WordPress und Sicherheit: Tipps zu Plugins

WordPress sicherer machen: Drei Plugins, die du kennen solltest

Wer eine WordPress-Website betreibt, sollte Sicherheit nicht als einmalige Aufgabe betrachten, sondern als laufenden Prozess. Gerade Login-Bereiche, Administrator-Konten und veraltete Installationen sind häufige Ziele für automatisierte Angriffe. Deshalb reicht es nicht aus, nur ein starkes Passwort zu verwenden. In diesem Beitrag stelle ich ein Sicherheitskonzept für WordPress-Websites vor.

Ein gutes Sicherheitskonzept besteht aus mehreren Ebenen. Genau hier setzen passende Plugins an: Sie helfen dir, Angriffe abzuwehren, den Login besser abzusichern und den Zugang für unbefugte Dritte deutlich zu erschweren. Wir verwenden zu r Absicherung drei Plugins, die in diesem Zusammenhang besonders interessant sind: NinjaFirewall, Two-Factor und Two Factor Provider: WebAuthn.

Warum WordPress-Sicherheit wichtig ist

WordPress ist sehr verbreitet — und genau das macht das System auch für Angreifer attraktiv. Automatisierte Bots durchsuchen das Web ständig nach unsicheren Websites, schwachen Passwörtern oder bekannten Schwachstellen. Wenn dann nur ein einzelner Schutzmechanismus vorhanden ist, wird ein Angriff deutlich wahrscheinlicher erfolgreich.

Besonders kritisch sind:

Administrator-Konten.
Login-Seiten.
Formulare.
Veraltete Plugins und Themes.
Plugins und Themes, die aus dem WordPress Repository entfernt wurden.
Schwache oder wiederverwendete Passwörter.

Deshalb solltest du Sicherheit immer mehrstufig denken. Eine Firewall kann Angriffe abwehren, eine Zwei-Faktor-Authentifizierung schützt den Login, und moderne Authentifizierungsverfahren wie WebAuthn machen den Zugriff noch sicherer.

NinjaFirewall als zusätzliche Schutzschicht

NinjaFirewall ergänzt WordPress um eine zusätzliche Firewall-Ebene. Das bedeutet: Viele schädliche Anfragen können bereits abgefangen werden, bevor sie überhaupt tief in WordPress eindringen.

Das ist vor allem deshalb hilfreich, weil typische Angriffe oft automatisiert ablaufen. Bots testen dabei bekannte Schwachstellen, suchen nach offenen Angriffspunkten oder versuchen, Formulare und Login-Bereiche zu missbrauchen. Eine Firewall kann solche Versuche deutlich erschweren.

Für dich hat das mehrere Vorteile:

Du erhältst eine zusätzliche Schutzschicht vor WordPress.
Viele Anfragen werden schon früh blockiert.
Die Website wird robuster gegen typische Massenangriffe.

Außerdem dokumentiert das Plugin Login Vorgänge, Passwortänderungen, Dateiänderungen, etc. NinjaFirewall ersetzt natürlich keine saubere Wartung, keine Updates und keine gute Benutzerverwaltung. Aber es ist ein sehr sinnvoller Baustein in einem Sicherheitskonzept.

Das Plugin Two-Factor sorgt dafür, dass du dich nicht nur mit Benutzername und Passwort anmelden kannst, sondern zusätzlich einen zweiten Faktor benötigst. Genau das ist wichtig, weil ein Passwort allein heute oft nicht mehr ausreicht. Bei diesem Plugin erfolgt nach der bekannten Anmeldung noch ein zweiter Schritt, bei dem man z. B. einen Code aus 8 Zahlen, den man per Mail erhält, eingibt. Dabei wird die Mailadresse verwendet, die man bei der Erstellung des Profils angegeben hat.

Selbst wenn ein Passwort einmal in falsche Hände gerät, reicht es dann nicht automatisch aus, um sich in dein Konto einzuloggen. Das macht den unbefugten Zugriff deutlich schwieriger.

