Die besten 12 WordPress-Sicherheits-Plugins im Vergleich (Bewertung aus dem Jahr 2021)

Sicherheit ist ein absolutes Muss, egal ob du ein Blog, eine Website für ein kleines Unternehmen oder einen E-Commerce-Store betreibst. Denn sollte deine Website einmal gehackt werden, riskierst du deinen Ruf, den Verlust deiner Dateien und Datenbanken, eine Verschlechterung deines SEO-Rankings und die Preisgabe personenbezogener Kunden- und Besucherdaten an Hacker. 

Wie bei vielen Dingen im Leben ist Vorsorge besser als Nachsorge. Und zum Glück macht es WordPress einfach, deine Website zu sichern und einen Angriff zu verhindern.

Wir werden uns zwölf der besten WordPress-Sicherheits-Plugins genauer ansehen, sie in unterschiedlichen Bereichen vergleichen und dir helfen, die richtige Entscheidung für deine Website zu treffen. Außerdem beantworten wir einige häufig gestellte Fragen zur Sicherheit von WordPress.

Treten bei WordPress Sicherheitsprobleme auf?

WordPress wird von über 40 % der Websites verwendet und ist das beliebteste Inhaltsverwaltungssystem (CMS). Seine Popularität macht WordPress zwar zum Ziel für Hacker, aber die Software selbst weist keine Sicherheitsprobleme auf.

Hacker greifen nämlich nur selten über Sicherheitslücken in WordPress auf Websites zu. Vielmehr werden die meisten Websites aufgrund von vermeidbaren Sicherheitsproblemen wie veralteten Plugins und Themes, unsicheren Passwörtern oder einer mangelhaften Hosting-Umgebung gehackt.

Zwar ist kein Inhaltsverwaltungssystem zu 100 % sicher, aber die Entwickler von WordPress arbeiten sehr hart daran, es mit jeder Aktualisierung so sicher wie möglich zu machen. Und wenn du einige grundlegende bewährte Praktiken befolgst, solltest du dir keine Sorgen machen müssen.

Wie kann ich meine WordPress-Sicherheit verbessern?

1. Wähle einen guten Hosting-Anbieter. Sicherheit fängt beim Hoster an. Entscheide dich also für einen Anbieter mit gutem Ruf. Achte auf Funktionen wie automatische Backups, ein SSL-Zertifikat, eine Firewall auf Serverebene und Schutz vor Malware. Und bevor du einen Tarif kaufst, solltest du dir die Bewertungen zu gängigen sicherheitsbezogenen Problemen ansehen. Siehe von Jetpack empfohlene WordPress-Hosting-Anbieter.
2. Aktualisiere WordPress, Themes und Plugins regelmäßig. Neue Versionen enthalten häufig Patches für Sicherheitslücken sowie zusätzliche Features und Funktionen. Achte also darauf, dass du alles so schnell wie möglich aktualisierst.
3. Wähle stabile Themes und Plugins. Installiere nur Plugins und Themes, die aus einer zuverlässigen Quelle stammen und ausgezeichnete Bewertungen haben. Und kaufe niemals kostenlose (auch „genullte“ genannte) Versionen von Premium-Themes und Plugins. Sie sind oft voller Malware und Sicherheitslücken.
4. Erstelle sichere Benutzernamen und Passwörter. Verwende für deine WordPress-Website ein eindeutiges Passwort, das mindestens 20 Zeichen lang ist und Großbuchstaben, Kleinbuchstaben, Zahlen und Symbole kombiniert. Das macht es Hackern und Bots schwer, sie zu erraten.
5. Lege angemessene Benutzerrechte fest. WordPress-Benutzerrollen legen fest, welche Aktionen jedes Konto auf deiner Website durchführen kann. Weise Personen nur die minimal erforderliche Rolle zu, die sie für ihre Aufgabe benötigen, und lösche alle Konten, die nicht mehr verwendet werden.
6. Erstelle automatische Backups, die extern gespeichert werden. Richte automatisierte Backups ein, die mindestens alle 24 Stunden erstellt werden. Speichere diese Backups dann völlig getrennt von deinem Host, sodass deine Backups von einem möglichen Serverausfall nicht betroffen sind. 
7. Richte Brute-Force-Angriffsschutz ein. Von einem Brute-Force-Angriff spricht man, wenn Bots jede Minute Tausende von Kombinationen aus Benutzernamen und Passwort erraten, um sich Zugang zu deiner Website zu verschaffen. Ein gutes Tool kann allerdings verdächtige IP-Adressen blockieren, bevor sie überhaupt zu dir gelangen. 
8. Führe Malware-Scans durch. Du kannst deine Website zwar nicht rund um die Uhr auf Malware überwachen, aber ein entsprechendes Tool oder Plugin kann das. Wenn du sofort über verdächtige Vorgänge Bescheid weißt, kannst du das Problem lösen und verhindern, dass es sich ausbreitet.
9. Richte die zweistufige Authentifizierung ein. Die Zweistufige Authentifizierung erfordert sowohl ein Passwort als auch ein physisches Gerät, um sich bei deiner Website anzumelden. Normalerweise wird dazu ein eindeutiger Code an dein Handy gesendet, den du eingeben musst, um dich anzumelden. Das macht es Hackern so gut wie unmöglich, sich mit einem Benutzernamen und Passwort Zugang zu verschaffen.
10. Entferne Spam-Kommentare. Spam-Kommentare sind nicht nur lästig, sondern können auch Links zu schädlichen Phishing-Websites enthalten und somit auch den Besuchern deiner Website schaden. Du kannst sie manuell entfernen oder ein Plugin installieren, das Kommentare automatisch filtert und Spam löscht.

Brauche ich ein WordPress-Sicherheits-Plugin?

Du brauchst nicht unbedingt ein WordPress-Sicherheits-Plugin, um die Sicherheit deiner Website zu gewährleisten. Viele bewährte Praktiken, wie z. B. regelmäßige Updates und sichere Passwörter lassen sich ohne ein solches Plugin implementieren. Die besten WordPress-Sicherheits-Plugins gehen jedoch noch einen Schritt weiter, indem sie eine zusätzliche Sicherheitsebene hinzufügen und es einfacher machen, einen erweiterten Schutz ohne die Hilfe eines Entwicklers hinzuzufügen.

Und beim Thema Sicherheit solltest du keine Abstriche machen. Ganz gleich, welche Art von Website du betreibst: Ein Hackerangriff kann ernsthafte Auswirkungen darauf haben, wie Besucher, Kunden und Klienten deine Marke wahrnehmen. Außerdem können sich dadurch deine Suchmaschinen-Rankings verschlechtern (Google mag keine unsicheren Websites), die Anzahl der Verkäufe und Leads, die du erhältst, kann sinken, und Informationen wie Kreditkartendaten sind in Gefahr.

Auch wenn ein WordPress-Sicherheits-Plugin nicht unbedingt erforderlich ist, ist es also eine gute Idee, für jede Website eines zu verwenden.

