Mit dem Wissen, nicht jedes Plugin oder Theme blind zu installieren, können wir uns nun einige Plugins aussuchen, die durchaus positiv für die Sicherheit sind, obwohl sie zusätzlichen Code mitbringen.

Two-Factor

Download: https://de.wordpress.org/plugins/two-factor/

Two-Factor fügt einen zweiten Faktor zum Login dazu. Neben Benutzername und Passwort benötigt man damit noch eine zusätzliche sechsstellige Zahlenfolge, die man sich beispielsweise über eine Smartphone-App generiert. Alle 30 Sekunden wird hierbei eine neue Zahlenfolge generiert und die alte wird unbrauchbar.
Damit verbindet man etwas, das man weiß (hier: Benutzername und Passwort) mit etwas, das man besitzt (hier: das Smartphone). Ein gewöhnlicher Bruteforce-Angriff, bei welchem beliebige Kombinationen aus Benutzernamen und Passwörtern ausprobiert wird, ist dann immer erfolglos, selbst wenn diese Daten korrekt sind.

Limit Login Attempts Reloaded

Download: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/

Limit Login Attempts beschränkt die Anzahl der möglichen Login-Versuche, wenn diese nicht erfolgreich sind. Wurde eine bestimmte Anzahl an Login-Versuchen erreicht, die nicht erfolgreich waren, ist danach überhaupt kein Login mehr möglich, auch wenn man korrekte Daten kennt.

Ebenso wie Two-Factor hilft das bei einem Bruteforce-Angriff, jedoch auf eine andere Art und Weise.

Antispam Bee

Download: https://de.wordpress.org/plugins/antispam-bee/

Zwar nicht direkt sicherheitsrelevant, verfügt Antispam Bee über die Möglichkeit, konform gemäß deutschen Datenschutzrichtlinien Spam in Kommentaren zu erkennen und zu filtern.

WP Migrate DB Pro

Download: https://deliciousbrains.com/wp-migrate-db-pro/

WP Migrate DB erlaubt es unter anderem, Backups der WordPress-Datenbank zu erstellen und wieder einzuspielen. Zudem kann es automatisch die URLs innerhalb von Beiträgen und ähnlichem ersetzen, um ein Backup beispielsweise auch in einer Testumgebung unter einer anderen URL zu testen.

Fazit

Nicht jedes Plugin ist gleich schlecht und auch, wenn jedes Plugin die gesamte WordPress-Installation etwas komplexer macht, ist der Nutzen bei einigen wichtiger als darauf zu achten, möglichst wenig Komplexität in seine WordPress-Installation zu bekommen.

Bei Themes sollte man darauf achten, dass diese nicht hunderte Funktionen mitbringen, die man unter Umständen dann gar nicht benötigt.

Das war nun die Reihe „WordPress-Sicherheit“. Ich hoffe, bei einigen geholfen zu haben, die eigene WordPress-Installation mit diesen Ratschlägen sicherer gemacht zu haben. Über Feedback freue ich mich in jedem Fall. Auch falls ich etwas vergessen habe oder genauer ausführen sollte. Selbst lernt man schließlich auch immer dazu. 😌

1 Kommentar

  1. Bei Limit Login Attempts müssen ggf. Umstände bedacht werden. Zum einen hilft das Plugin nicht bei Angriffen über Botnetze. Die wechseln nach drei Versuchen die IP und machen so weiter. Zum anderen kann in einer größeren Firma mit vielen Mitarbeitern das System zum Problem werden. Da die Versuche pro IP gezählt werden und in der Firma nur eine IP genutzt wird, reichen auch drei fehlgeschlagene Versuche von *verschiedenen* Usern dazu, um allen eine Denkpause zu geben …
    Bei dem empfehlenswerten Zwei-Faktor-System unbedingt an die Backup-Codes denken, um bei einem Verlust vom Smartphone nicht ausgesperrt zu sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert