Auswahl des besten WordPress-Sicherheits-Plugins: Top 12 Plugins im Vergleich

Sicherheit ist absolut unerlässlich, egal ob Sie ein Blog, eine Website für kleine Unternehmen oder einen E-Commerce-Shop besitzen. Wenn Ihre Website jemals gehackt wird, riskieren Sie schließlich, Ihren Ruf zu schädigen, Ihre Dateien und Datenbanken zu verlieren, Ihre SEO-Rankings zu beeinträchtigen und persönliche Kunden- und Besucherdaten an Hacker weiterzugeben.

Wie bei vielen Dingen im Leben ist Vorbeugen viel besser als Behandlung. Und glücklicherweise macht es WordPress einfach, Ihre Website zu sichern und einen Hack zu verhindern.

Wir werden uns 12 der besten WordPress-Sicherheits-Plugins eingehend ansehen, sie in einer Vielzahl von Bereichen vergleichen und Ihnen helfen, das beste Plugin für Ihre spezielle Website auszuwählen. Außerdem beantworten wir einige allgemeine WordPress-Sicherheitsfragen.

Benötige ich ein WordPress-Sicherheits-Plugin?

Sie benötigen nicht unbedingt ein WordPress-Sicherheits-Plugin, um eine sichere Website zu betreiben. Viele Best Practices – wie regelmäßige Updates und sichere Passwörter – können ohne eines implementiert werden. Die besten WordPress-Sicherheits-Plugins bringen die Dinge jedoch auf die nächste Stufe, indem sie eine zusätzliche Sicherheitsebene hinzufügen und es einfacher machen, erweiterten Schutz ohne die Hilfe eines Entwicklers hinzuzufügen.

Und Sicherheit ist ein Bereich, an dem Sie nicht sparen sollten. Unabhängig davon, welche Art von Website Sie betreiben, ein Hack kann ernsthafte Auswirkungen darauf haben, wie Besucher, Kunden und Kunden Ihre Marke wahrnehmen. Es kann auch Ihr Suchmaschinenranking beeinträchtigen (Google mag keine unsicheren Websites), die Anzahl der Verkäufe und Leads, die Sie erhalten, verringern und Informationen wie Kreditkartendaten gefährden.

Obwohl ein WordPress-Sicherheits-Plugin nicht unbedingt erforderlich ist, ist es eine gute Idee, eines für jede Website zu verwenden.

Vergleich der besten Sicherheits-Plugins für WordPress

Lassen Sie uns die zwölf besten WordPress-Sicherheits-Plugins vergleichen, um Ihnen bei der Auswahl der besten Option für Ihre Website zu helfen:

Sie können die obige Liste verwenden, um schnell zu bestimmten Plugins zu scrollen und ihre wichtigsten Funktionen, Preisoptionen und vor allem zu überprüfen, wie sie zum Schutz Ihrer Website beitragen können.

1. Jetpack-Sicherheit

Im Gegensatz zu vielen anderen Plugins übernimmt Jetpack Security mehrere Aufgaben: Kostenlose und kostenpflichtige Funktionen umfassen alles von der Verhinderung von Brute-Force-Angriffen bis hin zur Überwachung von Ausfallzeiten, Backups, Malware-Scans, Spam-Schutz und mehr. Diese Funktionen bilden zusammen ein ganzheitliches WordPress-Sicherheits-Plugin, das für Anfänger einfach zu verwenden ist, aber umfassend genug für die größte Website. Und als Bonus, da Scans auf Jetpack-Servern ausgeführt werden, verlangsamen sie Ihre Website nicht.

Jetpack wird auch von den Leuten hinter WordPress.com entwickelt und unterstützt, speziell für WordPress. Das Jetpack-Team kennt WordPress in- und auswendig und versteht die genauen Probleme, mit denen WordPress-Site-Besitzer jeden Tag konfrontiert sind, weshalb es das beste verfügbare Sicherheits-Plugin ist.

Hauptmerkmale von Jetpack Security:

• Tägliche und automatisierte Backups in Echtzeit
• Tägliche Malware-Scans in Echtzeit
• Automatisierter Spam-Schutz
• Ein detailliertes Aktivitätsprotokoll, das alles zeigt, was auf Ihrer Website passiert
• Stillstandsüberwachung
• Schutz vor Brute-Force-Angriffen
• Zwei-Faktor-Authentifizierung
• Eine mobile App mit Warnungen und Zugriff auf Backups, Scan-Ergebnisse und das Aktivitätsprotokoll

Lassen Sie uns auf einige dieser Funktionen etwas detaillierter eingehen.

Schutz vor Brute-Force-Angriffen

Bei einem Brute-Force-Angriff verwenden Hacker Bots, um Benutzernamen- und Passwortkombinationen zu erraten, bis sie die richtige gefunden haben. Da sie große Computernetzwerke verwenden, können sie jede Sekunde Tausende von Passwörtern ausprobieren.

Die Brute-Force-Angriffsschutzfunktion von Jetpack blockiert unerwünschte Anmeldeversuche von böswilligen IPs, bevor sie Ihre Website erreichen.