Die besten WordPress-Sicherheits-Plugins

Werfen wir einen Blick auf die besten WordPress-Sicherheits-Plugins:

Anhand der obigen Liste kannst du schnell zu den einzelnen Plugins scrollen und dir die wichtigsten Funktionen, Preisoptionen und vor allem die Vorteile für den Schutz deiner Website ansehen.

1. Jetpack Security

Im Gegensatz zu vielen anderen Plugins erledigt Jetpack Security mehrere Aufgaben: Die kostenlosen und kostenpflichtigen Funktionen reichen von der Verhinderung von Brute-Force-Angriffen bis hin zur Überwachung von Ausfallzeiten, Backups, Malware-Scans, Spam-Schutz und vielem mehr. Diese Funktionen bilden zusammen ein umfassendes Sicherheits-Plugin für WordPress, das von Einsteigern leicht zu benutzen ist, aber auch für große Websites ausreichend ist. Und ein weiterer Vorteil: Da die Scans auf den Jetpack-Servern ausgeführt werden, verlangsamen sie deine Website nicht.

Jetpack wird außerdem von den Leuten hinter WordPress.com speziell für WordPress entwickelt und unterstützt. Das Jetpack-Team kennt WordPress in- und auswendig und versteht die Probleme genau, mit denen Betreiber von WordPress-Websites tagtäglich konfrontiert sind. Genau aus diesem Grund ist es das beste verfügbare Sicherheits-Plugin.

Die wichtigsten Funktionen von Jetpack Security:

• Tägliche automatische Backups in Echtzeit
• Tägliche automatische Malware-Scans in Echtzeit
• Automatisierter Spamschutz
• Ein detailliertes Aktivitätsprotokoll zeigt sämtliche Vorgänge auf deiner Website
• Überwachung von Ausfallzeiten
• Schutz vor Brute-Force-Angriffen
• Zweistufige Authentifizierung
• Eine Mobil-App mit Warnungen und Zugriff auf Backups, Scan-Ergebnisse und das Aktivitätsprotokoll

Sehen wir uns einige dieser Funktionen etwas genauer an.

Schutz vor Brute-Force-Angriffen

Von einem Brute-Force-Angriff spricht man, wenn Hacker mithilfe von Bots Kombinationen aus Benutzernamen und Passwort erraten, bis sie die richtige finden. Da sie große Computernetzwerke nutzen, können sie jede Sekunde Tausende von Passwörtern ausprobieren.

Das Jetpack-Feature Schutz vor Brute-Force-Angriffen blockiert unerwünschte Anmeldeversuche von bösartigen IPs, bevor sie deine Website erreichen.

Überwachung von Ausfallzeiten

Die Überwachung von Ausfallzeiten von Jetpack besucht deine Website von Standorten weltweit und sendet eine sofortige Warnung, wenn sie ausfällt. Warum ist das hilfreich? Ein Problem, von dem man nicht weiß, kann man nicht beheben! Wenn deine Website längere Zeit ausfällt, kannst du Traffic, Umsatz und sogar Suchmaschinen-Rankings verlieren. Durch die Überwachung der Ausfallzeiten wirst du sofort über Probleme informiert, damit du sie so schnell wie möglich lösen kannst.

Zweistufige Authentifizierung

Die zweistufige Authentifizierung erweitert die Sicherheit deiner Anmeldeseite, indem zur Anmeldung mehr als nur ein Benutzernamen und ein Passwort verlangt wird. Wenn du dich bei deiner Website anmeldest, sendet Jetpack einen Code an dein Handy, den du eingeben musst. Das bedeutet, dass ein Hacker deinen Benutzernamen und dein Passwort kennen und auch noch dein Mobilgerät zur Hand haben müsste, um sich Zugang zu verschaffen – das ist eher unwahrscheinlich.

Automatisierte Backups  

Wenn deine Website aus irgendeinem Grund ausfällt, ist ein vollständiges Backup goldwert. Stell dir vor, du verlierst all deine harte Arbeit, das Geld, das du investiert hast, und die Daten deiner Kunden oder Besucher. WordPress-Backups geben dir Sorgenfreiheit.

Aber nicht alle Backup-Lösungen sind gleich. Jetpack-Backups sind:

• Automatisiert, sodass du Backups nicht manuell erstellen musst
• Sicher, sodass deine Backups geschützt und immer verfügbar sind
• Leicht einzurichten, was besonders nützlich ist, wenn du keine Erfahrung mit Programmierung oder Serververwaltung hast
• Schnell wiederherzustellen, damit du deine Website so schnell wie möglich wieder zum Laufen bringen kannst
• In zwei Formaten verfügbar: täglich und in Echtzeit

Tägliche Backups werden automatisch einmal am Tag erstellt und sind eine gute Lösung für Websites von Restaurants, Blogs und andere Websites, die nicht öfter als einmal alle 24 Stunden aktualisiert werden.

Echtzeit-Backups erfolgen automatisch, während du arbeitest, sodass du einen minutengenauen Stand deiner Website hast: Jede Änderung wird gespeichert, während du sie vornimmst. Sie eignen sich perfekt für Onlineshops, Mitglieder-Websites, Foren und alle Websites, die regelmäßig aktualisiert werden. 

Ganz gleich, für welche Option du dich entscheidest: Du kannst dich darauf verlassen, dass deine Website gesichert wird und bei Bedarf mit ein paar Klicks wiederhergestellt werden kann.

Automatische Malware-Scans

Wenn sich ein Hacker Zugriff auf deine Website verschafft, kann er eine „Hintertür“ erstellen. Dabei handelt es sich um eine Art von Malware, über die er jederzeit auf deine Website zugreifen kann, um Daten zu stehlen oder ohne dein Wissen Malware oder Viren einzufügen. Malware gefährdet deinen Ruf und stellt ein Risiko für deine Informationen und die Daten deiner Kunden dar.

Und hier kommt Jetpack Scan ins Spiel. Der Dienst führt täglich automatische Malware-Scans deines Website-Codes durch und sucht nach verdächtigen Elementen. Wird eine Bedrohung erkannt, erhältst du umgehend eine E-Mail-Benachrichtigung mit ausführlichen Informationen zu infizierten Dateien.

Und es wird noch besser: Die meisten bekannten Bedrohungen werden von Jetpack automatisch behoben. Du erfährst also nicht nur sofort von Problemen, sondern brauchst auch keinen Finger zu rühren, um sie zu beheben.

Automatisierte Spam-Filterung

Spam kommt häufig in Form irrelevanter Kommentare, die Links zu unseriösen Websites enthalten. Mit der richtigen Software können Spammer Millionen von Kommentaren hinterlassen, die schnell nicht mehr überschaubar sind.

Jetpack Anti-Spam filtert Kommentare, Pingbacks und eingereichte Kontaktformulare automatisch auf bekannten Spam und spart dir damit viel Zeit. Wenn du Bedenken hast, dass echte Kommentare als Spam markiert werden, kannst du sie durchsehen und alle gewünschten Elemente wiederherstellen. Alternativ kannst du Jetpack so einstellen, dass die schlimmsten Kommentare entfernt werden, damit du sie nie sehen musst. 

