Die Sicherheit Deiner WordPress-Webseite ist nichts, was Du auf die leichte Schulter nehmen solltest. Erfahre in diesem SecuPress Test, wie Du Deine Webseite besser schützen kannst.
Es existieren mittlerweile zahlreiche Plugins, die sich entsprechend in die verschiedenen WordPress-Konfigurationen integrieren lassen. WordPress arbeitet immerhin regelmäßig an der Absicherung seiner Umgebung. Durch Plugins können weitere Angriffspunkte abgesichert werden.
Hacker versuchen ständig, in Deine WordPress Webseite einzudringen. Das bekommst Du aber meistens gar nicht mit, wenn Du keine speziellen Tools hast. WordPress selber bietet keine Funktion dazu an. Und die wenigsten Menschen schauen sich hingegen Log-Files auf ihrem Server an.
Aber warum ist WordPress für Hacker so interessant? Sie wollen dort Daten stehlen oder schadhafte Links platzieren. Auch sogenannte DDOS-Attacken sind ferner möglich. Angreifer wollen hier durch möglichst viele gleichzeitige Anfragen Deinen Server in die Knie zwingen. Deine Webseite kann dann nicht mehr aufgerufen werden, da sie überlastet ist.
Es gibt Hacker-Tools, die automatisiert tausende WordPress Webseiten am Tag nach Schwachstellen absuchen. Dieser unerwünschte Traffic kann entweder Deinem Server oder Deiner Ladegeschwindigkeit (Pagespeed) schaden. Zum Glück gibt es dagegen WordPress Security Plugins.
Im folgenden SecuPress Test haben wir uns dieses Security Plugin einmal näher angesehen. Das Plugin gibt es in einer kostenlosen Version (mit eingeschränktem Funktionsumfang) sowie einer kostenpflichtigen Premium Version.
SecuPress ist darauf ausgelegt, WordPress-Probleme zu beheben. Das ermöglicht Dir als Administrator, Deine Webseite mit nur wenigen Klicks (möglicherweise) besser zu schützen.
Achtung: Kein Plugin kann Dich zu 100% vor Hackern schützen. Dazu gibt es zu viele Möglichkeiten eines Angriffes. Du kannst Deine Sicherheit gegenüber der Standard WordPress Installation aber deutlich erhöhen.
SecuPress kostenlose Version
Inhaltsverzeichnis
SecuPress Pro bietet verschiedene Sicherheitsfunktionen in einem Paket. Das ermöglicht den Verzicht auf zahlreiche andere Erweiterungen von Drittanbietern. So kannst Du mit SecuPress Dein WordPress konfigurieren und dadurch absichern. Dazu aktivierst Du nur die gewünschten Funktionalitäten. Das erspart Dir das Risiko einer Inkompatibilität zwischen verschiedenen Plugins und den mit SecuPress verbundenen Sicherheitseinschränkungen.
SecuPress Test Vorteile
- Eine klare und intuitive Schritt-für-Schritt-Oberfläche
- Eine schnelle Sicherheitsüberprüfung dank integriertem Scanner
- Einfache und schnelle Erklärungen zu jeder verfügbaren Option
- Die Möglichkeit, das Angebot jederzeit zu ändern (Free / Premium)
- Das Alert-Modul sendet E-Mails (alle 15 Minuten, konfigurierbar)
- Übersichtliche Darstellung der verfügbaren Optionen für Module
SecuPress Security Scanner
Nach Installation von SecuPress sollte zuerst ein Security Scan durchgeführt werden. So sah das in einer frischen WordPress Standard Installation aus:
Bewertung „K – Wirklich ganz übel„. Da bekomme ich erst einmal einen Schreck.
Die Bewertung des Scanners geht dazu von „K„(atastrophe) bis „A„(wesome) als Bewertung. Wenn Du den Empfehlungen nicht folgen willst, bleibt die Bewertung auf „Schlecht„. Es gibt also keine Möglichkeit, Deine Note zu verbessern, ohne die Module anzupassen.