Stillstandsüberwachung

Die Jetpack-Ausfallzeitüberwachung besucht Ihre Website von Standorten auf der ganzen Welt und sendet Ihnen eine sofortige Benachrichtigung, wenn sie ausfällt. Warum ist das hilfreich? Sie können kein Problem beheben, von dem Sie nichts wissen! Wenn Ihre Website für längere Zeit ausfällt, können Sie Traffic, Verkäufe und sogar Suchmaschinenrankings verlieren. Mit der Ausfallzeitüberwachung werden Sie sofort über Probleme informiert, sodass Sie diese so schnell wie möglich lösen können.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung fügt Ihrer Anmeldeseite ein zusätzliches Maß an Sicherheit hinzu, indem mehr als nur ein Benutzername und ein Passwort erforderlich sind. Wenn Sie sich bei Ihrer Website anmelden, sendet Jetpack einen Code an Ihr Telefon, den Sie eingeben müssen. Das bedeutet, dass ein Hacker, um hineinzukommen, Ihren Benutzernamen und Ihr Passwort kennen und Ihr mobiles Gerät physisch haben müsste – eine unwahrscheinliche Kombination.

Automatisierte Backups

Wenn Ihre Website aus irgendeinem Grund unterbrochen wird, ist ein vollständiges Backup von unschätzbarem Wert. Stellen Sie sich vor, Sie verlieren all Ihre harte Arbeit, das investierte Geld und die Daten Ihrer Kunden oder Besucher. WordPress-Backups sorgen für Seelenfrieden.

Aber nicht alle Backup-Lösungen sind gleich. Jetpack-Backups sind:

• Automatisiert , sodass Sie keine manuellen Backups erstellen müssen.
• Sicher , damit Ihre Backups geschützt und immer verfügbar sind.
• Einfach einzurichten , was besonders hilfreich ist, wenn Sie mit Codierung oder Serververwaltung nicht vertraut sind.
• Schnelle Wiederherstellung , damit Sie Ihre Website so schnell wie möglich wieder zum Laufen bringen können.
• Verfügbar in zwei Formaten : täglich und in Echtzeit.

Tägliche Backups erfolgen automatisch einmal am Tag und sind eine großartige Lösung für Restaurants, Blogs und andere Websites, die nicht mehr als einmal alle 24 Stunden aktualisiert werden.

Echtzeit-Backups erfolgen automatisch, während Sie arbeiten, sodass Sie eine minutengenaue Aufzeichnung Ihrer Website haben – jede Änderung wird gespeichert, während Sie sie vornehmen. Sie eignen sich perfekt für Online-Shops, Mitgliederseiten, Foren und jede Website, die regelmäßig aktualisiert wird.

Unabhängig von der gewählten Option können Sie sich darauf verlassen, dass Ihre Website gesichert ist und bei Bedarf mit wenigen Klicks wiederhergestellt werden kann.

Automatisiertes Malware-Scannen

Wenn ein Hacker Zugriff auf Ihre Website erhält, kann er eine „Hintertür“ einschleusen – eine Art von Malware, die es ihm ermöglicht, jederzeit auf Ihre Website zuzugreifen, wenn er Daten stehlen oder Malware oder Viren ohne Ihr Wissen einschleusen möchte. Malware gefährdet Ihren Ruf und gefährdet Ihre Informationen und die Daten Ihrer Kunden.

Hier kommt Jetpack Scan ins Spiel. Es führt tägliche automatische Malware-Scans Ihres Site-Codes durch und sucht nach verdächtigen Dingen. Sobald eine Bedrohung erkannt wird, erhalten Sie eine E-Mail-Benachrichtigung mit detaillierten Informationen zu infizierten Dateien.

Und es wird noch besser: Jetpack behebt automatisch die meisten bekannten Bedrohungen. So werden Sie nicht nur sofort über Probleme informiert, sondern müssen wahrscheinlich auch keinen Finger rühren, um sie zu beheben.

Automatisierte Spam-Filterung

Spam tritt oft in Form von irrelevanten Kommentaren auf, die Links zu anrüchigen Websites enthalten. Mit der richtigen Software können Spammer Millionen von Kommentaren hinterlassen – die schnell unüberschaubar werden.

Jetpack Anti-Spam filtert automatisch Kommentare, Pingbacks und Kontaktformulare nach bekanntem Spam, wodurch Sie Stunden an Zeit sparen. Wenn Sie sich Sorgen machen, dass echte Kommentare als Spam markiert werden, können Sie sie überprüfen und alles wiederherstellen, was Sie möchten, oder Jetpack einfach so einstellen, dass es die schlimmsten Kommentare entfernt, damit Sie sie nie sehen müssen.

Die mobile Jetpack-App

Hacker hören nicht auf, nur weil Sie nicht an Ihrem Computer sind. Mit der mobilen Jetpack-App können Sie die Aktivitäten vor Ort überprüfen, ein Backup wiederherstellen und die Ergebnisse von Malware-Scans anzeigen, egal wo Sie sich befinden.

Außerdem erhalten Sie sofortige Benachrichtigungen, wenn Ihre Website ausfällt oder wenn Malware gefunden wird, für ultimative Sicherheit. Finden Sie etwas falsch? Sie können die meisten bekannten Bedrohungen mit einem Klick direkt aus der App lösen.

Benutzerfreundlichkeit:

Jetpack ist so konzipiert, dass absolut jeder Websitebesitzer es verwenden kann, unabhängig von seinen technischen Fähigkeiten. Alle Funktionen können mit nur wenigen Klicks aktiviert werden, ohne dass Programmierkenntnisse oder Entwickler erforderlich sind.

Support und Dokumentation:

Jetpack wird von WordPress-Experten gewartet und unterstützt, die sich wirklich um Sie, Ihre Website und Ihr Unternehmen kümmern – passenderweise werden sie Happiness Engineers genannt. Ein kostenloser Plan beinhaltet hochwertigen E-Mail-Support, und kostenpflichtige Pläne bieten schnellere, priorisierte Aufmerksamkeit, sodass Sie die benötigte Hilfe genau dann erhalten, wenn Sie sie brauchen.