Die Jetpack-Mobil-App

Hacker sind auch dann aktiv, wenn du nicht an deinem Computer sitzt. Mit der Jetpack-Mobile-App kannst du deine Website-Aktivität prüfen, ein Backup wiederherstellen und die Ergebnisse von Malware-Scans von überall aus anzeigen. 

Außerdem erhältst du sofortige Warnmeldungen, wenn deine Website ausfällt oder Malware gefunden wird. So kannst du ganz entspannt bleiben. Du hast etwas Auffälliges gefunden? Die meisten bekannten Bedrohungen kannst du direkt in der App mit einem Klick beheben.

Benutzerfreundlichkeit:

Jetpack ist so konzipiert, dass es von jedem Website-Betreiber verwendet werden kann, unabhängig von dessen technischem Know-how. Alle Funktionen können mit nur wenigen Klicks aktiviert werden, ohne dass Programmierkenntnisse oder die Hilfe eines Entwicklers benötigt werden.

Support und Dokumentation:

Wartung und Support von Jetpack übernehmen WordPress-Experten, „Support-Mitarbeiter“ genannt, die sich wirklich um dich, deine Website und dein Unternehmen kümmern. Ein kostenloser Tarif umfasst hochwertigen E-Mail-Support und kostenpflichtige Tarife bieten eine schnellere und priorisierte Betreuung, damit du die benötigte Hilfe genau dann bekommst, wenn du sie brauchst.

Außerdem ist eine umfassende Dokumentation verfügbar, die dich schrittweise durch Einrichtung und Problembehandlung führt.

Preise und Tarifoptionen:

• Jetpack Free umfasst Überwachung der Ausfallzeiten, Schutz vor Brute-Force-Angriffen und ein Aktivitätsprotokoll mit den letzten 20 Ereignissen – alles kostenlos.
• Jetpack Security Daily enthält alle Funktionen sowie tägliche Backups, tägliche Sicherheitsscans und ein 30-Tage-Aktivitätsprotokoll ab 11,97 US-Dollar pro Monat.
• Jetpack Security Real-time enthält alle Funktionen sowie Echtzeit-Backups, Echtzeit-Sicherheitsscans und ein Jahresaktivitätsprotokoll ab 33,57 US-Dollar pro Monat.
• Du kannst auch einige Funktionen wie Jetpack Backup, Jetpack Scan und Jetpack Anti-Spam einzeln kaufen – ab 4,77 US-Dollar pro Monat.

Empfohlen für: 

Blogs, E-Commerce-Stores und Websites jeglicher Größe Jetpack Security ist das umfassendste und beste WordPress-Sicherheits-Plugin für praktisch jedes Szenario. 

2. Wordfence

Wordfence ist eine Webanwendungs-Firewall, die auch einige zusätzliche Funktionen wie Malware-Scans bietet. Da es sich bei der Firewall um eine Endpunkt-Firewall handelt, ist sie fest in WordPress integriert, kann nicht umgangen werden und kann keine Daten preisgeben. Dadurch ist Wordfence um einiges sicherer als cloudbasierte Alternativen.

Sobald du Wordfence eingerichtet hast, erhältst du E-Mail-Benachrichtigungen, wenn etwas Bedenkliches wie ein veraltetes Plugin, bösartiger Code oder ein Virus entdeckt wird. 

Wordfence steht jedoch im Ruf, deine Website zu verlangsamen, da das Plugin eine Menge umfangreicher Datenbanktabellen hinzufügt und deinen Server bei Malware-Scans belastet.

Die wichtigsten Funktionen von Wordfence:

• Eine Webanwendungs-Firewall
• Ein Sicherheits-Scanner
• Schutz vor der Preisgabe von Passwörtern
• Zweistufige Authentifizierung
• Manuelles Blockieren und Blockieren von Ländern
• Automatische Dateireparatur

Sehen wir uns einige dieser Funktionen etwas genauer an.

Webanwendungs-Firewall

Die Firewall ist ohne Frage das leistungsstärkste Feature von Wordfence. Sie nutzt die gesammelten Daten der über vier Millionen von ihr geschützten Websites, um zu verstehen, wie Hacker angreifen, wie die Angriffe aussehen und woher sie kommen. Die Firewall-Regeln und die Liste bösartiger IP-Adressen, die für sofortigen Schutz blockiert werden, wird von den Entwicklern des Plugins regelmäßig aktualisiert.

Sicherheits-Scanner

Mit dem Sicherheits-Scanner wird deine Website auf Malware, fehlerhafte URLs, Spam, bösartige Weiterleitungen und Code-Injektionen überprüft. Außerdem werden alle Änderungen an WordPress-Kerndateien, bekannte Sicherheitslücken und veraltete Plugins gemeldet. 

Manuelles Blockieren und Blockieren von Ländern

Mit Premium-Tarifen erhältst du Zugang zu diesen Funktionen, die im Grunde nur die Firewall erweitern. Bei der Funktion für manuelles Blockieren kannst du ganze bösartige Netzwerke oder jede beliebige menschliche oder Roboteraktivität blockieren. Mit der Funktion zum Blockieren von Ländern kannst du den gesamten Daten-Traffic aus einem bestimmten Land blockieren. Das kann besonders bei einem Angriff nützlich sein. Bedenke aber, dass das langfristige Blockieren von Ländern aus SEO-Gründen nicht zu empfehlen ist.

Automatische Dateireparatur

Wenn Wordfence feststellt, dass eine WordPress-Core-Datei auf unzulässige Weise verändert wurde, kannst du die Datei mit nur einem Klick in ihren ursprünglichen Zustand zurückversetzen. Du solltest aber wissen, dass dies nicht mit der Entfernung von Malware oder der Reparatur einer gehackten Website gleichzusetzen ist, wofür dir von Wordfence zusätzlich 490 US-Dollar berechnet werden.

Benutzerfreundlichkeit:

Wordfence kann zwar auch von Personen ohne technische Kenntnisse verwendet werden, aber der Einstellungsbereich kann überwältigend und kompliziert sein. Sämtliche Funktionen werden auf einmal aufgeführt und zu wissen, was du für deine Website benötigst, kann eine Herausforderung sein. Standardmäßig sendet Wordfence auch eine Vielzahl von E-Mail-Warnungen. Bei vielen dieser Warnungen ist keine Reaktion des Website-Betreibers erforderlich, und Anfänger wissen oft nicht, was sie bei den einzelnen Warnungen tun müssen.

Support und Dokumentation:

Wordfence bietet kostenlosen Support über die WordPress-Foren und Premium-Support über ein Online-Ticketsystem. Außerdem gibt es eine Dokumentationsdatenbank, die Einzelheiten zur Einrichtung und Problembehandlung des Plugins enthält.