Probleme werden direkt markiert. Sie können ebenfalls mit nur einem Klick behoben werden. Hier spielt SecuPress seine Stärke aus, da kein technisches Wissen vorhanden sein muss. Gerade für Menschen, die sich mit Technik nicht auskennen, ein großer Vorteil. Das Plugin macht immerhin fast alles von selbst, und das macht es auch ganz gut.
Die einfache Behebung von Problemen erfolgt schließlich mit einem Klick auf „Reparieren und fortfahren„. So kannst Du Dich Punkt für Punkt durchklicken und dadurch alle aufgeführten Punkte bearbeiten. Die Hilfetexte geben dabei einen (groben) Anhaltspunkt, warum die jeweilige Maßnahme Sinn macht.
Was passiert im Hintergrund?
Hier offenbart sich für mich aber auch ein Kritikpunkt: Es ist nicht klar, was das Plugin da jetzt gerade konkret gemacht hat. Wurden Dateien dadurch verändert? Was wurde geändert? Muss ich noch irgendetwas beachten oder anders machen? Und was passiert, wenn ich das Plugin einmal deinstallieren sollte? Bleiben meine geänderten Einstellungen und die damit verbundene Sicherheit erhalten?
SecuPress Dashboard
Im SecuPress Dashboard werden alle Module übersichtlich aufgeführt. In der Navigation links können Unterpunkte ausgewählt werden. Generell ist alles in Grün kostenfrei, in Gelb dann nur in der Premium Version verfügbar.
SecuPress Datei Scan
SecuPress basiert auf der WPScan Vulnerability Database zum Scannen von Themes und Plugins. Das Scannen nach Dateien kann anfänglich leider zu falschen positiven Ergebnissen führen. Dateien, die als „unbedenklich“ eingestuft werden, können jedoch einer Whitelist hinzugefügt werden.
Die WordPress Core-Dateien werden übrigens direkt mit denen der offiziellen WordPress Webseite (MD5-Hashes) verglichen. Das bietet folglich maximale Sicherheit vor Veränderungen in den Dateien durch unbefugte Dritte.
SecuPress Anmeldekontrolle
Gerade die Login-Seite von WordPress lädt Hacker und Script-Kiddies zu sogenannten Brute Force Angriffen ein. Hier werden dann automatisiert unzählige Usernamen und Passwort Kombinationen abgefragt. Es ist daher sinnvoll, Bots nach einigen missglückten Loginversuchen schlichtweg zu sperren.
Witzig fand ich hier die deutsche Übersetzung im Plugin, dass „Bots … auf der Anmeldeseite rumwerkeln„.
Noch sinnvoller kann es daher sein, die Anmeldeseite ganz zu verschieben. Diese kannst Du übrigens standardmäßig bei jeder WordPress Webseite weltweit mit domain.tld/wp-login aufrufen. Das versuchen dann auch mitunter die Tools der Hacker. Ist die Anmeldeseite nun aber verschoben worden, bietet sie kein Ziel mehr für solche Angriffe.
Den Namen für Deine Anmeldeseite kannst Du Dir sogar beliebig aussuchen. Also zum Beispiel domain.tld/autofan123 oder was Dir sonst so einfällt.
Tipp: Du solltest Deine eigene Anmeldeseite nirgendwo nennen, verlinken oder posten. Denn wenn sie bekannt wird, kann sie erneut das Ziel von Hackern werden. Halte sie also geheim.
Sperrung von IP-Adressen
Einzelne IP-Adressen können immerhin mittels Blacklist (Sperrliste) gesperrt werden. Die IP ist schließlich der Absender des Angreifers. Das Problem ist, dass Hacker mit sogenannten Proxy-Servern erstens Ihre IP-Adresse verschleiern oder zweitens beliebig wechseln können. Die Blacklist bietet hier also keinen wirklichen Schutz und ist in der Praxis kaum nutzbar.
Das Gegenteil ist dann folglich die Whitelist. Hier kannst Du dann eintragen wer auf jeden Fall Dein WordPress besuchen darf. Das macht aber auch wenig Sinn, denn außer Dir selber kannst Du hier kaum jemanden sinnvoll eintragen. Oder kennst Du die IP-Adressen Deiner zukünftigen echten Besucher?