Es gibt auch eine umfangreiche Dokumentation, die Sie durch die Einrichtung und Fehlerbehebung führt.

Preis- und Planoptionen:

• Jetpack Free umfasst Ausfallzeitüberwachung, Schutz vor Brute-Force-Angriffen und ein Aktivitätsprotokoll mit den letzten 20 Ereignissen kostenlos.
• Jetpack Security Daily umfasst alle Funktionen sowie tägliche Backups, tägliche Sicherheitsscans und ein 30-tägiges Aktivitätsprotokoll ab 11,97 $ pro Monat.
• Jetpack Security Real-time umfasst alle Funktionen sowie Echtzeit-Backups, Echtzeit-Sicherheitsscans und ein einjähriges Aktivitätsprotokoll ab 33,57 $ pro Monat.
• Sie können einige Funktionen auch einzeln erwerben, wie Jetpack Backup, Jetpack Scan und Jetpack Anti-Spam ab 4,77 $ pro Monat.

Gut für:

Blogs, E-Commerce-Shops und Websites jeder Größe. Jetpack Security ist das umfassendste und beste WordPress-Sicherheits-Plugin für praktisch jedes Szenario.

2. Wordfence

Wordfence ist eine Webanwendungs-Firewall, die auch einige zusätzliche Funktionen wie Malware-Scanning bietet. Da die Firewall eine Endpoint-Firewall ist, lässt sie sich tief in WordPress integrieren, kann nicht umgangen werden und kann keine Daten preisgeben. Dies macht es viel sicherer als Cloud-Alternativen.

Sobald Sie Wordfence eingerichtet haben, erhalten Sie E-Mail-Benachrichtigungen, wenn es etwas Besorgniserregendes wie ein veraltetes Plugin, einen bösartigen Code oder einen Virus erkennt.

Wordfence hat jedoch den Ruf, Ihre Website zu verlangsamen, da es viele schwere Datenbanktabellen hinzufügt und Ihren Server während Malware-Scans belastet.

Hauptmerkmale von Wordfence:

• Eine Firewall für Webanwendungen
• Ein Sicherheitsscanner
• Durchgesickerter Passwortschutz
• Zwei-Faktor-Authentifizierung
• Manuelle Blockierung und Länderblockierung
• Automatisierte Dateireparatur

Sehen wir uns einige dieser Funktionen genauer an.

Firewall für Webanwendungen

Die Firewall ist sicherlich das mächtigste Feature von Wordfence. Es nutzt die Daten, die von den mehr als vier Millionen geschützten Websites gesammelt wurden, um zu verstehen, wie Hacker angreifen, wie Angriffe aussehen und woher sie kommen. Sie aktualisieren regelmäßig ihre Firewall-Regeln und die Liste bösartiger IP-Adressen, die sie zum dauerhaften Schutz blockieren.

Sicherheitsscanner

Der Sicherheitsscanner überprüft Ihre Website auf Malware, schädliche URLs, Spam, böswillige Weiterleitungen und Code-Injektionen. Es meldet auch alle Änderungen an WordPress-Kerndateien, bekannte Sicherheitslücken und veraltete Plugins.

Manuelle Blockierung und Länderblockierung

Premium-Pläne bieten Zugriff auf diese Funktionen, die der Firewall im Wesentlichen nur zusätzliche Leistung verleihen. Mit der manuellen Blockierung können Sie wählen, ob Sie ganze bösartige Netzwerke oder beliebige menschliche oder Roboteraktivitäten blockieren möchten. Mit der Länderblockierung können Sie den gesamten Datenverkehr aus einem bestimmten Land blockieren, was während eines Angriffs besonders nützlich sein kann. Beachten Sie, dass eine langfristige Länderblockierung für SEO-Zwecke nicht empfohlen wird.

Automatisierte Dateireparatur

Wenn Wordfence feststellt, dass eine zentrale WordPress-Datei auf unappetitliche Weise geändert wurde, können Sie die Datei mit nur einem Klick in ihren ursprünglichen Zustand zurückversetzen. Es ist jedoch wichtig zu beachten, dass sich dies vom Entfernen von Malware oder dem Reparieren einer gehackten Website unterscheidet, was Ihnen zusätzliche 490 $ von Wordfence einbringt.

Benutzerfreundlichkeit:

Während Wordfence von Personen ohne technische Kenntnisse verwendet werden kann, kann das Einstellungsfenster überwältigend und kompliziert sein. Alle Funktionen werden auf einmal aufgelistet und es kann schwierig sein zu verstehen, was Ihre Website benötigt. Standardmäßig sendet Wordfence auch viele E-Mail-Benachrichtigungen, von denen viele keine Antwort vom Websitebesitzer erfordern, und es kann für Anfänger schwierig sein zu verstehen, was sie mit jeder einzelnen tun müssen.

Support und Dokumentation:

Wordfence bietet kostenlosen Support über die WordPress-Foren und Premium-Support über ein Online-Ticketsystem. Sie haben auch eine Dokumentationsdatenbank, die Details zur Einrichtung und Fehlerbehebung des Plugins enthält.

Preis- und Planoptionen:

• Wordfence Free enthält die grundlegende Webanwendungs-Firewall, den Malware-Scanner und den Schutz vor Brute-Force-Angriffen kostenlos.
• Wordfence Premium fügt Funktionen wie Echtzeit-Firewall-Updates, IP-Sperrlistenprüfungen und Ländersperren für 99 US-Dollar pro Jahr hinzu.

