WordPress gegen Hacker absichern – Zwei elementare Entscheidungen
Entscheidung 1 – Der richtige Hoster
Die wenigsten Webhoster sind auf DDoS Attacken und der daraus resultierenden Datenüberflutung vorbereitet. Ergebnis: Deine Website ist nicht mehr erreichbar, da der Server die hohen Besucheranfragen nicht mehr beantworten kann. Hinzu kommen schlecht konfigurierte Server und nicht isolierte Umgebungen. Letzteres trifft auf Webhosting-Pläne oder Shared-Server zu. Immer dann, wenn du dir den Server mit anderen Kunden des Hosters teilst, kann es viele Einfallstore geben.
41% der gehackten WordPress-Seiten hätten laut WpTemplate durch einen besseren Hoster vermieden werden können!
Ich persönlich würde mich für größere Hostingdienste entscheiden. Meinen Webspace hole ich bei All-Inkl.com und unsere Managed Server sind bei Hetzner.
Entscheidung 2 – Die richtigen PlugIns
PlugIns sind ein echtes Sicherheitsrisiko. Eine Studie von Wordfence kommt zum Ergebnis, dass die meisten Hacker Angriffe (55,9%) über Sicherheitslücken in PlugIns kommen. Du solltest bei der Auswahl immer darauf achten, dass die PlugIns vom Developer regelmäßig geupdatet werden. Deshalb setzen wir ausschließlich auf beliebte PlugIns mit einer ausgezeichneten Update-Historie.
Veraltete WordPress Versionen waren bei 36,7% der Webseiten der Erfolgsgarant für Hacker.
Kostenpflichtige Erweiterungen und Themes sind zu empfehlen. Achte auch auf die Entwickler hinter den PlugIns. Wird das PlugIn von einer Firma herausgebracht, so ist die Chance auf regelmäßige Updates sehr hoch.
Sucuri vs. Wordfence
Ich vergleiche zwei Sicherheitslösungen für dich. Beide Dienste verfügen über ein kostenpflichtiges Abomodell, wobei Wordfence in vielen Funktionen bereits kostenlos ist.
WordPress gegen DDoS absichern
DDoS – Kurz und knapp erklärt
Hinter Distributed-Denial-of-Service, kurz DDoS verbirgt sich ein Angriff auf deine IT Infrastruktur. Die Kriminellen feuern von verschiedenen Rechnern gleichzeitig Anfragen auf deine Website ab. Zum Beispiel werden über einen Zeitraum von 48 Stunden jede Sekunde tausende Bots auf deine WordPress-Seite geschickt. Der Hoster wird durch diese Handlung in die Knie gezwungen und deine Website ist für die echten Besucher nicht mehr erreichbar. Das Ziel der Cyber-Kriminellen liegt in der Nichtverfügbarkeit deines Online Shops oder deiner Dienstleistungsseite. Dir entgehen dadurch Umsätze, du verlierst wiederkehrende Benutzer und am Ende werden auch deine Google Rankings einbrechen.
Sucuri gegen DDos-Attacken einsetzen?
Sucuri bietet mit seiner Firewall einen wirksamen Schutz gegen DDoS-Angriffe. Dank der cloudbasierten Lösung verrichtet der Service auch unter schärfsten „Beschuss“ weiterhin seine Arbeit.
Der Schutz und die Erkennung von DDoS Attacken ist bereits beim kleinsten Packet inklusive.
Wordfence gegen DDos-Attacken einsetzen?
Die Firewall von Wordfence befindet sich lokal auf deinen Server. Das hat sowohl Vorteile als auch Nachteile. Zum einen können tiefere Scans auf dem Server durchgeführt werden und zum anderen eine End-To-End-Verschlüsslung geboten. Gleichzeitig ist die lokale Installation auf deinem Server der größte Nachteil. Wird dein Server Opfer einer DDoS-Attacke, dann überfordern die vielen Anfragen den Server. Das lokale Sicherheits-PlugIn kann nicht arbeiten und dir dadurch keinen wirksamen Schutz mehr bieten. Dieser Fall tritt nur bei einer Flut an bösartigen Traffic auf. Wordfence bietet bis zu einem gewissen Grad und in Abhängigkeit von deinen Server-Ressourcen einen elementaren Schutz durch die kostenlose Web Application Firewall, kurz WAF.
WordPress gegen Malware absichern
Malware – Kurz und knapp erklärt
Es handelt sich um Schadsoftware (Viren, Trojaner, Würmer…), die auf den Server deines Hosters von Kriminellen installiert werden. Häufig wechseln Hacker nach einer Infizierung des Servers die Links auf den Seiten aus oder bauen neue ein. Im Footer findest du dann Links zu unseriösen Seiten. Es können allerdings auch sensible Daten abgegriffen werden.
Sucuri gegen Malware einsetzen?
Als Kunde von Sucuri kannst du Malware beliebig oft von deiner Seite entfernen lassen. Das ist bereits im Basic-Paket für 199 Dollar im Jahr mit einbegriffen. Die Antwortzeit auf ein Ticket beläuft sich im Grundpaket bei 30 Stunden. Wer 499 Euro im Jahr bezahlen kann, der erhält bereits nach 6 Stunden eine Antwort. Auch die Sicherheitsscans werden im Business-Paket deutlich öfter durchgeführt. Alle 12 Stunden vs. alle 30 Minuten macht einen großen Unterschied.
Wordfence gegen Malware einsetzen?
Die Entfernung von Malware kostet bei Wordfence pro Auftrag, während bei Sucuri im Premium-Modell beliebig oft auf den Entfernungsservice gesetzt werden kann. Der Malware-Scanner von Wordfence ist sehr gut.
WordPress gegen Datenveränderungen absichern
Dateiintegrität – Kurz und knapp erklärt
WordPress greift auf diverse Dateien auf dem Server zurück. Über sogenannte Backdoors versuchen die Hacker die Basisdateien zu verändern und mit unerwünschten Code zu befüllen. Durch die Überwachung der Dateiintegrität erhältst du in Echtzeit eine Benachrichtigung, wenn gerade eine Datei verändert wurde. Klassische Hintertüren sind fehlerhafte Themes und Plugins, schwache Dateiberechtigungen, keine Firewall und nicht geupdatete Plugins & WordPress-Installationen.
Sucuri für Datenintegrität einsetzen?
Sobald eine Kerndatei verändert wird, informiert dich Sucuri darüber. Anschließend kannst du die Originaldatei wieder herstellen.
Wordfence für Datenintegrität einsetzen?
Das PlugIn warnt dich, wenn Dateien verändert wurden. Dabei werden selbst kleinste neue Textbausteine erkannt und mit den bekannten Malware-Texten abgeglichen.
Fazit zu WordPress gegen Hacker absichern
Auch mir ist es schon passiert, dass eine Website von mir gehackt und lahmgelegt wurde. Die Kriminellen wollten von mir damals mehrere Bitcoins erpressen. Ich hatte damals Glück, denn zum Zeitpunkt der Attacke handelte es sich um ein Testsystem. Paranoid musst du jetzt zwar nicht werden, aber die richtige Auswahl des Hosters, der PlugIns und des Themes sind ein erster Schritt in Richtung Sicherheit. Hängt deine Existenz an deinem Webprojekt, würde ich immer auf eine Sicherheitslösung setzen. Oftmals sparen Kunden am falschen Ende, was ihnen irgendwann auf die Füße fällt.
Die Lösungen von Sucuri finden bei uns Anwendung. Für den kostenlosen Gebrauch würde ich auf Wordfence setzen.