Eine gehackte Website kann viel Schaden anrichten. Wie bei allen Systemen, die für die Nutzung im Web ausgelegt sind, ist Sicherheit auch bei WordPress ein wichtiges Thema. Der Markt bietet einige Plugins, die die Sicherheit einer WordPress Website erhöhen sollen. Das bei weitem am beliebteste ist Wordfence. Was Wordfence kann und wie das Security Plugin konfiguriert wird, erfährst du in diesem Beitrag.
Was ist Wordfence Security?
Mit mehr als 22 Millionen Downloads ist Wordfence Security das bei weitem beliebteste WordPress Sicherheits-Plugin. Wordfence taucht tief in das System ein, scannt die Website auf Schwachstellen, benachrichtigt den Anwender bei verdächtigen Aktivitäten per Email, bietet erweiterte Login-Sicherheitsmaßnahmen und vieles mehr. Das Plugin ist grundsätzlich kostenlos. Wer jedoch auf erweiterte Features setzen möchte, der kann die kostenpflichte Premium-Version in Betracht ziehen.
Einrichten des Wordfence Security Plugins
Als erstes müssen wir das Sicherheits-Plugin installieren und aktivieren. Wie das im Detail funktioniert, haben wir in unserem Leitfaden zur Installation von Plugins mit WordPress, zusammengetragen. Sobald das Plugin aktiviert wurde, erscheint folgende Benachrichtigung auf deinem Dashboard:
Wie weiter oben erwähnt, wird Wordfence euch über verdächtige Aktivitäten auf eurer Website benachrichtigen. Um zukünftig Sicherheitsmeldungen zu erhalten, könnt ihr eure E-Mail-Adresse in das dafür vorgesehene Feld eingeben, und mit einem Klick auf Get Alerted bestätigen. Darüber hinaus habt ihr die Möglichkeit den Wordfence Newsletter zu abonnieren. Wer das nicht möchte, sollte auf das Kontrollkästchen klicken, um den blauen Haken zu entfernen.
Konfiguration des Wordfence Security Plugins
Mit der Installation ist es noch nicht ganz getan. Wordfence will konfiguriert werden. Unsere erste Station ist das Wordfence Dashboard, welches wir über den neu hinzugefügten Reiter (Wordfence > Dashboard) erreichen. Hier finden wir alle möglichen Dinge rund um Wordfence und die Sicherheit unserer Website.
Dem Dashboard könnt ihr entnehmen, welche Wordfence-Funktionen aktiviert sind, wie viele Angriffe blockiert wurden, die Anzahl der Logins, blockierte IPs und aus welchem Land attackiert wurde (falls attackiert wurde). Diese Informationen sind für uns besonders relevant, da wir daraus notwendige Sicherheitsmaßnahmen ableiten können.
Schritt 1: Website Scannen mit Wordfence
Um unsere Website auf mögliche Sicherheitslücken zu überprüfen, navigieren wir vom Dashbord zu Wordfence > Scan. Starten wir den Wordfence Scan, prüft das Plugin unsere Website auf mögliche Sicherheitslücken. Wir können uns das ähnlich wie bei einem Computer vorstellen, den wir mit einem Anti-Virus Programm scannen.
Sobald wir auf den Button klicken, startet der Sicherheits-Scan. Dabei prüft das Plugin ob sich unbekannte Dateien in den WordPress Ordnern befinden und prüft die vorhandenen auf mögliche Veränderungen. Darüber hinaus sucht Wordfence gezielt nach Kommentaren mit unsicheren URLs oder ausstehenden Updates.
Sollten der Scan-Prozess mögliche Probleme erkennen, wird euch das Plugin Lösungsvorschläge anbieten. Ihr könnt die betroffene Datei löschen, in den ursprünglichen Zustand versetzen oder aber, das Problem schlichtweg ignorieren. Das ergibt beispielsweise dann Sinn, wenn ihr die Datei bewusst verändert habt. Das Löschen einer Datei, kann dazu führen, dass die Website nicht mehr aufrufbar wird. Folglich solltet ihr das nur tun, wenn ihr damit vertraut seid und das Risiko einschätzen könnt.
Schritt 2: Login-Versuche begrenzen
Bei sogenannten Brute-Force-Angriffen versuchen Hacker, durch automatisiertes Ausprobieren, an Zugangsdaten zu gelangen. Hierbei werden verschiedenste Kombinationen von Benutzernamen und Passwörtern verwendet, um sich in ein System zu loggen. Damit es hacker möglichst schwer haben, solltest du auf komplexe Zugangsdaten für deinen Blog setzen. Wie du deinen Benutzernamen und das Passwort änderst, haben wir in unserem Artikel zur WordPress Sicherheit bereits beschrieben. Darüber hinaus erscheint es sinnvoll die möglichen Login-Versuche zu begrenzen. Hierfür gehen wir zu Wordfence > Options und scrollen nach fast ganz unten bis zum Punkt Login Security Options.
Die von Wordfence vorgegebenen Einstellungen sind im Grunde recht solide. Es können 20 Login-Versuche innerhalb von 5 Minuten getätigt werden, bis ein Benutzer systemseitig geblockt wird. Da bei Brute-Force-Angriffen in der Regel alle paar Sekunden Login-Versuche gesendet werden, sollten hier die 20 Versuche in weit unter 5 Minuten erreicht sein. Wer ganz auf Nummer Sicher gehen möchte, der kann die möglichen Login-Versuche auf 10 reduzieren.
Schritt 3: Firewall optimieren
Ein weiteres und wichtiges Sicherheits-Feature ist die Wordfence Firewall. Wir finden sie unter Wordfence > Firewall.
Das Ziel der Firewall ist es, unerwünschte Besucher auszufiltern, damit diese nicht auf die Website gelangen. Anfangs empfiehlt das Sicherheits-Plugin, die Firewall im Lernmodus zu halten, welcher standardmäßig bereits aktiviert ist. Auf diese Weise lernt das System etwas über unsere Website und dessen Besucher. Dies ist notwendig, damit das Plugin „gute“ von „schlechten“ Besuchern trennen kann. In der Premium-Version werden die Regeln in Echtzeit aktualisiert, während bei der kostenlosen Version alle 30 Tage aktualisiert werden. Nach einer Woche schaltet Wordfence den Lernmodus automatisch wieder ab und wendet die erlernten Regeln an.
WordPress Website schützen mit dem Wordfence Security Plugin – Fazit
Wordfence bietet auch in der kostenlosen Version viele Features, um Hacker in Schach zu halten. Mit solch einer umfangreichen Feature-Liste stellt sich jedoch die Frage, wie einfach das Plugin zu bedienen ist. Da die WordPress Sicherheit ein an sich komplexes Thema darstellt, benötigt man ein grundlegendes Verständnis für die Art und Weise wie Hacker arbeiten. Nur so lässt sich das Plugin wirklich konfigurieren. Was wir gut finden ist, dass jede Einstellung und die damit verbundene Auswirkung erklärt wird. So lassen sich zumindest die Grundlagen mit ein wenig Fleiß schnell aufarbeiten. Zudem liefern die bereits vorgegebenen Einstellungen einen soliden Schutz, sodass bereits nach der alleinigen Installation ein Schutz vor unerwünschten Zugriffen besteht.
Ist Wordfence zurecht das beliebteste WordPress Sicherheits-Plugin? Was denkst du darüber? Wenn ihr Wordfence nutzt, würden wir gerne wissen, welche Erfahrungen ihr damit gemacht habt. Schreibt es in die Kommentare!
Kommentare