Gut für:

Kleine Websites, die speziell nach einer Firewall suchen und wichtige Daten wie Kreditkarteninformationen nicht schützen müssen. Obwohl Wordfence zusätzliche Funktionen enthält, ist es nicht das umfassendste WordPress-Sicherheits-Plugin auf dieser Liste. Die Web Application Firewall zeichnet sie aus.

3. iThemes-Sicherheit

iThemes Security ist ein Freemium-Plug-in, das sich mehr auf die Härtung Ihrer Website konzentriert – das Hinzufügen von Schutzschichten – als das Identifizieren und Lösen von Hacks. Sie tun dies durch Sicherheitsmaßnahmen wie das Festlegen korrekter Dateiberechtigungen, das Erzwingen starker Passwörter und das Ändern von Anmelde-URLs.

Hauptmerkmale von iThemes Security:

• Brute-Force-Schutz
• Dateiänderung und 404-Erkennung
• Datenbanksicherungen
• Anmelde- und Admin-Seite ausblenden
• Starker Passwortschutz
• Zwei-Faktor-Authentifizierung

Hier sind weitere Details zu einigen dieser Funktionen:

Brute-Force-Schutz

Sperrt Personen aus, wenn sie mehrmals versuchen, einzudringen und scheitern. Dies hält Bots davon ab, Ihre Kombination aus Passwort und Benutzername in kurzer Zeit tausende Male zu erraten.

Datenbanksicherungen

Erstellen Sie automatisch Backups Ihrer Datenbank, die Ihnen dann per E-Mail zugesendet werden. Beachten Sie, dass dies nur die Datenbank umfasst, nicht Ihre Dateien, Medien, Plugins oder Designs.

Anmeldeseite ausblenden

Standardmäßig verwenden alle WordPress-Sites die URL /wp-admin für die Anmelde- und Dashboard-Seite. Dies macht es Hackern natürlich sehr einfach, diese Seite zu finden, da sie immer gleich ist. Das Ändern der URL in etwas anderes, was Ihnen iThemes Security ohne benutzerdefinierten Code ermöglicht, fügt eine zusätzliche Schutzebene hinzu.

Benutzerfreundlichkeit:

Wie Wordfence kann das iThemes-Einstellungs-Dashboard für Anfänger und nicht-technische Benutzer überwältigend sein. Es gibt viele kleine Einstellungen, die ein- oder ausgeschaltet werden können, und es ist schwierig zu wissen, welche für Ihre Website richtig sind.

Support und Dokumentation:

Die kostenlose Version von iThemes Security wird über die WordPress.org-Foren ausgeführt. Die Premium-Version enthält ein Ticket-Support-System. Es ist auch eine umfangreiche Dokumentation verfügbar.

Preis- und Planoptionen:

• iThemes Security Free enthält kostenlose Härtungsmaßnahmen, Datenbanksicherungen, Schutz vor Brute-Force-Angriffen und Schutz vor Dateiänderungen (neben anderen Funktionen).
• iThemes Blogger (Premium) fügt geplante Malware-Scans, Zwei-Faktor-Authentifizierung und reCAPTCHA (neben anderen Funktionen) hinzu und kostet 80 US-Dollar pro Jahr und Website.

Gut für:

Anmeldeschutz und Seitenhärtung. Obwohl eine Vielzahl anderer Funktionen enthalten sind, handhaben viele der anderen WordPress-Sicherheits-Plugins diese besser und auf eine Weise, die für Benutzer einfacher ist.

4. Sukuri

Sucuri ist eine Cloud-basierte WordPress-Sicherheitslösung, was bedeutet, dass sie vollständig auf ihren eigenen Servern läuft und verhindert, dass Ihre Server verzögert werden. Es wurde nicht speziell für WordPress entwickelt und funktioniert mit jeder Plattform oder jedem Content-Management-System. Es bietet zwar Webanwendungs-Firewall- und Malware-Scan-Tools, aber seine Bereinigungsdienste glänzen wirklich.

Es ist wichtig zu beachten, dass Sucuri seine kostenlosen und Premium-Funktionen sehr klar trennt. Das kostenlose Plugin bietet Malware-Scanning und WordPress-Härtung, während die Premium-Version die Firewall für Webanwendungen und Hack-Bereinigungsdienste enthält.

Hauptmerkmale von Sucuri:

• Malware-Scannen
• Überwachung des Sperrlistenstatus
• Eine Firewall für Webanwendungen
• Abwehr von Distributed Denial of Service (DDoS).
• Verhinderung von Brute-Force-Angriffen
• Website-Bereinigungsdienste

Lassen Sie uns einige davon noch näher untersuchen.

Überwachung des Sperrlistenstatus

Sucuri lässt Ihre URL durch eine Vielzahl von Diensten laufen, um zu sehen, ob Sie auf der Sperrliste stehen. Und da gesperrte Websites eine erhebliche Menge an Traffic verlieren, kann dies ein großes Plus sein.

Abwehr von Distributed Denial of Service (DDoS).

DDoS-Angriffe sind böswillige Versuche, den Datenverkehr eines Servers zu stören, indem sie ihn mit einer Flut von gefälschtem Datenverkehr überfluten. Dies verhindert im Wesentlichen, dass normale, legitime Besucher und Kunden auf Ihre Website gelangen. Die DDoS-Abwehrfunktion von Sucuri blockiert diese Angriffe.

