorgänge auf deinen WordPress-Projekten führen kannst. Das Tool speichert explizite Informationen über die ID-Adresse, von der aus ein Benutzer auf die Site zugegriffen hat, die Benutzerrollen, die von ihm durchgeführten Aktionen usw. Die Überwachung der Benutzeraktivitäten in Echtzeit ist enthalten, um zu zeigen, was auf deiner Site momentan geschieht.

Features:

• Post-, Seiten- und benutzerdefinierte Posttyp-Änderungen;
• Änderungen an Tags und Kategorien;
• Änderungen bei Widgets und Menüs;
• Benutzerprofil-Änderungen;
• Benutzeraktivitäts-Sitzungen;
• Änderungen von WordPress-Kern und -Einstellungen;
• Änderungen am WordPress-Netzwerk für mehrere Standorte;
• Änderungen an Plugins und Themes;
• Änderungen an der WordPress-Datenbank usw.

Preis: kostenlos, Premium-Pläne ab 89$ für eine Single-Site-Lizenz

WordPress Backup & Security Plugin

Das Backup- und Sicherheits-Plugin von BlogVault stellt sicher, dass deine  WordPress-Ressource vollständig vor Online-Malwares geschützt ist. Dank der regelmäßigen Backups, die in der Cloud gespeichert werden, hast du jederzeit Zugriff auf alle essentiellen  Daten. Das Plugin stellt auch WooCommerce-Backups zur Verfügung, was besonders für die datenintensiven Webprojekte nützlich ist.

Features:

• Automatische tägliche und Echtzeit-Backups
• 365-Tage-Sicherungshistorie
• Sicherung in Cloud & Dropbox
• Automatische Tages- und Echtzeit-Scans
• Malware-Entfernung mit einem Klick
• Durchführen von Theme- und Plugin-Updates
• Migrationen mit einem Klick

Preis: kostenlos, Premium-Pläne beginnen ab 89$ im Jahr

User Role Editor

Mit diesem Plugin kannst du Benutzerrollen auf deiner Site ändern (außer Administrator). Du kannst mit wenigen Klicks neue Rollen zuweisen und ihre Fähigkeiten anpassen. Wenn es Rollen gibt, die keinem der Benutzer zugeordnet sind, kannst du diese einfach entfernen. Dem gleichen Benutzer können mehrere Rollen gleichzeitig zugewiesen werden. Unterstützung für mehrere Websites ist ebenfalls enthalten.

Features:

• Ausgewählte Admin-Menüpunkte für eine Rolle blockieren.
• Ausblenden ausgewählter Front-End-Menüpunkte für nicht angemeldete Besucher, angemeldete Benutzer, Rollen.
• Ausgewählte Widgets im Menü "Aussehen" für eine Rolle blockieren.
• Anzeigen von Widgets im Front-End für ausgewählte Rollen.
• Ausgewählte Meta-Boxen (Dashboard, Beiträge, Seiten, benutzerdefinierte Beitragstypen) für eine Rolle blockieren.
• Modul "Exportieren/Importieren" usw.

Preis: kostenlos, Premium-Pläne ab 29$ im Jahr.

Login Lockdown

Das Plugin zeichnet die IP-Adressen und den Zeitstempel aller fehlgeschlagenen Login-Versuche auf deiner Website auf. Falls eine bestimmte Anzahl von fehlgeschlagenen Login-Versuchen stattfindet, die innerhalb eines kurzen Zeitraums aus demselben IP-Bereich erfolgten, deaktiviert es automatisch alle Anfragen aus diesem Bereich. Die IP-Sperre kann über das Administrationspanel abgewickelt werden. Spezifische IP-Adressen können auch manuell freigegeben werden.

Features:

• Verfolgung der Anmeldeversuche der Website;
• Aufzeichnung fehlgeschlagener Login-Versuche;
• IP-Bereich blockieren;
• manuelle Freigabe von IP-Adressen.