Info: Sinnvoll und sehr gut nutzbar ist die Sperrung ganzer Länder. Wenn Du eine Webseite auf Deutsch hast, wirst Du beispielsweise keinen Traffic aus China, Indien oder Russland haben wollen. Diese wichtige Funktion ist aber leider nur in Premium Version verfügbar.
In der kostenpflichtigen Premium Version bietet SecuPress erweiterte Methoden zur Erkennung von Eindringlingen. Dein WordPress wird also folglich noch besser geschützt. SecuPress Pro fügt 37 Optionen zu den 33 in der kostenlosen Version verfügbaren hinzu.
Info: Wir haben den Hersteller 21(douze) angeschrieben und um eine kostenlose Pro-Lizenz für unseren SecuPress Test gebeten. Leider haben wir keine bekommen, dementsprechend werden die Pro-Funktionen hier nur genannt. Sie wurden jedoch nicht getestet.
Der erhöhte Schutz bietet einige zusätzliche Funktionen:
- Verschiebung der Login-Seite an eine andere Adresse
- Schutz gegen Brute Force Angriffe
- Schutz der Sicherheitsschlüssel in der wp-config.php
- Komplettes Backup der Datenbank und der Dateien
- Änderung des Präfix „wp_“ in der Datenbank
- Blockieren von bösartigen Robotern (Bad Bots)
- Blockieren ganzer IP-ranges oder Länder
- Zeitliche Planung von Sicherheitsaufgaben
- Export von Sicherheitsberichten als PDF
- Verwendung von SecuPress Pro als White-Label
- Verwendung von Easy Digital Downloads
SecuPress Bedienbarkeit
Die Bedienbarkeit war ein großer Pluspunkt in unserem SecuPress Test. Das Dashboard ist übersichtlich, die Unterseiten beschränken sich auf die wichtigsten Funktionen. Die wichtigsten Sicherheitsprobleme können demzufolge schnell und einfach behoben werden.
Nicht ganz klar sind hingegen die deutschen Texte im Plugin. Manchmal habe ich nicht verstanden, ob das Plugin jetzt alles erledigt hat oder möglicherweise noch Handlungsbedarf von mir besteht. Hier ein Beispiel mit der Datei „readme.html„. Diese Datei „sollte niemanden zugänglich sein„, bemängelt SecuPress. Aber was soll ich nun konkret dort machen? Die Dateirechte daher ändern? Die Datei umbenennen? Die Datei löschen? Kurzum, ich weiß es nicht.
SecuPress Support
Im Falle eines Problems ist das Formular für den Support auch direkt im Service-Module verfügbar. Du musst folglich nicht extra auf die SecuPress-Webseite gehen, um ein Support-Ticket zu erstellen. Das ist immerhin ein Vorteil.
SecuPress Kosten
Die Kosten für SecuPress sind überschaubar. Eine einzelne Pro Lizenz kostet 60€ im Jahr. Wenn Deine Webseite schon einmal gehackt wurde, ist das mitnichten zu viel Geld. Unbedingt günstig ist es aber auch nicht gerade. Zumal es diverse andere Security Plugins auf dem Markt gibt, die günstiger oder sogar kostenlos sind.
SecuPress Module Übersicht
Eine Übersicht aller SecuPress Module findest Du nachfolgend. Es handelt sich um die Hauptmodule aus der linken Navigation des Plugins sowie die jeweiligen Unterpunkte. Alle Bezeichnungen sind aus der deutschen Version, aber nicht 100% übersetzt worden.
Info: Mit (Pro) gekennzeichnete Punkte sind nur in der Premium Version verfügbar. Jede Bezeichnung oder Anordnung kann sich eventuell ändern, die Daten sind aus SecuPress v.1.4.12 (Stand Januar 2021).
