Sicherheits Plugins Wordpress

superolli · **superolli** » 17.11.2015, 19:14 **Sicherheits Plugins Wordpress**

Hallo,

welche Sicherheits-Plugins könnt Ihr empfehlen.

Das Better WP Security (oder wie es jetzt heisst) habe ich versucht, da verstehe ich 76% der Einstellungen nicht was die machen oder auch nicht....

Grüße
Oliver

superolli · **superolli** » 18.11.2015, 08:08 **Sicherheits Plugins Wordpress**

gitschi hat geschrieben:Wordfence > https://de.wordpress.org/plugins/wordfence/ , bin mit der kostenlosen Version sehr zufrieden!

Danke vorab, sehe ich das richtig, dass ich mit Wordfence kein Antivirus, keim Limit Login Attempt und auch keine Antispam Bee mehr benötige?

Vorausgesetzt ich behalte es

?

Melegrian · **Melegrian** » 18.11.2015, 14:56 **Sicherheits Plugins Wordpress**

Weiß ich nicht, doch Antispam Bee ist ja erst einmal keine schlechte Wahl und dazu dann noch ein paar Sicherheitstipps von Sergej Müller beachten, dann bist Du auf dem richtigen Weg. Leider finde ich die heute nicht mehr, doch es beginnt mit einem anderen Präfix für die Datenbank und endet mit einem htaccess-Schutz für den Admin-Bereich, alles zusammen ist dann sicherer als jedes Plugin. Irgendwo las ich, dass er sich wohl in diesem Jahr in den Ruhestand versetzte.

pimpi · **pimpi** » 18.11.2015, 15:00 **Sicherheits Plugins Wordpress**

Better WP Security habe ich wieder entfernt, nachdem es mich selbst dauernd ausgesperrt hatte. Ich nutze "AntiSpam Bee" für Kommentare und dazu eine 2-Faktor-Authorisierung via Google Authenticator: https://wordpress.org/plugins/google-authenticator/

Funktioniert 1a, ist smart. Lücken sind halt vor allem unsichere Plugins/Themes oder marode Server.

Vegas · **Vegas** » 18.11.2015, 15:07 **Sicherheits Plugins Wordpress**

Mit den Sicherheitsplugins ist es wie mit Virenscannern am PC, ich würde nicht mehrere gleichzeitg installieren bzw. aktivieren, wenn sich die Funktionen überschneiden. Die alte Geschichte mit den vielen Köchen und dem Brei.

superolli · **superolli** » 23.11.2015, 08:09 **Sicherheits Plugins Wordpress**

Und auch das hier abzurunden: ich nutze jetzt Wordfence und Antispam Bee. Scheint gut zu laufen.

Mµ · Mµ » 24.11.2015, 10:39 **Sicherheits Plugins Wordpress**

Moin, ich nutze: Gar keine. Ich empfehle einen manuellen Eingriff auf Server-Struktur. Denn was ein Plugin machen kann, kann ein anderes theoretisch auch wieder deaktivieren.
Ich versehe also händisch meinen Log-In-Bereich via htaccess mit einem Passwort-Zugang. Dann habe ich (auch in der htaccess) die berüchtigte xmlrpc-Datei (Schnittstelle) geblockt. Auch habe ich alle Dateien, bei denen es geht, per ftp auf 444 gesetzt (keine Ausführung). Dies betrifft insbesondere die Dateien meines Templates. Ich hatte auch auch das wp-content-Verzeichnis umbenannt (bzw. das System entsprechend darauf konfiguriert). Ich denke, durch solche manuellen Eingriffe ist ein weit soliderer Schutz möglich. Ich weiß auch konkret, was geändert wurde.
Anleitungen hierzu gibt es auf diversen Blogs.
Hatte leider im Frühjahr einen massiven "Randalierer" (zum Glück ein halbwegs aktuelles Backup) und mich daraufhin mit der Sicherheit beschäftigt.

Gruß,
Thomas

Vegas · **Vegas** » 24.11.2015, 11:40 **Sicherheits Plugins Wordpress**

Du sprichst einen ganz wichtigen Punkt an, den viele übersehen: Wordpress selbst ist im Grunde recht schnell und einfach zu sichern, die Wundertüte sind Plugins und Themes. Ich sehe oft Installationen mit 20 oder mehr Plugins. Drittanbieter legen den Fokus bei der Programmierung leider teils rein auf Funktionalität, der eher aufwendige und nach außen nicht sichtbare Aspekt Sicherheit kommt schnell zu kurz und selbst offiziell bekannte Lücken werden erst mit starker Verzögerung geschlossen.

So ehrbar es ist, daß so viele Leute kostenlos Plugins und Themes bereiststellen, wer keine bösen Überraschungen erleben will müßte eigentlich jedes einzelne Plugin und Theme vorab erstmal vom Fachmann überprüfen lassen. Da finden sich teils haarsträubende Sachen, angefangen bei vermeindlich banalen Dingen wie der Frage, ob ein Nutzer der eine bestimmte Aktion ausführen will denn überhaupt berechtigt/eingeloggt ist...und das bei Plugins mit XXXXX+ Installationen.