Inhaltsverzeichnis

WordPress gegen Hacker absichern + 2 Security PlugIns

Laut Hacked Website Report entfielen 77% der insgesamt untersuchten 7685 Cyberangriffe auf Webseiten mit dem beliebten CMS WordPress. Klingt ziemlich unsicher – FINGER WEG! Ganz so einfach ist es dann doch nicht. Gemessen an den Marktanteilen gehört WordPress weiterhin zu den sichersten CMS überhaupt. Dennoch ist Vorsicht besser als Nachsicht. In diesem Artikel erkläre ich dir, wie du deine WordPressseite gegen Hacker absicherst. Einen 100% Schutz gibt es zwar nie, aber ein Versuch ist es wert. Neben einigen Erklärungen, stelle ich dir konkrete PlugIns vor.

Wordpress gegen Hacker absichern
Der Hoster war bei 41% der infizierten WordPress Seiten das Einfallstor

WordPress gegen Hacker absichern – Zwei elementare Entscheidungen

Entscheidung 1 – Der richtige Hoster

Die wenigsten Webhoster sind auf DDoS Attacken und der daraus resultierenden Datenüberflutung vorbereitet. Ergebnis: Deine Website ist nicht mehr erreichbar, da der Server die hohen Besucheranfragen nicht mehr beantworten kann. Hinzu kommen schlecht konfigurierte Server und nicht isolierte Umgebungen. Letzteres trifft auf Webhosting-Pläne oder Shared-Server zu. Immer dann, wenn du dir den Server mit anderen Kunden des Hosters teilst, kann es viele Einfallstore geben.

41% der gehackten WordPress-Seiten hätten laut WpTemplate durch einen besseren Hoster vermieden werden können!

Ich persönlich würde mich für größere Hostingdienste entscheiden. Meinen Webspace hole ich bei All-Inkl.com und unsere Managed Server sind bei Hetzner.

Entscheidung 2 – Die richtigen PlugIns

PlugIns sind ein echtes Sicherheitsrisiko. Eine Studie von Wordfence kommt zum Ergebnis, dass die meisten Hacker Angriffe (55,9%) über Sicherheitslücken in PlugIns kommen. Du solltest bei der Auswahl immer darauf achten, dass die PlugIns vom Developer regelmäßig geupdatet werden. Deshalb setzen wir ausschließlich auf beliebte PlugIns mit einer ausgezeichneten Update-Historie.

Veraltete WordPress Versionen waren bei 36,7% der Webseiten der Erfolgsgarant für Hacker.

Kostenpflichtige Erweiterungen und Themes sind zu empfehlen. Achte auch auf die Entwickler hinter den PlugIns. Wird das PlugIn von einer Firma herausgebracht, so ist die Chance auf regelmäßige Updates sehr hoch.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Sucuri vs. Wordfence

Ich vergleiche zwei Sicherheitslösungen für dich. Beide Dienste verfügen über ein kostenpflichtiges Abomodell, wobei Wordfence in vielen Funktionen bereits kostenlos ist.

WordPress gegen DDoS absichern

DDoS – Kurz und knapp erklärt

DDoS

Hinter Distributed-Denial-of-Service, kurz DDoS verbirgt sich ein Angriff auf deine IT Infrastruktur. Die Kriminellen feuern von verschiedenen Rechnern gleichzeitig Anfragen auf deine Website ab. Zum Beispiel werden über einen Zeitraum von 48 Stunden jede Sekunde tausende Bots auf deine WordPress-Seite geschickt. Der Hoster wird durch diese Handlung in die Knie gezwungen und deine Website ist für die echten Besucher nicht mehr erreichbar. Das Ziel der Cyber-Kriminellen liegt in der Nichtverfügbarkeit deines Online Shops oder deiner Dienstleistungsseite. Dir entgehen dadurch Umsätze, du verlierst wiederkehrende Benutzer und am Ende werden auch deine Google Rankings einbrechen.

Sucuri gegen DDos-Attacken einsetzen?

Sucuri bietet mit seiner Firewall einen wirksamen Schutz gegen DDoS-Angriffe. Dank der cloudbasierten Lösung verrichtet der Service auch unter schärfsten „Beschuss“ weiterhin seine Arbeit.

Der Schutz und die Erkennung von DDoS Attacken ist bereits beim kleinsten Packet inklusive.

Wordfence gegen DDos-Attacken einsetzen?

Die Firewall von Wordfence befindet sich lokal auf deinen Server. Das hat sowohl Vorteile als auch Nachteile. Zum einen können tiefere Scans auf dem Server durchgeführt werden und zum anderen eine End-To-End-Verschlüsslung geboten. Gleichzeitig ist die lokale Installation auf deinem Server der größte Nachteil. Wird dein Server Opfer einer DDoS-Attacke, dann überfordern die vielen Anfragen den Server. Das lokale Sicherheits-PlugIn kann nicht arbeiten und dir dadurch keinen wirksamen Schutz mehr bieten. Dieser Fall tritt nur bei einer Flut an bösartigen Traffic auf. Wordfence bietet bis zu einem gewissen Grad und in Abhängigkeit von deinen Server-Ressourcen einen elementaren Schutz durch die kostenlose Web Application Firewall, kurz WAF.