Website-Bereinigungsdienste

Das Expertenteam von Sucuri steht zur Verfügung, um Ihre Website nach einem Hack zu reparieren und wiederherzustellen. Sie entfernen bösartigen Code aus Ihren Dateien und Ihrer Datenbank, senden Anfragen zum Entfernen von Sperrlisten und reparieren SEO-Spam (wie Link-Injektionen).

Benutzerfreundlichkeit:

Die Einrichtung der Premium-Version von Sucuri kann für Nicht-Entwickler etwas schwierig werden, da Sie Ihre Domain-DNS-Einstellungen ändern müssen, um die Server von Sucuri zu verwenden. Die Einrichtung für das kostenlose WordPress-Plugin ist viel einfacher und einfacher für Nicht-Entwickler.

Support und Dokumentation:

Support für die kostenlose Version wird über die WordPress-Supportforen angeboten, während die Premium-Version ein Ticketing-System verwendet. Es steht auch eine umfangreiche Wissensdatenbank zur Verfügung, um häufig gestellte Fragen zu beantworten.

Preis- und Planoptionen:

• Sucuri Free beinhaltet kostenlose Malware-Scans, Sperrlistenüberwachung und WordPress-Härtung.
• Sucuri Basic fügt eine Webanwendungs-Firewall und Bereinigungsdienste für 199 US-Dollar pro Jahr hinzu. Es gibt jedoch keine garantierte Reaktionszeit für die Bereinigung und Malware-Scans werden alle 12 Stunden ausgeführt.
• Sucuri Pro kostet 299,99 $ pro Jahr und beinhaltet alles im Basic-Plan, erhöht aber die Häufigkeit von Malware-Scans auf sechs Stunden.
• Sucuri Business erhöht die Häufigkeit der Malware-Scans auf alle 30 Minuten und garantiert eine Reaktionszeit auf Hacks von sechs Stunden. Diese Vorteile sind mit einer jährlichen Gebühr von 499,99 $ verbunden.

Gut für:

Härten und Bereinigen einer Website, nachdem sie gehackt wurde. Da die kostenlose Version des Plugins keine wesentlichen Funktionen wie eine Firewall enthält, ist es am besten, bei der Premium-Version zu bleiben oder eine andere Plugin-Option zu wählen.

5. All-in-One-WP-Sicherheit und -Firewall

Das All-in-One-WP-Sicherheits- und Firewall-Plugin ist, wie der Name schon sagt, eine völlig kostenlose, umfassende WordPress-Lösung. Es unterteilt seine Funktionen basierend auf ihrer Sicherheitsstufe (und der Wahrscheinlichkeit, dass sie etwas auf Ihrer Website beschädigen könnten) in Kategorien, sodass für jeden etwas dabei ist, unabhängig vom Kenntnisstand.

Alle Funktionen konzentrieren sich jedoch darauf, Ihre Website vor Hacks zu schützen, anstatt nach Malware zu suchen und eine gehackte Website zu bereinigen.

Hauptmerkmale von All in One WP Security und Firewall:

• Härtung von Benutzerkonten
• Sicherheit der Anmeldeseite
• Datenbanksicherungen
• Dateisystemsicherheit
• Blacklist-Funktionalität
• Eine Firewall
• Ein Sicherheitsscanner
• Schutz vor Brute-Force-Angriffen

Hier finden Sie weitere Informationen zu einigen dieser Funktionen:

Sicherheit der Anmeldeseite

Das Plug-in blockiert Benutzer nach einer bestimmten Anzahl von Anmeldeversuchen, erzwingt die Abmeldung nach einer festgelegten Zeitspanne, fügt reCAPTCHA zur Anmeldeseite hinzu und zeichnet jede Anmeldung und Abmeldung auf. Dies trägt dazu bei, Ihre Website sowohl vor Hackern als auch vor Bots zu schützen.

Dateisystemsicherheit

All in One WP Security and Firewall überprüft Ihre Dateien und Ordner auf Berechtigungsprobleme und lässt Sie diese mit einem einzigen Klick beheben. Außerdem können Sie Hacker und Bots daran hindern, leicht kompromittierte Dateien (wie readme.html, license.txt) anzuzeigen, und die Dateibearbeitung deaktivieren.

Sicherheitsscanner

Der Sicherheitsscanner sucht nach Änderungen in Ihren Dateien, indem er sie mit den standardmäßigen WordPress-Kerndateien vergleicht. Beachten Sie, dass dies die Probleme nicht für Sie behebt oder nach Malware scannt.

Benutzerfreundlichkeit:

Da die Funktionen nach Sicherheitsstufen unterteilt sind und diejenigen getrennt werden, die Ihre Website beschädigen könnten, von denen, die dies nicht könnten, ist es für Anfänger ein einfach zu verwendendes Plugin. Es verfügt auch über einen Sicherheitsstärkemesser, der Ihnen einen schnellen Überblick darüber gibt, wo Sie sich gerade befinden.

Support und Dokumentation:

Support ist nur über die WordPress.org-Foren verfügbar und die Dokumentation zu einigen Funktionen ist begrenzt.

Preis- und Planoptionen:

Es gibt nur eine Version dieses Plugins – die kostenlose Version – die alle Funktionen enthält.

Gut für:

Anfänger und grundlegende Websites. Es ist einfach, relativ schnell loszulegen, ohne Ihre Website zu beschädigen. Da es jedoch keine Premium-Version dieses Plugins gibt, fehlen ihm wertvolle Funktionen wie das Scannen und Entfernen von Malware. Dies könnte eine gute Lösung für Hobby-Blogs sein, die nicht viel in die Sicherheit ihrer Website investieren möchten.