Preise und Tarifoptionen:

• Wordfence Free ist kostenlos und umfasst die grundlegende Webanwendungs-Firewall, Malware-Scanner und Schutz vor Brute-Force-Angriffen.
• Wordfence Premium bietet zusätzlich Features wie Echtzeit-Firewall-Updates, IP-Sperrlistenprüfungen und Blockieren von Ländern für 99 US-Dollar pro Jahr.

Empfohlen für: 

Einfache Websites, die gezielt nach einer Firewall suchen und keine wichtigen Daten wie Kreditkarteninformationen schützen müssen. Wordfence bietet zwar zusätzliche Funktionen, ist aber nicht das umfassendste WordPress-Sicherheits-Plugin auf dieser Liste. Das Besondere an diesem Plugin ist die Webanwendungs-Firewall.

3. iThemes Security

iThemes Security ist ein Freemium-Plugin, bei dem der Fokus eher auf der Stärkung der Sicherheit deiner Website – durch zusätzliche Schutzebenen – liegt, als auf der Identifizierung und Behebung von Hackerangriffen. Dazu werden Sicherheitsmaßnahmen verwendet, wie das Festlegen korrekter Dateiberechtigungen, die Durchsetzung sicherer Passwörter und das Ändern von Anmelde-URLs. 

Die wichtigsten Funktionen von iThemes Security:

• Brute-Force-Schutz
• Erkennung von Dateiänderungen und 404-Fehlern
• Datenbank-Backups
• Ausblenden der Anmelde- und Administrationsseite
• Hoher Passwortschutz
• Zweistufige Authentifizierung

Hier ein paar weitere Informationen zu einigen dieser Funktionen:

Brute-Force-Schutz

Personen, deren Anmeldeversuche mehrmals fehlschlagen, werden gesperrt. Dadurch wird verhindert, dass Bots versuchen, in kurzer Zeit tausende Male deine Kombination aus Passwort und Benutzername zu erraten.

Datenbank-Backups

Es werden automatisch Backups deiner Datenbank erstellt, die dir dann per E-Mail zugeschickt werden. Beachte, dass sich das nur auf die Datenbank bezieht, nicht auf deine Dateien, Medien, Plugins oder Themes.

Anmeldeseite ausblenden

Standardmäßig verwenden alle WordPress-Websites für die Anmelde- und Dashboard-Seite die URL „/wp-admin“. Das macht es Hackern natürlich sehr einfach, diese Seite zu finden, da sie immer gleich ist. Du erhältst eine zusätzliche Schutzebene, wenn du die URL änderst. Dies ist mit iThemes Security ohne individuellen Code möglich.

Benutzerfreundlichkeit:

Wie bei Wordfence kann auch das Einstellungs-Dashboard von iThemes für Einsteiger und technisch nicht versierte Benutzer unübersichtlich sein. Es gibt viele einzelne Einstellungen, die aktiviert oder deaktiviert werden können, und es ist nicht ganz einfach zu wissen, welche davon für deine Website geeignet sind.

Support und Dokumentation:

Die kostenlose Version von iThemes Security wird über die WordPress.org-Foren betrieben. Die Premium-Version umfasst ein Support-System mit Tickets. Außerdem ist eine umfangreiche Dokumentation verfügbar.

Preise und Tarifoptionen:

• iThemes Security Free ist kostenlos und umfasst u. a. Sicherheitsmaßnahmen, Datenbank-Backups, Schutz vor Brute-Force-Angriffen und Schutz vor Dateiänderungen.
• iThemes Blogger (Premium) bietet zusätzlich u. a. Malware-Scans nach Zeitplan, zweistufige Authentifizierung und reCAPTCHA und ist für 80 US-Dollar pro Jahr und Website verfügbar. 

Empfohlen für: 

Anmeldeschutz und Website-Schutz. Es sind zwar eine Reihe anderer Funktionen enthalten, aber viele der anderen WordPress-Sicherheits-Plugins sind hier besser aufgestellt, d. h., sie gestalten diese Funktionen benutzerfreundlicher.

4. Sucuri

Sucuri ist eine cloudbasierte WordPress-Sicherheitslösung. Sie wird also komplett auf eigenen Servern ausgeführt, sodass es zu keinen Verzögerungen auf deinen Servern kommt. Das Plugin wurde nicht speziell für WordPress entwickelt und kann mit jeder Plattform bzw. jedem Inhaltsverwaltungssystem verwendet werden. Es bietet zwar eine Webanwendungs-Firewall und Tools zum Scannen von Malware, aber wirklich überzeugend sind die Bereinigungsdienste. 

Es ist wichtig zu wissen, dass Sucuri seine kostenlosen und Premium-Funktionen sehr klar trennt. Das kostenlose Plugin bietet Malware-Scans und WordPress-Sicherheit, während die Premium-Version die Webanwendungs-Firewall und Bereinigungsdienste für Hackerangriffe enthält.

Die wichtigsten Funktionen von Sucuri:

• Malware-Scans
• Überwachung des Sperrlisten-Status
• Eine Webanwendungs-Firewall
• Abwehr von DDoS-Angriffen (Distributed Denial of Service)
• Verhinderung von Brute-Force-Angriffen
• Dienste zur Website-Bereinigung

Sehen wir uns einiger dieser Funktionen etwas genauer an.

Überwachung des Sperrlisten-Status

Sucuri lässt deine URL durch eine Reihe von Diensten laufen, um zu sehen, ob deine Website auf der Sperrliste steht. Und da Websites, die sich auf der Sperrliste befinden, erheblich Traffic verlieren, kann dies ein großer Vorteil sein.

Abwehr von DDoS-Angriffen (Distributed Denial of Service)

DDoS-Angriffe sind böswillige Versuche, den Traffic eines Servers zu stören, indem er mit unechtem Traffic überflutet wird. So wird verhindert, dass normale, legitime Besucher und Kunden auf deine Website gelangen. Mit der DDoS-Abwehrfunktion von Sucuri werden diese Angriffe blockiert.

Dienste zur Website-Bereinigung

Nach einem Hackerangriff ist das Expertenteam von Sucuri verfügbar, um deine Website zu reparieren und wiederherzustellen. Es entfernt bösartigen Code aus deinen Dateien und Datenbanken, stellt Anträge auf Entfernung von Sperrlisten und repariert SEO-Spam (wie Link-Injektionen).

Benutzerfreundlichkeit:

Die Einrichtung der Premium-Version von Sucuri kann für jemanden, der kein Entwickler ist, etwas kompliziert werden, da man die DNS-Einstellungen seiner Domain ändern muss, um die Server von Sucuri zu nutzen. Die Einrichtung des kostenlosen WordPress-Plugins ist viel einfacher und leichter für Laien.

Support und Dokumentation:

Support für die kostenlose Version wird über die WordPress-Supportforen angeboten. Für die Premium-Version wird ein Ticketsystem verwendet. Außerdem gibt es eine umfangreiche Wissensdatenbank, in der Antworten auf häufige Fragen zu finden sind.