Besonders sinnvoll ist das für:

Administratoren.
Redakteure mit erweiterten Rechten.
alle Benutzerkonten, die Zugang zu sensiblen Bereichen haben.

Grundsätzlich sollten alle Konten mit Zwei-Faktor-Authentifizierung abgesichert werden. Das ist eine der wirksamsten Maßnahmen gegen Account-Übernahmen.

Die Einstellungen

Die Einstellungen für Two Factor und WebAuthn Provider for Two Factor werden beim jeweiligen Benutzer vorgenommen:

Authentifizierungs-App: Über eine Authentifizierungs-App wie z. B. 2FA Authenticator (2FAS) oder Synology Secure SignIn (bei Verwendung eines NAS) erhält man einen Code aus 6 Ziffern, der dann in das Feld eingegeben werden muss.

Wiederherstellungscodes: Wiederherstellungscodes sind die Notfall-Backup-Codes, mit denen du dich in das WordPress-Konto einloggen kannst, falls du keinen Zugriff mehr auf den zweiten Faktor hast, etwa wenn das Smartphone verloren geht oder die Authenticator-App nicht verfügbar ist.

E-Mail: Diese Option ist die einfachste und gleichzeitig „unsicherste“ Option. In dem Fall wird eine Mail an die Mailadresse, die für den Benutzer eingetragen ist. Diese Mail enthält eine 8-stellige Ziffernfolge, die in das Eingabefeld eingegeben werden muss.

WebAuthn aktivieren (siehe auch weiter unten bei der kurzen Beschreibung zu diesem Plugin): Für diese Option muss ein SSL-Zertifikat beim Hoster eingerichtet sein, weil eine HTTPS-Verbindung notwendig ist. Man legt eine PIN für diesen Key fest. Der YubiKey wird an einem USB Port angeschlossen.
Hier ein Beispiel für die Anmeldung mit einem YubiKey:

Noch sicherer wird die Anmeldung mit einem Yubikey

Eine bessere Sicherheit bietet ein Yubikey. Dazu benötigt man allerdings noch das zusätzliche Plugin WebAuthn Provider for Two Factor.

Mit WebAuthn Provider for Two Factor kannst du die Anmeldung noch komfortabler absichern. WebAuthn ermöglicht zum Beispiel die Anmeldung per Hardware-Sicherheitskey (z. B. YubiKey), Fingerabdruck oder Gerätebestätigung.

Das ist aus zwei Gründen interessant:

Es ist sehr sicher.
Es ist im Alltag oft sogar bequemer als klassische Zusatzcodes.

Gerade für Administratoren kann das ein echter Gewinn sein. Wer sich regelmäßig in WordPress einloggt, profitiert von einer Lösung, die nicht nur sicher ist, sondern auch den täglichen Arbeitsablauf nicht unnötig erschwert.

WebAuthn ist damit eine sehr gute Ergänzung zu klassischer Zwei-Faktor-Authentifizierung. Je nach Arbeitsweise kannst du damit einen sehr hohen Sicherheitsstandard erreichen.

Warum die Kombination wichtig ist

Der eigentliche Mehrwert entsteht durch die Kombination der genannten Plugins:

NinjaFirewall schützt die Website auf technischer Ebene.
Two-Factor schützt den Login.
WebAuthn Provider for Two Factor hebt die Login-Sicherheit noch einmal auf ein höheres Niveau.

So entsteht ein mehrstufiges Sicherheitskonzept, das deutlich robuster ist als eine einzelne Maßnahme. Das ist besonders wichtig, wenn du eine Website mit mehreren Benutzern betreibst oder wenn sensible Inhalte, Formulare oder Verwaltungsbereiche geschützt werden müssen.