6. Verteidiger Pro

Defender Pro wurde von WPMU DEV entwickelt, einem WordPress-Entwicklungsunternehmen, das Lösungen für alles entwickelt, von Sicherheit und Opt-Ins bis hin zu Tests und Analysen. Es kann separat oder als Teil einer Suite von Website-Tools erworben werden.

Hauptmerkmale von Defender Pro:

• Sicherheitsscans
• Anmeldeschutz
• Zwei-Faktor-Authentifizierung
• Blocklist-Überwachung
• Wiederherstellung und Reparatur geänderter Dateien

Benutzerfreundlichkeit:

Defender Pro enthält einen benutzerfreundlichen Einrichtungsassistenten, der sich hervorragend für Anfänger eignet.

Support und Dokumentation:

WPMU Dev bietet Live-Chat-Support sowie Foren, E-Mails und detaillierte Dokumentation.

Preis- und Planoptionen:

• Defender Pro kostet nur 60 US-Dollar pro Jahr für die oben aufgeführten Funktionen.
• Das Sicherheits- und Sicherungspaket fügt zusätzliche Produkte wie Sicherungs- und Migrationstools für 90 US-Dollar pro Jahr hinzu.
• Die WPMU-Dev-Mitgliedschaft umfasst die vollständige Suite von Tools – einschließlich Opt-Ins, Analysen usw. – und kostet 190 US-Dollar pro Jahr.

Gut für:

Websites, die die vollständige Tool-Suite und nicht nur die Sicherheit erwerben möchten. Während Defender Pro eine anständige Sicherheitsoption ist, fehlen ihm wichtige Funktionen wie eine Firewall und Spam-Schutz. Wenn es jedoch in der gesamten Suite von WPMU-Entwicklungstools enthalten ist, ist es ein netter Bonus.

7. Kugelsichere Sicherheit

Bulletproof Security ist ein Freemium-WordPress-Plugin, das sich speziell an Entwickler richtet. Es ist umfassend und ermöglicht viele Backend-Optimierungen, ist aber für Anfänger schwierig zu verwenden.

Hauptmerkmale von Bulletproof Security:

• Malware-Scanner
• Versteckte Plugin-Ordner
• Login-Sicherheit und Überwachung
• Abmeldung bei inaktiver Sitzung
• Ablauf des Auth-Cookies
• Sicherheitsprotokolle
• Eine Vielzahl weiterer erweiterter Sicherheitsfunktionen

Benutzerfreundlichkeit:

Auch dies ist kein Plugin für Anfänger. Es bietet zwar einen Einrichtungsassistenten, aber das Ändern oder Optimieren von Einstellungen wird sehr kompliziert und könnte Ihre Website beschädigen.

Support und Dokumentation:

Support für das kostenlose Plugin wird über die WordPress.org-Foren bereitgestellt. Premium-Support wird über ein spezielles Support-Forum bereitgestellt. Begrenzte Dokumentation und Video-Tutorials sind verfügbar.

Preis- und Planoptionen:

• BulletProof Security Free bietet viele der oben aufgeführten Funktionen ohne zusätzliche Kosten.
• BulletProof Security Pro umfasst unbegrenzte Installationen und erweiterte Funktionen (wie Datenbanksicherungen und -überwachung, eine Plugin-Firewall und die automatische Wiederherstellung von Website-Dateien) für 69,95 $.

Gut für:

Entwickler und fortgeschrittene Benutzer, die alle Aspekte ihrer Website-Sicherheit persönlich anpassen möchten.

8. Sicherheits-Ninja

Während Security Ninja eine relativ umfassende Sicherheitslösung ist, ist sein „Anspruch auf Ruhm“ die über 50 integrierten Sicherheitsüberprüfungen. Diese Tests decken alles ab, von aktuellen Themen und Plugins bis hin zu WordPress-Versionen, Dateizugänglichkeit und Datenbanktabellenpräfixen.

Hauptmerkmale von Security Ninja:

• Eine Firewall für Webanwendungen
• Malware-Scannen
• Anmeldeformularschutz
• Plugin-Schwachstellen-Scans
• Ereignisprotokollierung

Benutzerfreundlichkeit:

Dieses Plugin ist relativ einfach zu bedienen, erfordert jedoch einige Arbeit. Es behebt die gefundenen Probleme nicht automatisch. Stattdessen sind Sie vollständig für Ihre Site und Sicherheitsfixes verantwortlich. Dies kann natürlich ein Vorteil für diejenigen sein, die wissen, was sie tun, kann aber auch für Anfänger schwierig sein. Beachten Sie, dass die Pro-Version jedoch etwa 30 Probleme automatisch behebt, falls Sie sich für diesen Weg entscheiden.

Support und Dokumentation:

Support für die kostenlose Version wird über WordPress.org-Foren bereitgestellt, während die Pro-Version ein Support-Ticketing-System enthält. Eine ausführliche Dokumentation ist verfügbar.

Preis- und Planoptionen:

• Security Ninja Free enthält die oben genannten über 50 Sicherheitschecks kostenlos.
• Security Ninja Starter fügt eine Firewall, einen Malware-Scanner, einen automatischen Fixer und mehr für 49 US-Dollar pro Jahr für eine Site hinzu. Wenn Sie mehr als eine einzelne Site abdecken möchten, können Sie den Plus-Plan (drei Sites) für 129 $ pro Jahr oder den Pro-Plan (fünf Sites) für 199 $ pro Jahr erwerben. Jeder Plan hat auch die Option für eine lebenslange Lizenz zu einem Aufpreis.