Preise und Tarifoptionen:

• Sucuri Free ist kostenlos und umfasst Malware-Scans, Sperrlisten-Überwachung und Sicherheitshärtungsfunktionen für WordPress.
• Sucuri Basic bietet zusätzlich eine Webanwendungs-Firewall und Bereinigungsdienste für 199 US-Dollar im Jahr. Allerdings gibt es keine garantierte Reaktionszeit für die Bereinigung und die Malware-Scans werden alle 12 Stunden durchgeführt.
• Sucuri Pro kostet 299,99 US-Dollar im Jahr und umfasst sämtliche Funktionen des Basic-Tarifs. Malware-Scans werden allerdings öfter durchgeführt: alle sechs Stunden.
• Mit Sucuri Business steigt die Häufigkeit der Malware-Scans auf alle 30 Minuten. Außerdem wird eine Reaktionszeit auf Hackerangriffe von sechs Stunden garantiert. Diese Vorteile kosten jährlich 499,99 US-Dollar.

Empfohlen für: 

Sicherheitshärtung und Bereinigung einer Website nach einem Hackerangriff. Da wichtige Funktionen wie eine Firewall in der kostenlosen Version nicht enthalten sind, ist es am besten, die Premium-Version zu verwenden oder ein anderes Plugin zu wählen.

5. All in One WP Security and Firewall

Das Plugin All in One WP Security and Firewall ist – wie der Name schon sagt – eine völlig kostenlose, umfassende WordPress-Lösung. Die Funktionen sind in Kategorien eingeteilt, die sich an der Sicherheitsstufe orientieren (und an der Wahrscheinlichkeit, dass sie auf deiner Website etwas beschädigen könnten). Somit ist für jeden etwas dabei, unabhängig vom Kenntnisstand. 

Allerdings liegt der Fokus sämtlicher Funktionen auf dem Schutz deiner Website vor Hacker-Angriffen und nicht auf der Suche nach Malware und der Bereinigung einer gehackten Website.

Die wichtigsten Features von All in One WP Security and Firewall:

• Sicherheitshärtungsfunktionen für Benutzerkonten
• Sicherheit der Anmeldeseite
• Datenbank-Backups
• Dateisystemsicherheit
• Sperrlisten-Funktion
• Eine Firewall
• Ein Sicherheits-Scanner
• Schutz vor Brute-Force-Angriffen

Hier ein paar nähere Informationen zu einigen dieser Features:

Sicherheit der Anmeldeseite

Das Plugin sperrt Benutzer nach einer bestimmten Anzahl von Anmeldeversuchen, erzwingt die Abmeldung nach einer bestimmten Zeitspanne, fügt reCAPTCHA zur Anmeldeseite hinzu und zeichnet jede An- und Abmeldung auf. Dadurch wird deine Website sowohl vor Hackern als auch vor Bots geschützt.

Dateisystemsicherheit

All in One WP Security and Firewall überprüft deine Dateien und Ordner auf Berechtigungsprobleme und lässt dich diese mit einem einzigen Klick beheben. Außerdem kannst du damit verhindern, dass Hacker und Bots leicht zu kompromittierende Dateien (wie readme.html, license.txt) einsehen können, und du kannst die Bearbeitung von Dateien unterbinden.

Sicherheits-Scanner

Der Sicherheits-Scanner prüft deine Dateien auf Änderungen. Dazu werden diese mit den standardmäßigen WordPress-Core-Dateien verglichen. Beachte allerdings, dass dadurch die Probleme nicht behoben werden, und es wird auch nicht nach Malware gesucht.

Benutzerfreundlichkeit:

Da Funktionen nach Sicherheitsgrad unterteilt sind und diejenigen, die deine Website beschädigen könnten, von denen getrennt werden, die dies nicht können, ist das Plugin auch für Einsteiger leicht zu verwenden. Außerdem verfügt es über eine Anzeige der Sicherheitsstärke, die dir einen schnellen Überblick über den aktuellen Stand der Dinge gibt.

Support und Dokumentation:

Support ist nur über die WordPress.org-Foren verfügbar und die Dokumentation ist bei einigen Funktionen begrenzt.

Preise und Tarifoptionen:

Es gibt nur eine Version dieses Plugins — die kostenlose Version. Und diese umfasst sämtliche Features.

Empfohlen für: 

Einsteiger und einfache Websites. Der Einstieg geht relativ schnell, ohne dass deine Website abstürzt. Da es jedoch keine Premium-Version dieses Plugins gibt, fehlen ihm wertvolle Funktionen wie das Scannen und Entfernen von Malware. Dieses Plugin kann eine gute Lösung für Betreiber von Hobby-Blogs sein, die nicht viel in die Sicherheit ihrer Website investieren möchten.

6. Defender Pro

Defender Pro wurde von WPMU DEV, einem WordPress-Entwicklungsunternehmen erstellt, das Lösungen für alles rund um Sicherheit und Einwilligung bis hin zu Quizzen und Analysen erstellt. Es kann separat oder als Bestandteil einer Suite von Website-Tools erworben werden.

Die wichtigsten Funktionen von Defender Pro:

• Sicherheitsscans
• Anmeldeschutz
• Zweistufige Authentifizierung
• Sperrlisten-Überwachung
• Wiederherstellung und Reparatur geänderter Dateien

Benutzerfreundlichkeit:

Defender Pro umfasst einen benutzerfreundlichen Einrichtungsassistenten, der ideal für Einsteiger ist.

Support und Dokumentation:

WPMU Dev bietet Live-Chat-Support sowie Foren und E-Mail-Support und es gibt eine ausführliche Dokumentation.

Preise und Tarifoptionen:

• Defender Pro only umfasst die oben aufgeführten Funktionen und kostet 60 US-Dollar im Jahr.
• Das Paket aus Sicherheit und Backups bietet zusätzliche Produkte wie Backup- und Migrationstools für 90 US-Dollar im Jahr.
• Die WPMU Dev-Mitgliedschaft umfasst die gesamte Suite an Tools, einschließlich Einwilligungen, Analysen etc., und kostet 190 US-Dollar im Jahr.

Empfohlen für: 

Betreiber von Websites, die ein komplettes Toolset und nicht nur Sicherheitsfunktionen erwerben möchten. Defender Pro ist zwar ein solides Sicherheits-Plugin, doch es fehlen wichtige Funktionen wie eine Firewall und ein Spam-Schutz. Wenn es allerdings in der kompletten Suite der WPMU Dev-Tools enthalten ist, ist es ein netter Bonus. 

7. Bulletproof Security

Bulletproof Security ist ein Freemium-WordPress-Plugin, das speziell auf Entwickler ausgelegt ist. Es ist sehr umfangreich und ermöglicht eine Vielzahl von Anpassungen im Backend, ist aber für Einsteiger nicht leicht zu verwenden.