Preis: kostenlos

BBQ: Block Bad Queries

Das Plugin soll deine Website vor böswilligen URL-Anfragen schützen. Das Tool überprüft den gesamten eingehenden Datenverkehr, um die bösartigen Anfragen zu erfassen und so deine WordPress-Site sicher zu halten.

Features:

• Starke Firewall-Sicherheit;
• Plug-n-Play-Funktionalität;
• Keine Konfiguration erforderlich;
• Funktioniert mit SSL/HTTPS;
• Funktioniert auf jedem WP-kompatiblen Server;
• .htaccess NICHT erforderlich.

Zusätzliche Funktionen sind im Premium-Plan enthalten.

Preis: kostenlose & Pro-Versionen verfügbar

Google Authenticator

Mit diesem Plugin implementierst du die zweistufige Authentifizierung in deine WordPress-Site, indem du die Google Authenticator-Anwendung für Android/iPhone/BlackBerry verwendest. Die 2-Faktor-Authentifizierung kann für einzelne Nutzer (z. B. für den Site-Administrator) aktiviert werden.

Features:

• Zwei-Faktor-Authentifizierung pro Benutzer;
• Android-, iPhone- und BlackBerry-kompatibel.

Preis: kostenlos

Checkliste zur Sicherheit deiner WordPress-Website

Nach all dem, was gesagt wurde, lass uns mal Schlüsse ziehen. WordPress ist im Grunde genommen ziemlich sicher. Du solltest jedoch immer auf jede Art von Sicherheitsproblemen vorbereitet sein. Um nachts gut schlafen zu können und zu 100% sicher zu sein, dass es mit deiner Website alles in Ordnung ist, wirf einen Blick auf die folgende Checkliste. Sorge dafür, dass diese Punkte umgesetzt werden oder füge ein Lesezeichen für diese Seite hinzu, um nichts zu verpassen.

• Beschränke den Zugriff auf die wertvollen und anfälligen Daten. Beschränke den administrativen Zugriff auf das Backend deiner Website und reduziere gleichzeitig die Anzahl der möglichen Einstiegspunkte auf ein Minimum.
• Installiere nur Anwendungen und Erweiterungen, die du wirklich auf der Site brauchst. Lösche alle unnötigen Installationen.
• Erstelle regelmäßig Backups deiner Website. Damit nichts verlorengeht, verwende vertrauenswürdige WordPress-Sicherheitsplugins, die den Inhalt deiner Website regelmäßig sichern. Auf diese Weise kannst du alle Elemente, Einstellungen und Inhalte wiederherstellen, falls die Website beschädigt oder gehackt wird.
• Verwende die neueste Version von WordPress und aktualisiere alle Elemente regelmäßig. Bleibe mit der WordPress-Community auf dem Laufenden.
• Lade Themes und Plugins aus den vertrauenswürdigen Quellen herunter. Download deine WordPress-Installation nirgendwo anders als von wordpress.org.
• Überwache deine Website und das Verhalten deren Besucher.
• Schütze die Login- und Admin-Panels deiner Website und blockiere gleichzeitig jede Art von verdächtigen Aktivitäten.
• Wähle den Webhost mit Bedacht aus. Gemeinsames Webhosting ist vielleicht die billigste, aber kaum die sicherste Lösung für deine Website.

Was hältst du von unseren Tipps und Empfehlungen? Möchtest du wohl weitere hilfreiche Plugins zur WordPress-Sicherheit vorschlagen? Bitte teile uns diese gern in Kommentaren mit!

Du kannst diesen Beitrag in der Originalversion auf dem englischen Blog von TemplateMonster lesen.

Lies mehr zum Thema

Effektive Sicherheitsmaßnahmen für WordPress

5 Tipps zum Serverumzug meiner WordPress-Website

Tutorial: So fügst du das Schema-Markup zu deiner WordPress-Website hinzu