Gut für:

Websites, die ein sehr klares Bild davon haben möchten, wo sie stehen, sowie diejenigen, die mindestens ein mittleres Wissen über WordPress und Sicherheit haben.

9. SecuPress

SecuPress packt viele Sicherheitsfunktionen in ein Plugin, ohne Ihre Website zu sehr zu belasten. Sowohl die kostenlose als auch die Premium-Version sind für Menschen aller Erfahrungsstufen einfach zu bedienen. Eine der besten Funktionen ist der Sicherheitsbericht, der Sie darüber informiert, wo Ihre Website steht, und klare Empfehlungen zur Verbesserung gibt.

Hauptmerkmale von SecuPress:

• Ein Site-Health-Scanner
• Anmeldeversuche einschränken
• WordPress-Härtungsfunktionen
• Zwei-Faktor-Authentifizierung
• Malware-Scannen
• Datenbank- und Dateisicherungen

Benutzerfreundlichkeit:

SecuPress hat eine einfache Benutzeroberfläche, die für Website-Besitzer aller Erfahrungsstufen einfach zu navigieren ist. Es kategorisiert Funktionen nach ihrem Zweck und erklärt, was sie vor Ort tun.

Support und Dokumentation:

Die kostenlose Version beinhaltet Support über die WordPress-Foren, während die Premium-Version ein Ticketing-System enthält.

Preis- und Planoptionen:

• SecuPress Free enthält den Gesundheitsscanner, viele Härtungsfunktionen und begrenzt Anmeldeversuche (neben anderen Funktionen) kostenlos.
• SecuPress Pro fügt unter anderem Zwei-Faktor-Authentifizierung, Malware-Scanning und Backups für 69,99 $ pro Jahr hinzu.

Gut für:

Kleine Unternehmen, insbesondere solche, die etwas Geld in ein WordPress-Sicherheits-Plugin investieren können. Da die kostenlose Version nicht die wertvollsten Funktionen wie Malware-Scanning enthält, wird empfohlen, die Premium-Version zu kaufen.

10. Astra-Sicherheit

Astra Security ist ein reines Premium-Sicherheitstool, das sich selbst als „All-in-One-Sicherheitssuite für vollständigen Schutz ohne Ärger“ beschreibt. Es ist wichtig zu beachten, dass es zwar WordPress-Sites schützt, aber nicht speziell für WordPress entwickelt wurde und für jede Art von Site funktioniert. Da es nicht auf WordPress ausgerichtet ist, verpassen Sie möglicherweise wertvolle Funktionen, die für die Plattform spezifisch sind.

Hauptmerkmale von Astra Security:

• Eine Website-Firewall
• Malware-Scanning und -Bereinigung
• Blocklist-Überwachung
• Schlechter Bot-Schutz
• IP- und Länderblockierung

Benutzerfreundlichkeit:

Astra Security ist einfach einzurichten und relativ einfach zu konfigurieren. Das Premium-Support-Team steht Ihnen ebenfalls zur Verfügung.

Support und Dokumentation:

Die Höhe des Supports, den Sie erhalten, hängt von dem Plan ab, den Sie erwerben. Support wird über einen 24/7-Live-Chat bereitgestellt, und es gibt sowohl Dokumentation als auch eine Wissensdatenbank, um Ihnen den Einstieg zu erleichtern.

Preis- und Planoptionen:

• Der Pro-Plan umfasst eine Firewall, Malware-Bereinigung innerhalb von 12 Stunden, einen Malware-Scanner, Schutz vor schädlichen Bots und Bronze-Support (neben anderen Funktionen) für 228 US-Dollar pro Jahr.
• Der Advanced Plan fügt über 300 Sicherheitstests, Malware-Bereinigung innerhalb von acht Stunden, Spam-Schutz und Silber-Support (neben anderen Funktionen) für 468 $ pro Jahr hinzu.
• Der Business Plan fügt Malware-Bereinigung innerhalb von sechs Stunden, mehr als 500 Sicherheitstests und Gold-Support (neben anderen Funktionen) für 1428 $ pro Jahr hinzu.

Gut für:

Größere Unternehmen, insbesondere solche mit mehreren Websites auf verschiedenen Plattformen. Da dies eine teurere Option ist und nicht speziell für WordPress entwickelt wurde, ist es höchstwahrscheinlich nicht die beste Wahl für die Mehrheit der WordPress-Blogs und -Unternehmen.

11. WPScan

WPScan ist ein Freemium-Plugin mit nur einer Funktion, das sich speziell auf das Testen der Sicherheit Ihrer Website konzentriert. Obwohl es das einzige Single-Feature-Plugin auf dieser Liste ist, ist es enthalten, weil es sich durch seine Leistung auszeichnet und etwas bietet, das die meisten anderen Plugins nicht haben. Es enthält eine große Datenbank mit Schwachstellen, auf die es beim Scannen verweist.

Hauptmerkmale von WPScan:

• Scannt nach über 21.000 bekannten Sicherheitslücken in WordPress, Plugins und Themes
• Überprüft debug.log-Dateien, wp-config.php-Sicherungsdateien und exportierte Datenbankdateien, die Sicherheitsrisiken darstellen könnten
• Sucht nach schwachen Passwörtern
• Überprüft, ob XML-RPC und standardmäßige geheime Schlüssel aktiviert sind oder verwendet werden

Benutzerfreundlichkeit:

Das Plugin ist sehr einfach einzurichten. Alles, was Sie tun müssen, ist, sich für einen API-Schlüssel auf ihrer Website zu registrieren, diesen Schlüssel zum installierten Plugin hinzuzufügen und zwischen sehr grundlegenden Einstellungen zu wählen.