Die wichtigsten Funktionen von Bulletproof Security:

• Malware-Scanner
• Ausgeblendete Plugin-Ordner
• Sicherheit und Überwachung für Anmeldvorgänge
• Abmeldung inaktiver Sitzungen
• Ablauf von Authentifizierungs-Cookies
• Sicherheitsprotokolle
• Eine Vielzahl weiterer fortgeschrittener Sicherheitsfunktionen

Benutzerfreundlichkeit:

Auch dieses Plugin ist für Einsteiger weniger geeignet. Es gibt zwar einen Einrichtungsassistenten, aber das Ändern oder Anpassen von Einstellungen ist sehr kompliziert und könnte deine Website zum Absturz bringen. 

Support und Dokumentation:

Der Support für das kostenlose Plugin läuft über die Foren von WordPress.org. Premium-Support wird über ein spezielles Support-Forum angeboten. Es gibt eine kurze Dokumentation und Video-Tutorials.  

Preise und Tarifoptionen:

• BulletProof Security Free ist kostenlos und bietet viele der oben aufgeführten Funktionen.
• BulletProof Security Pro umfasst unbegrenzte Installationen und erweiterte Funktionen (wie Datenbank-Backups und Überwachung, eine Plugin-Firewall und eine automatische Wiederherstellung von Website-Dateien) für 69,95 US-Dollar.

Empfohlen für: 

Entwickler und fortgeschrittene Benutzer, die sämtliche Aspekte ihrer Website-Sicherheit individuell anpassen möchten.

8. Security Ninja

Auch wenn Security Ninja eine relativ umfassende Sicherheitslösung darstellt, besteht ihr Alleinstellungsmerkmal in den über 50 integrierten Sicherheitsprüfungen. Diese Tests decken alles ab, von der Aktualität von Themes und Plugins bis hin zu WordPress-Versionen, Dateizugänglichkeit und Präfixen von Datenbanktabellen. 

Die wichtigsten Funktionen von Security Ninja:

• Eine Webanwendungs-Firewall
• Malware-Scans
• Anmeldeformularschutz
• Scans von Plugin-Sicherheitslücken
• Ereignisprotokollierung

Benutzerfreundlichkeit:

Dieses Plugin ist relativ benutzerfreundlich, erfordert aber ein wenig Arbeitsaufwand. Gefundene Probleme werden nicht automatisch behoben. Vielmehr bist allein du für deine Website und Sicherheitskorrekturen verantwortlich. Dies kann natürlich ein Vorteil für diejenigen sein, die wissen, was sie tun. Für Anfänger kann es aber auch eine Herausforderung bedeuten. Beachte aber, dass die Pro-Version etwa 30 Probleme automatisch behebt, falls du dich für diese Option entscheidest.

Support und Dokumentation:

Support für die kostenlose Version wird über WordPress.org-Foren angeboten. Für die Pro-Version gibt es ein Support-Ticketsystem. Es gibt eine ausführliche Dokumentation.

Preise und Tarifoptionen:

• Wie bereits erwähnt, enthält Security Ninja Free über 50 Sicherheitsprüfungen und ist kostenlos.
• Security Ninja Starter bietet zusätzlich eine Firewall, einen Malware-Scanner und Autokorrektur und mehr für 49 US-Dollar pro Website. Wenn du den Schutz für mehr als eine Website haben möchtest, kannst du den Plus-Tarif (drei Websites) für 129 US-Dollar im Jahr oder den Pro-Tarif (fünf Websites) für 199 US-Dollar im Jahr erwerben. Bei jedem Tarif besteht außerdem die Möglichkeit, gegen einen Aufpreis eine Lizenz auf Lebenszeit zu erwerben. 

Empfohlen für: 

Website-Betreiber, die sich einen genauen Überblick über die Sicherheit ihrer Website verschaffen möchten, und solche, die zumindest über ein durchschnittliches Know-how über WordPress und Sicherheit verfügen.

9. SecuPress

SecuPress bietet eine Vielzahl von Sicherheitsfunktionen in einem Plugin, ohne deine Website zu sehr zu belasten. Sowohl die kostenlose als auch die Premium-Version sind für Benutzer jeder Kenntnisstufe leicht zu verwenden. Zu den besten Funktionen zählt der Sicherheitsbericht: Er zeigt dir, wo deine Website in puncto Sicherheit steht, und gibt klare Empfehlungen für Verbesserungen.

Die wichtigsten Funktionen von SecuPress:

• Ein Website-Integritätsscanner
• Begrenzung von Anmeldeversuchen
• Funktionen für die Sicherheitshärtung von WordPress
• Zweistufige Authentifizierung
• Malware-Scans
• Datenbank- und Datei-Backups

Benutzerfreundlichkeit:

SecuPress hat eine einfache Benutzeroberfläche, die für Website-Betreiber leicht zu navigieren ist, ganz gleich, wie viel Erfahrung sie mitbringen. Funktionen sind nach ihrem Zweck in Kategorien unterteilt und es wird erklärt, wozu sie jeweils auf der Website eingesetzt werden.

Support und Dokumentation:

Die kostenlose Version umfasst Support über die WordPress-Foren. Für die Premium-Version gibt es ein Ticketsystem. 

Preise und Tarifoptionen:

• SecuPress Free ist kostenlos und umfasst u. a. den Integritäts-Scanner, zahlreiche Funktionen zur Sicherheitshärtung sowie die Begrenzung von Anmeldeversuchen.
• SecuPress Pro bietet neben weiteren fortgeschrittenen Funktionen zusätzlich zweistufige Authentifizierung, Malware-Scan und Backups für 69,99 US-Dollar im Jahr.

Empfohlen für: 

Kleine Unternehmen, insbesondere solche, die ein wenig Geld in ein WordPress-Sicherheits-Plugin investieren können. Da die wichtigsten Funktionen wie das Scannen auf Malware in der kostenlosen Version nicht enthalten sind, empfehlen wir den Kauf der Premium-Version.

10. Astra Security

Astra Security ist ein reines Premium-Sicherheitstool, das von den Entwicklern als „All-in-one-Sicherheitssuite für umfassenden Schutz mit wenig Aufwand“ beschrieben wird. Zu beachten ist, dass das Plugin zwar WordPress-Websites schützt, aber nicht speziell für WordPress entwickelt wurde und für jede Art von Website verwendet werden kann. Da es nicht speziell auf WordPress ausgelegt ist, fehlen dir möglicherweise wertvolle plattformspezifische Funktionen.

Die wichtigsten Funktionen von Astra Security:

• Eine Website-Firewall
• Malware-Scans und -Bereinigung
• Sperrlisten-Überwachung
• Schutz vor bösartigen Bots
• Sperren von IPs und Ländern

Benutzerfreundlichkeit:

Astra Security ist einfach in der Bereitstellung und lässt sich relativ einfach konfigurieren. Außerdem steht das Premium-Support-Team für Unterstützung zur Verfügung.

Support und Dokumentation:

Die Höhe des Supports, den du erhältst, hängt von dem von dir erworbenen Tarif ab. Der Support wird über einen rund um die Uhr erreichbaren Live-Chat angeboten und für den Einstieg gibt es sowohl eine Dokumentation als auch eine Wissensdatenbank.