Dashboard
- Lizenz-Validierung
- Einstellungs-Export (Pro)
- Einstellungs-Import (Pro)
- Reset All Settings
Benutzer & Anmeldung
- Verschiebe die Login- und Backendseiten
- Verwende einen Versuchsblocker
- Sitzungs-Überwachung (Pro)
- Login Errors
- Verwende eine Zwei-Faktor-Authentifizierung (Pro)
- Verwende Captcha für alle
- Passwort-Lebensspanne (Pro)
- Erzwinge starke Passwörter (Pro)
- Passwort-Änderungen
- Verbiete Benutzernamen
- Stop User Enumeration
- Prevent User Creation (Pro)
Plugins & Themes
- Verbiete das Hochladen von .zip
- Plugin-Installation
- Plugin-Aktivierung (Pro)
- Plugin-Deaktivierung (Pro)
- Plugin-Löschung (Pro)
- Erkenne schlechte Plugins (Pro)
- Theme-Installation
- Themewechsel (Pro)
- Theme-Löschung (Pro)
- Erkenne schlechte Themes (Pro)
WordPress-Kern
- Aktualisierung Nebenversionen
- Aktualisierung Hauptversionen
- Datei-Bearbeitung
- Ungefilterte Uploads
Sensible Daten
- XML-RPC (Wichtig!)
- Schwarzes Loch
- Anti-Hotlink (Pro)
- Verzeichnislisten
- PHP-Preisgabe
- PHP-Versionspreisgabe
- Preisgabe der WordPress-Version
- Schlechter URL-Zugriff
- Schütze Readme-Dateien
Firewall
- Blockiere schlechte User-Agents
- Blockiere schlechte Anfragemethoden
- Block Fake SEO Bots
- Blockiere schlechten Inhalt
- Blockiere SQLi-Scan-Versuche
- Block 404 requests on PHP files
- Verwende GeoIP-Verwaltung (Pro) (Wichtig!)
Anti-Spam
- Anti-Spam
- Spam-Behandlung
- Verwendung von Shortcode
- Verbessere die schwarze Liste für WordPress-Kommentare
- Über Pingbacks & Trackbacks
Logs and IPs
- Blacklisted IPs
- Whitelisted IPs
- WordPress Aktions-Protokolle
- 404 Fehlerseiten-Protokoll
Malware-Scan
- Datei-Scanner (Pro)
- Uploads-Ordner (Pro)
Sicherungen
- Sicherungsverlauf (Pro)
- Sichere die Datenbank (Pro)
- Sichere die Dateien (Pro)
Warnungen
- Choose the email addresses to notify (Pro)
- Sende mir Warnmeldungen über wichtige Ereignisse (Pro)
- Schick mir jeden Tag eine Zusammenfassung wichtiger Ereignisse (Pro)
Zeitpläne
- Sicherungen Zeitplan (Pro)
- Scanner Zeitplan (Pro)
- Datei-Monitoring Zeitplan (Pro)
SecuPress Test Fazit
SecuPress sichert die Webseite der OnlineSuperhelden gegen die schädlichsten Angriffe. Das hoffe ich jedenfalls. Erinnerst Du Dich noch an den schlechten Score „K“ ganz am Anfang von unserem SecuPress Test? So sieht es immerhin aktuell aus:
Besser als ein „B“ wird es aber nicht. Dazu werden noch einige Punkte als Fehler angezeigt, die ich nicht ändern kann. Das ist nicht schlimm, auf jeden Fall besser als vorher.
Die große Stärke von SecuPress liegt in der einfachen Bedienbarkeit. Es ist eine Fire-and-Forget Lösung, einmal alles durchgeklickt und gut ist. SecuPress macht dabei einen guten und soliden Eindruck.
Aus diesem Grund kann ich es Dir empfehlen, wenn Du grundlegende Sicherheitsfunktionen in Deinem WordPress haben willst. Ohne Dich tiefer mit der Materie beschäftigen zu müssen (DDOS, Brute Force, XSS, .htaccess usw). Denn auch in der kostenlosen Basisversion bietet SecuPress immerhin Schutz vor vielen möglichen Angriffspunkten.
WordPress Plugin SecuPress Wertung
Insgesamt
-
Einfachheit
-
Bedienbarkeit
-
Preis/Leistung
-
Nützlichkeit
Marcell Sarközy ist Gründer & CEO der Agentur Seodeluxe Online Marketing. Seit 2004 hilft er bekannten Unternehmen dabei, Ihre Sichtbarkeit im Internet zu verbessern und dadurch mehr Traffic zu generieren.