Support und Dokumentation:

Support wird über die WordPress-Foren bereitgestellt und es sind grundlegende Anweisungen verfügbar.

Preis- und Planoptionen:

Die Preise basieren auf der Anzahl der API-Anfragen, die Sie pro Tag benötigen. WPScan erstellt eine API-Anfrage für den WordPress-Kern, eine für jedes installierte Design und eine für jedes von Ihnen verwendete Plugin. Wenn Sie also zehn Plugins und ein Thema installiert haben, wären das 12 API-Anfragen pro Tag.

• Der kostenlose Plan umfasst 25 API-Anfragen. Die überwiegende Mehrheit der Websites wird darunter fallen.
• Der Starter-Plan umfasst 75 API-Anfragen und kostet 5 € pro Monat.
• Der Professional-Plan umfasst 300 API-Anfragen und kostet 25 € pro Monat.

Gut für:

Jede Website, die Sicherheitslücken überwachen möchte und kein Sicherheits-Plug-in verwendet, das diese Funktion enthält. Es ist jedoch wichtig zu beachten, dass dies kein vollständiges Sicherheitspaket ist und zusätzlich zu etwas anderem verwendet werden sollte.

12. Schildsicherheit

Shield Security verwendet eine einfache Strategie: Beginnen Sie mit der Prävention und stellen Sie dann auch eine Lösung bereit, wenn eine Website jemals gehackt wird. Und da Bots für die meisten Sicherheitsprobleme verantwortlich sind, ist Shield Security speziell darauf ausgerichtet, sie daran zu hindern, jemals auf Ihre Website zu gelangen. Sie bieten auch Funktionen, die gängige WordPress-Plugins wie Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 und Elementor schützen.

Hauptmerkmale von Shield Security:

• Eine Anti-Bot-Erkennungs-Engine
• Ein Malware- und Schwachstellen-Scanner
• Spam-Erkennung
• Zwei-Faktor-Authentifizierung
• Eine Firewall für Webanwendungen

Benutzerfreundlichkeit:

Der Einstieg ist relativ einfach, bietet jedoch viele Informationen und Einstellungen, die für Anfänger überwältigend sein können.

Support und Dokumentation:

Kostenloser Support wird über die WordPress.org-Foren bereitgestellt. Premium-Support wird über ein Ticketsystem angeboten. Es gibt auch eine umfangreiche Dokumentation sowie Online-Kurse.

Preis- und Planoptionen:

• ShieldFREE beinhaltet Bot-Erkennung, Zwei-Faktor-Authentifizierung und eine Firewall (neben anderen Funktionen) kostenlos.
• ShieldPRO fügt einen Malware-Scanner, einen Schwachstellen-Scanner und Spam-Schutz (neben anderen Funktionen) für 79 US-Dollar pro Jahr hinzu.

Gut für:

Website-Besitzer mit einem moderaten Sicherheitsverständnis, die etwas Geld in ein Premium-Plugin investieren können. Since the free version doesn't include a malware scanner, it's best to purchase the pro version.

How to choose the best security plugin for WordPress

While WordPress is very safe, it's always a good idea to add extra protection to secure your hard work and visitors' information. Sites can be targeted at any size, but the importance of extra security grows along with a site's popularity and volume of content.

The easiest way to boost security is through a reputable plugin. But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
10. Get rid of spam comments. Spam-Kommentare sind nicht nur lästig; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

• Stellen Sie sicher, dass Ihr SSL-Zertifikat funktioniert. Ein SSL-Zertifikat schützt die auf Ihrer Website übertragenen Daten wie Zahlungs- und Kontaktinformationen. Um sicherzustellen, dass Ihre funktioniert, suchen Sie einfach nach dem Schloss-Symbol neben Ihrer URL in Ihrem Browser.
• Ausfallzeiten überwachen. Wenn Ihre Website ausfällt, könnte dies ein Hinweis auf einen Hack sein. Installieren Sie ein automatisiertes Tool, das Sie benachrichtigt, wenn Ihre Website nicht zugänglich ist, damit Sie sofort Fehler beheben können.
• Stellen Sie sicher, dass keine Browser-Sicherheitswarnung angezeigt wird. Wenn Ihre Website gehackt wurde, zeigen Browser wie Google Chrome und Safari eine Sicherheitswarnung an, wenn Sie Ihre URL eingeben. Sie können Ihre Website in einem Inkognito- oder privaten Fenster besuchen, um die genauesten Ergebnisse zu erhalten.
• Überprüfen Sie die Benachrichtigungen in der Google Search Console. Wenn Sie ein Google Search Console-Konto haben, können Sie schnell auf den Bericht zu Sicherheitsproblemen zugreifen, der Sie darüber informiert, ob Ihre Website gehackt wurde oder ob sie unsicheren Praktiken folgt.
• Befolgen Sie die Best Practices für die Sicherheit. Der beste Weg, um sicherzustellen, dass Ihre WordPress-Site sicher ist, ist die Implementierung guter Sicherheitsmaßnahmen. Ergreifen Sie die richtigen Schritte, um Ihre Website zu härten (unter Verwendung eines Leitfadens aus einer vertrauenswürdigen Quelle wie Jetpack), und Sie werden zuversichtlich sein, dass Sie Hackern standhalten können.