Preise und Tarifoptionen:

• Der Pro-Tarif umfasst u. a. eine Firewall, Malware-Bereinigung innerhalb von 12 Stunden, einen Malware-Scanner, Schutz vor bösartigen Bots und Bronze-Support für 228 US-Dollar im Jahr.
• Der Advanced-Tarif bietet neben anderen Funktionen zusätzlich über 300 Sicherheitstests, Malware-Bereinigung innerhalb von acht Stunden, Spam-Schutz und Silber-Support für 468 US-Dollar im Jahr.
• Der Business-Tarif bietet neben anderen Funktionen zusätzlich Malware-Bereinigung innerhalb von sechs Stunden, über 500 Sicherheitstests und Gold-Support für 1.428 US-Dollar im Jahr. 

Empfohlen für: 

Größere Unternehmen, insbesondere solche mit mehreren Websites auf verschiedenen Plattformen. Da dieses Plugin zu den teureren zählt und nicht speziell für WordPress entwickelt wurde, ist es höchstwahrscheinlich für die meisten WordPress-Blogs und Unternehmen nicht die beste Wahl. 

11. WPScan

WPScan ist ein Freemium-Plugin mit nur der einen Funktion, die Sicherheit deiner Website zu testen. Es ist zwar das einzige Plugin mit nur einer Funktion auf dieser Liste, aber es wurde aufgenommen, weil es hervorragend ist und etwas bietet, was die meisten anderen Plugins nicht haben. Es umfasst eine große Datenbank mit Sicherheitslücken, die beim Scannen berücksichtigt werden.

Die wichtigsten Features von WPScan:

• Führt Scans auf über 21.000 bekannte Sicherheitslücken in WordPress, Plugins und Themes durch
• Prüft debug.log-Dateien, wp-config.php-Backup-Dateien und exportierte Datenbankdateien, die Sicherheitsrisiken darstellen können
• Sucht nach unsicheren Passwörtern
• Prüft, ob XML-RPC und standardmäßige Sicherheitsschlüssel aktiviert oder verwendet werden

Benutzerfreundlichkeit:

Das Plugin ist sehr einfach einzurichten. Du musst dich nur auf der Website des Anbieters für einen API-Schlüssel registrieren, diesen Schlüssel zum installierten Plugin hinzufügen und zwischen sehr einfachen Einstellungen wählen.

Support und Dokumentation:

Support wird über die WordPress-Foren angeboten und es ist eine einfache Anleitung verfügbar.

Preise und Tarifoptionen:

Der Preis richtet sich nach der Anzahl der API-Anfragen, die du am Tag benötigst. WPScan stellt eine API-Anfrage für den WordPress-Core, eine für jedes installierte Theme und eine für jedes von dir verwendete Plugin. Wenn du also zehn Plugins und ein Theme installiert hast, wären das zwölf API-Anfragen pro Tag.

• Der Free-Tarif umfasst 25 API-Anfragen. Die überwiegende Mehrzahl der Websites fällt in diese Kategorie.
• Der Starter-Tarif umfasst 75 API-Anfragen und kostet 5 US-Dollar im Monat.
• Der Professional-Tarif umfasst 300 API-Anfragen und kostet 25 US-Dollar im Monat.

Empfohlen für: 

Jeden Website-Betreiber, der Sicherheitslücken überwachen möchte und kein Sicherheits-Plugin verwendet, das diese Funktion enthält. Es ist jedoch wichtig zu beachten, dass dies kein vollständiges Sicherheitspaket ist und vielmehr als Ergänzung gedacht ist.

12. Shield Security

Shield Security verfolgt eine einfache Strategie: Man beginnt mit der Vorbeugung und bietet dann auch eine Lösung an, falls eine Website doch einmal gehackt wird. Und da die meisten Sicherheitsprobleme auf das Konto von Bots gehen, ist Shield Security speziell darauf ausgelegt, diese vom Zugriff auf deine Website abzuhalten. Es bietet auch Funktionen, die gängige WordPress-Plugins wie Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 und Elementor schützen.

Die wichtigsten Funktionen von Shield Security:

• Ein Modul zur Erkennung von Bots
• Ein Scanner für Malware und Sicherheitslücken
• Spam-Erkennung
• Zweistufige Authentifizierung
• Eine Webanwendungs-Firewall

Benutzerfreundlichkeit:

Der Einstieg ist relativ einfach. Es gibt jedoch eine Vielzahl von Informationen und Einstellungen, die Einsteiger überfordern können.

Support und Dokumentation:

Kostenloser Support wird über die Foren von WordPress.org bereitgestellt. Premium-Support wird über ein Ticketsystem angeboten. Außerdem sind eine umfangreiche Dokumentation sowie Onlinekurse verfügbar.

Preise und Tarifoptionen:

• ShieldFREE ist kostenlos und umfasst u. a. Bot-Erkennung, zweistufige Authentifizierung und eine Firewall.
• ShieldPRO bietet zusätzlich u. a. einen Malware-Scanner, einen Sicherheitslücken-Scanner und Spam-Schutz für 79 US-Dollar im Jahr.

Empfohlen für: 

Website-Betreiber mit einem durchschnittlichen Sicherheitswissen, die etwas Geld in ein Premium-Plugin investieren können. Da die kostenlose Version keinen Malware-Scanner enthält, empfiehlt es sich, die Pro-Version zu erwerben.

Fazit: Was ist das beste WordPress-Sicherheits-Plugin? 

Auch wenn WordPress sehr sicher ist, ist es immer eine gute Idee, zusätzliche Schutzmaßnahmen zu ergreifen, um deine Daten und die deiner Besucher zu schützen. Websites können zwar unabhängig von ihrer Größe ins Visier von Angreifern geraten, aber mit der Popularität einer Website und dem Umfang ihrer Inhalte nimmt auch die Bedeutung zusätzlicher Sicherheitsmaßnahmen zu. 

Am einfachsten lässt sich die Sicherheit durch ein bewährtes Plugin erhöhen. Weil es so viele verschiedene Optionen gibt, kann die Entscheidung darüber, welches das beste WordPress-Sicherheits-Plugins für deine Website ist, aber schwierig sein. Bei dieser Entscheidung sollten Website-Betreiber die verfügbaren Präventions- und Bereinigungsmaßnahmen sowie die Kosten und die erforderlichen technischen Kenntnisse berücksichtigen. 

Jetpack, hinter dem ein Team von WordPress-Experten steht, ist die erste Wahl, wenn es um die Sicherheit von WordPress-Websites geht. Es bietet zuverlässige Funktionen zur Vermeidung und Behebung und hat gleichzeitig einen vernünftigen Preis, ist einfach einzurichten und der Support ist hervorragend. 

