Weitere Artikel der Serie
Security Plugins für WordPress: #1 Sicherheit ist wichtig
Security Plugins für WordPress: #2 Wordfence Security
Security Plugins für WordPress: #3 iThemes Security
Security Plugins für WordPress: #4 NinjaFirewall
Security Plugins für WordPress: #5 Sucuri Security
Security Plugins für WordPress: #6 All In One WP Security
Security Plugins für Wordpress: #7 VaultPress
Wordpress ist Angriffsziel Nummer 1
Über Sicherheit machen sich meist nur sehr wenige Leute Gedanken. Ein typisches Beispiel dafür sind die Backups vom Webspace und dem eigenen Computer, denn wer wirklich sicher sein will, dass seine Daten niemals verloren gehen, der muss Geld in die Hand nehmen und entsprechende Kopien anlegen, die extern gespiegelt werden. Aufwand und Kosten halten viele Menschen also vom Thema Sicherheit fern, doch gerade bei Wordpress wird selbige immer wichtiger. Das CMS hat sich mittlerweile nämlich nur zur Nummer 1 unter den Nutzern etabliert, ist damit aber auch zum Angriffsziel Nummer 1 unter den Hackern geworden. Der Grund dafür ist einfach, denn mit automatisierten Attacken auf Wordpress-Systeme, erreichen die Angreifer viele Blogs auf einmal, die alle denselben Unterbau nutzen. Ist also erst einmal eine Lücke gefunden, lässt sich diese nicht nur auf einer Website ausnutzen, sondern auf allen die Wordpress verwenden. Herauszufinden welche Website Wordpress nutzt ist außerdem denkbar einfach, der Code ist bekannt, was bei speziellen Eigenentwicklungen eher selten der Fall ist. Wordpress ist aktuell also ein Angriffsziel und desto mehr Anwender Wordpress verwenden, desto mehr Angriffe folgen auch.
Warum Wordpress Sicherheit wichtig ist
Wordpress ist also ein häufiges Ziel für Attacken und die meisten Angriffe laufen dabei inzwischen schon vollautomatisiert ab. Mal geht es nur darum Spam und Links zu integrieren, mal wird versucht gezielt die Datenbank auszulesen, mal gibt es SQL Injections oder Angriffe auf einzelne Dateien von Wordpress. Warum Sicherheit also so wichtig ist? Ganz einfach, denn haben sich Angreifer erst einmal Zugriff verschafft und Schadcode integriert, lässt sich dieser kaum noch sauber entfernen. Meistens hilft dann auch kein Backup mehr, Wordpress muss komplett neu installiert werden und vermutlich werden am Ende einige Inhalte fehlen, weil diese bereits infiziert waren.
Viel schlimmer ist aber, dass Schadcode in Wordpress meistens gar nicht großartig auffällt. Er wird in Plugins, Themes, oder in Dateien von Wordpress selbst integriert, also an Stellen versteckt die niemand vermutet oder entdeckt bzw. an Orten, die eben einfach nicht kontrolliert werden oder kontrolliert werden können. Theoretisch könnte eure Wordpress-Installation also schon längst befallen sein, ohne dass ihr auch nur das geringste davon mitbekommt. Auch deshalb ist Sicherheit bei dem CMS so wichtig, weil entsprechende Security Plugins Angriffe protokollieren, abblocken, die Inhalte auf Schadecode scannen und mehr. Agieren ist besser als reagieren, oder wie heißt es so schön. Also lieber vorher für Sicherheit sorgen, als nachher zu versuchen das brennende Haus zu löschen.
Bots, Spammer, Hacks und die Performance
Ein weiterer Punkt beim Thema Wordpress Security ist die Performance. All die Angriffe, die Bots und aggressive Crawler nämlich verursachen, belasten auch euren Server. All die Zugriffe und Aktionen, die sie automatisiert ablaufen, reduzieren also ganz einfach gesagt auch die Leistung eurer Website. Wer nun aber all die Angriffe und die bösen Crawler und Bots blockiert, der erhält im Idealfall wieder Leistung hinzu. Die automatischen Zugriffe sinken dann, gleichzeitig steigt aber die Performance für die echten Nutzer an. Auch wenn ein Security Plugin also oft selbst einiges an Leistung frisst, so ist der Performance-Gewinn im Idealfall deutlich höher.
Bei manchen Plugins ist das leider nicht der Fall, andere sorgen aber tatsächlich dafür, dass deutlich weniger Ressourcen verschlungen werden und die allgemeine Leistung des Servers wieder ansteigt. Das ist natürlich nicht nur bei DDoS-Attacken so, die von Security Plugins oft komplett blockiert werden können und damit ins leere laufen, das ist auch bei all den “normalen” Angriffen der Fall, die ebenfalls unauffällig die Ressourcen eures Servers verschlingen. Groß auffallen wird euch der Performance-Gewinn am Ende zwar trotzdem nicht, doch gerade zu Spitzenzeiten macht sich so etwas dann eben doch deutlich bemerkbar. Sicherheit bringt bei Wordpress im Idealfall also auch Performance.
Wordpress Security Plugins im Test
Das große Problem beim Thema Wordpress Security ist nun aber mal wieder, dass es nicht ein Plugin bzw. eine Möglichkeit gibt, sondern unzählige. Manche davon sind Premium, andere wollen kostenlos für Sicherheit sorgen, andere werben durch ihre Zusammenarbeit mit großen Unternehmen oder prominenten Entwicklern. Die Übersicht behalten fällt da wieder sehr schwer, eigentlich ist es schier unmöglich. Hinzu kommt dann noch die Tatsache, dass Sicherheit eine heikle Angelegenheit ist.
Welchem Entwickler traue ich also, wer liefert permanente und solide Updates, welches Plugin weist Sicherheitslücken auf und wer meint es wirklich gut mit mir bzw. wer will nur mein Geld für vermeintlich mehr Sicherheit? Neben solchen grundsätzlichen Fragen, geht es dann gleich technisch weiter. Welches Security Plugin für Wordpress scannt was genau und wie viel Performance verbraucht es dabei bzw. bringt es durch das Blocken der Attacken wieder Leistung ein? So viele Fragen, die sich meist nur im aufwendigen Test klären lassen. Ich habe mir in den letzten Monaten also mal so ziemlich alle großen Security Plugins für Wordpress angeschaut, sie genau unter die Lupe genommen, detailliert getestet, ihre Leistung geprüft und vieles mehr. Meine Ergebnisse resultieren nun in dieser Artikelserie. Diese beinhaltet mehrere Tipps und Tricks, aber eben auch Testberichte zu den wichtigsten Wordpress Security Plugins. Viel Spaß beim lesen.
