Zur Absicherung von WordPress Webseiten verwende ich gerne das kostenlose Plugin iThemes Security. Es ist über das Menü „Plugins / Installieren“ zu finden.

Vorteile des Plugins:

  • Schnelle Grundkonfiguration mit „Secure Site“-Funktion.
  • Umfangreiche Funktionen mit englischer Beschreibung 
  • Über den Menüpunkt „Log“ bekommt man einen Eindruck was alles passiert

Nachteile des Plugins:

  • Man kann sich schnell selber aussperren, wen man nicht aufpasst
  • Manchmal werden etwas zu Warnungen zu leichtfertig ausgesprochen
  • Es speichert IP-Adressen der (vermeintlichen) Angreifer und meldet diese bei aktivierter Funktion „Network Brute Force Detection“ auch an den Hersteller.

Ich schalte also immer die Funktion „Network Brute Force Detection“ ab und deaktiviere auch den Newsletter beim ersten Durchlauf der „Secure Site“-Funktion. Danach warte ich erstmal ab was sich in ein paar Wochen im Log findet. Passieren viele unberechtigte Loginversuche von unbekannten Nutzern, ziehe ich Schritt für Schritt die Sicherheitseinstellungen höher. Weniger Loginversuche, längere Aussperrungen usw. Nach meiner Erfahrung ist der Punkt „File Change Detection“ zu hysterisch in seinen Meldungen – das macht eher Panik als dass es hilft. Und: Es gibt einen Punkt „Lockout Whitelist“ unter „Global Settings“ mit dem man seine aktuelle IP-Adresse eintragen kann, falls ohne Aussperrungsgefahr das Plugin testen will.

In der Pro-Version (die ich Wartungskunden zur Verfügung stellen kann) gibt es z. B. zusätzlich eine Funktion die eine 2-Faktor-Anmeldung für Benutzer ermöglicht. Dann entfällt das zuletzt vorgestellte Math-Captca zugunsten einer Authentifizierungs-App auf dem Handy. Kleiner DSGVO-Hinweis: Da für das Log IP-Adressen gespeichert werden, sollte das meines Wissens nach auch in der Datenschutzerklärung beschrieben sein.

Hier der Link zum Plugin und hier mein WordPress-Beratungsangebot.