Wenn du nur nach einem Sicherheitsscanner suchst und nicht all die anderen Features und Funktionen haben möchtest, ist WPScan eine gute Wahl. Es ist nicht nur völlig kostenlos, sondern erkennt auch problemlos Sicherheitslücken und hilft dir so, die Sicherheit deiner WordPress-Website zu verbessern.

Wenn du ein Entwickler bist, der nach einer fortgeschrittenen, anpassbaren Variante sucht, solltest du BulletProof Security in Betracht ziehen. Damit kannst du so gut wie alles im Backend anpassen, sodass du einzigartige, umfassende Sicherheitsfunktionen für alle deine Kunden-Websites bereitstellen kannst.

Häufig gestellte Fragen zur Sicherheit von WordPress

Können WordPress-Plugins Viren enthalten?

Ja, unsichere WordPress-Plugins können Viren enthalten. Da WordPress quelloffen ist, kann jeder seinen Code ändern und verwenden, um neue Plugins zu erstellen. Das ist unglaublich hilfreich, denn es bedeutet, dass es für fast jeden Bedarf eine geeignete Lösung gibt, aber es bedeutet auch, dass unseriöse Entwickler das System ausnutzen können.

Aber alles, was du bei der Auswahl von Plugins brauchst, ist ein wenig Sorgfalt. Installiere nur Plugins aus einer vertrauenswürdigen Quelle (wie dem WordPress.org-Verzeichnis) und lies dir die Bewertungen aufmerksam durch, um Hinweise auf etwaige Probleme zu erhalten. Und was am wichtigsten ist: Installiere niemals genullte (oder kostenlose) Versionen von Premium-Plugins. Sie sind oft voller Malware und Sicherheitslücken. 

Kann WordPress gehackt werden?

Ja, WordPress kann, wie jedes andere Inhaltsverwaltungssystem auch, gehackt werden. Die meisten Hackerangriffe erfolgen jedoch durch völlig vermeidbare Methoden. Es gibt keinen Grund, warum deine Website stärker gefährdet sein sollte als andere, wenn du ein paar bewährte Praktiken beachtest und dazu etwa einen qualitativ hochwertigen Host auswählst, sichere Passwörter festlegst, deine Software aktualisierst und ein WordPress-Sicherheits-Plugin installierst. 

Bei welchen Arten von Websites ist die Wahrscheinlichkeit am größten, gehackt zu werden?

Auch wenn es vielleicht den Anschein hat, dass Hacker es nur auf große Websites mit hohem Traffic abgesehen haben, ist dies tatsächlich nicht der Fall. In Wirklichkeit sind kleine Unternehmen und Blogs genauso anfällig für Angriffe, wobei sie oft über weniger Sicherheitsmaßnahmen verfügen.

Die meisten Hacker nehmen nicht bestimmte Websites ins Visier. Stattdessen nutzen sie automatisierte Bots, um das Internet nach einfachen Angriffsmöglichkeiten zu durchsuchen. Und automatisierte Bots machen keine Unterschiede.

Brauche ich für meine Website eine Firewall?

Eine gute Firewall ist für jede Website empfehlenswert, da sie wie ein Schutzschild zwischen deiner Website und dem gesamten eingehenden Traffic fungiert. Eine Firewall sollte in jedem Hosting-Tarif enthalten sein, für den du dich entscheidest. Damit ist deine Website auf Serverebene geschützt. Du solltest aber auch eine Webanwendungs-Firewall installieren, um deine Website vor Angriffen zu schützen, die speziell auf Inhaltsverwaltungssysteme abzielen.

Man kann sich eine Firewall wie einen Wächter vorstellen, der an der Tür deiner Website steht. Er überwacht jeden Besucher und Bot, der vorbeikommt, identifiziert verdächtige Personen (wie bösartige IP-Adressen, Botnets und Traffic zu versteckten Seiten) und blockiert sie, bevor sie überhaupt eine Chance zum Angriff haben. Die beste und einfachste Möglichkeit, eine Firewall zu deiner WordPress-Website hinzuzufügen, ist ein Plugin.

Ist WordPress für E-Commerce-Websites sicher?

Wenn es um die Sicherheit von WooCommerce geht, solltest du wachsam sein. Schließlich bist du nicht nur für den Schutz deiner Websitedateien und Datenbank zuständig, sondern auch für den von Kundendaten. WordPress ist jedoch eine ausgezeichnete und sichere Wahl für einen Onlineshop.

Wie die meisten beliebten Inhaltsverwaltungssysteme kann es Ziel eines Hackerangriffs werden. Allerdings verfügt es über unzählige integrierte Sicherheitsmaßnahmen, die deine Website schützen. Und wenn du einige bewährte Praktiken befolgst und etwa sichere Passwörter, einen qualitativ hochwertigen Host und ein gutes WordPress-Sicherheits-Plugin verwendest, steht deinem Website-Erfolg nichts im Weg. 

Wie kann ich meine WordPress-Sicherheit prüfen?

Am besten startest du mit einem Tool für Malware-Scans. Damit wird deine Website auf verdächtigen Code gescannt und du wirst im Fall der Fälle benachrichtigt. Manche Tools beheben gefundene Probleme auch automatisch.

Hier noch ein paar weitere Möglichkeiten, wie du deine WordPress-Sicherheit prüfen kannst:

• Sorge dafür, dass dein SSL-Zertifikat funktioniert. Ein SSL-Zertifikat schützt die auf deiner Website übertragenen Daten wie Zahlungs- und Kontaktinformationen. Um festzustellen, ob deines funktioniert, prüfe einfach, ob das Schloss-Icon neben deiner URL in deinem Browser zu sehen ist.
• Überwache Ausfallzeiten. Ein Ausfall deiner Website könnte ein Hinweis auf einen Hackerangriff sein. Installiere ein automatisiertes Tool, das dich benachrichtigt, wenn deine Website nicht mehr erreichbar ist, damit du das Problem sofort beheben kannst.
• Stelle sicher, dass der Browser keine Sicherheitswarnungen ausgibt. Wenn deine Website gehackt wurde, zeigen Browser wie Google Chrome und Safari eine Sicherheitswarnung an, wenn du deine URL eingibst. Um optimale Ergebnisse zu erzielen, sollten Sie deine Website im Inkognito- oder privaten Modus aufrufen.
• Sieh dir die Benachrichtigungen in der Google Search Console an. Wenn du ein Google Search Console-Konto hast, kannst du schnell den Bericht zu Sicherheitsproblemen aufrufen. Dieser gibt dir Aufschluss darüber, ob deine Website gehackt wurde oder ob unsichere Praktiken verwendet werden.
• Befolge bewährte Praktiken für Sicherheit. Der beste Weg, um die Sicherheit deiner WordPress-Website zu gewährleisten, ist die Implementierung guter Sicherheitsmaßnahmen. Ergreife die richtigen Maßnahmen, um die Sicherheit deiner Website zu erhöhen (anhand eines Leitfadens aus einer vertrauenswürdigen Quelle wie Jetpack), und du kannst dir sicher sein, gegen Hacker anzukommen. 

---