Was du zusätzlich beachten solltest

Auch die besten Plugins helfen nur dann, wenn die grundlegende Pflege stimmt. Deshalb solltest du zusätzlich auf folgende Punkte achten:

WordPress, Plugins und Themes regelmäßig aktualisieren.
Nicht benötigte Plugins entfernen.
Starke und einzigartige Passwörter verwenden.
Administrator-Konten sparsam vergeben.
Regelmäßig Backups erstellen.
Login- und Sicherheitsprotokolle im Blick behalten.

Sicherheit ist immer ein Zusammenspiel aus Technik, Pflege und sinnvoller Konfiguration. Plugins können vieles erleichtern, ersetzen aber nicht die grundlegende Verantwortung bei Betrieb und Wartung.

Info

Den folgenden Hinweis zur Deaktivierung von XML-RPC habe ich von Nick Bohle nach Veröffentlichung erhalten. Vielen Dank. 🙂

XML-RPC deaktivieren, wenn du es nicht brauchst

Wenn deine WordPress-Website keine Funktionen nutzt, die auf XML-RPC angewiesen sind, solltest du die Schnittstelle aus Sicherheitsgründen deaktivieren. XML-RPC ist eine ältere WordPress-Schnittstelle, die unter anderem für den Zugriff externer Anwendungen auf die Website gedacht ist. Die Schnittstelle kann nützlich sein, wenn du externe Dienste oder Apps mit WordPress verbinden möchtest. Das betrifft zum Beispiel ältere WordPress-Apps, bestimmte Automatisierungsdienste oder Funktionen von Jetpack. Wenn du solche Anwendungen nicht verwendest, kannst du XML-RPC in der Regel ohne Nachteile deaktivieren.

Gerade weil XML-RPC immer wieder für Brute-Force-Angriffe und andere Missbrauchsversuche eingesetzt wird, ist es sinnvoll, die Schnittstelle nur dann aktiv zu lassen, wenn du sie wirklich benötigst. Bei vielen klassischen Websites ist das heute nicht mehr der Fall. Dann reduziert das Abschalten die Angriffsfläche und sorgt für ein Stück mehr Sicherheit.

Mehr Infos u. a. zur Deaktivierung findet ihr in dem folgenden Beitrag.

Automatische Aktualisierungen bei Plugins?

In vielen Fällen erleben wir bei Projekten, die wir übernehmen, dass die automatische Aktualisierung aktiviert ist. Das ist zwar eine vermeintlich schöne Option, aber kann durchaus dafür sorgen, dass durch Aktualisierungen Probleme entstehen, die man erst (sehr viel) später erkennt. Wir haben die automatische Aktualisierung nur bei ganz wenigen Plugins aktiviert. Aktualisierungen werden bei unserer Wartung immer beaufsichtigt durchgeführt. Dann kann man auf Probleme, die durch die Aktualisierung entstanden sind, sofort reagieren. Man sieht dann sofort, welches Plugin das Problem verursacht hat und kann notfalls auf die vorherige Version des Plugins umstellen.

Fazit

Wenn du WordPress sicherer machen willst, sind NinjaFirewalld, WebAuthn Provider for Two Factor drei sehr sinnvolle Plugins. Zusammen sorgen sie dafür, dass deine Website besser gegen Angriffe geschützt ist und wichtige Zugänge deutlich schwerer kompromittiert werden können. So machst du aus einer einzelnen Schutzmaßnahme ein deutlich robusteres Sicherheitskonzept.

Links, Quellen und aktuelle Infos

Wir freuen uns über eine Kontaktaufnahme

02722-6577725

info@haurand.com

Was hältst du davon?

Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.

Newsletter: Wenn du über unsere neuesten Beiträge und Neuigkeiten rund um WordPress informiert werden möchtest, kannst du dich gerne bei unserem kostenlosen Newsletter anmelden. Hier die bisher versendeten Newsletter

Blog: Auf der folgenden Seite findest du weitere interessante Beiträge sortiert nach Kategorien und Schlagwörtern.

WordPress und Sicherheit: Tipps zu Plugins