Gehackte Plattformen 2016
Bild: Auf den ersten Blick schaut WordPress recht unsicher aus. Ein Großteil der Infektionen entfielen auf WordPress. Gemessen am Marktanteil relativiert sich die Zahl deutlich. WordPress hat mit über 60% den größten Marktanteil.

WordPress gegen Malware absichern

Malware – Kurz und knapp erklärt

Malware kurz erklärt

Es handelt sich um Schadsoftware (Viren, Trojaner, Würmer…), die auf den Server deines Hosters von Kriminellen installiert werden. Häufig wechseln Hacker nach einer Infizierung des Servers die Links auf den Seiten aus oder bauen neue ein. Im Footer findest du dann Links zu unseriösen Seiten. Es können allerdings auch sensible Daten abgegriffen werden.

Sucuri gegen Malware einsetzen?

Als Kunde von Sucuri kannst du Malware beliebig oft von deiner Seite entfernen lassen. Das ist bereits im Basic-Paket für 199 Dollar im Jahr mit einbegriffen. Die Antwortzeit auf ein Ticket beläuft sich im Grundpaket bei 30 Stunden. Wer 499 Euro im Jahr bezahlen kann, der erhält bereits nach 6 Stunden eine Antwort. Auch die Sicherheitsscans werden im Business-Paket deutlich öfter durchgeführt.  Alle 12 Stunden vs. alle 30 Minuten macht einen großen Unterschied.

Wordfence gegen Malware einsetzen?

Die Entfernung von Malware kostet bei Wordfence pro Auftrag, während bei Sucuri im Premium-Modell beliebig oft auf den Entfernungsservice gesetzt werden kann. Der Malware-Scanner von Wordfence ist sehr gut.

WordPress gegen Datenveränderungen absichern

Dateiintegrität – Kurz und knapp erklärt

WordPress greift auf diverse Dateien auf dem Server zurück. Über sogenannte Backdoors versuchen die Hacker die Basisdateien zu verändern und mit unerwünschten Code zu befüllen. Durch die Überwachung der Dateiintegrität erhältst du in Echtzeit eine Benachrichtigung, wenn gerade eine Datei verändert wurde. Klassische Hintertüren sind fehlerhafte Themes und Plugins, schwache Dateiberechtigungen, keine Firewall und nicht geupdatete Plugins & WordPress-Installationen.

Sucuri für Datenintegrität einsetzen?

Sobald eine Kerndatei verändert wird, informiert dich Sucuri darüber. Anschließend kannst du die Originaldatei wieder herstellen.

Wordfence für Datenintegrität einsetzen?

Das PlugIn warnt dich, wenn Dateien verändert wurden. Dabei werden selbst kleinste neue Textbausteine erkannt und mit den bekannten Malware-Texten abgeglichen.

Fazit zu WordPress gegen Hacker absichern

Auch mir ist es schon passiert, dass eine Website von mir gehackt und lahmgelegt wurde. Die Kriminellen wollten von mir damals mehrere Bitcoins erpressen. Ich hatte damals Glück, denn zum Zeitpunkt der Attacke handelte es sich um ein Testsystem. Paranoid musst du jetzt zwar nicht werden, aber die richtige Auswahl des Hosters, der PlugIns und des Themes sind ein erster Schritt in Richtung Sicherheit. Hängt deine Existenz an deinem Webprojekt, würde ich immer auf eine Sicherheitslösung setzen. Oftmals sparen Kunden am falschen Ende, was ihnen irgendwann auf die Füße fällt.

Die Lösungen von Sucuri finden bei uns Anwendung. Für den kostenlosen Gebrauch würde ich auf Wordfence setzen.

Marco Möschter
Vor über zehn Jahren habe ich meinen ersten Backlink im Auftrag eines Kunden gesetzt. Linkbuilding hat mich seitdem nicht mehr losgelassen und ich bin Stolz darauf, dass ich Geschäftsführer einer der ältesten Linkbuildingagenturen in Deutschland bin und gleichzeitig die Verantwortung für einen der ersten Linkmarktplätze trage. Mit Ranksider habe ich mir einen Traum erfüllt. Unsere Kunden können zu jeder Uhrzeit den Marktplatz durchstöbern und aus einer Vielzahl von Linkquellen auswählen. Das wichtigste: Zu fairen Preisen. Neben meiner Leidenschaft zur digitalen PR bin ich fürsorglicher Vater und treibe gerne Sport. Dabei bekomme ich einen klaren Kopf und kann mit aufgeladenen Akku Ranksider mit meinem Team nach vorne bringen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert