Hier stelle ich die besten Plugins vor, um die Sicherheit bei WordPress zu erhöhen und um Deinen Blog vor Spam-Kommentaren zu schützen.
Plugins für mehr Sicherheit bei WordPress
Leider kommt es immer mal wieder vor, dass ein WordPress Blog gehackt wird. Die Hacker können dabei unterschiedliche Ziele verfolgen:
- Sabotage: Deine Webseite wird mutwillig gelöscht/zerstört
- Aufmerksamkeit: Die Hacker wollen dabei Aufmerksamkeit für eines Ihrer Projekte oder für sich als Gruppe erzeugen, indem sie für Besucher gut sichtbar eine Nachricht auf Deinem Blog platzieren
- Links: Dein Blog kann auch gehackt werden, damit Unbefugte zu guten Links auf ihre Projekte kommen. Das ist besonders heimtückisch, weil man das oft nicht rasch bemerkt, wenn die Links gut versteckt sind
Bevor Du Dich ans Installieren von Plugins machst, solltest Du folgende Sicherheits-Regeln beachten.
Sicherheits-Regeln im Umgang mit WordPress
Sichere Passwörter: Nutze Passwörter mit mindestens 10 Zeichen für Deinen Blog. Verwende dabei nicht nur Kleinbuchstaben, sondern einen Mix aus Gross-/Kleinschreibung, Zahlen und Sonderzeichen. So bist Du vor „Brute-Force“ Angriffen sehr gut geschützt.
Nicht Admin als Benutzernamen wählen: Standardmässig heisst der erste User in einem WordPress Blog „Admin“. Damit machst Du es Hackern einfacher. Ändere nach Möglichkeit den Benutzernamen gleich bei der Installation. Eine spätere Änderung ist nicht mehr möglich – hierzu musst Du einen neuen Administrator erstellen.
Backups anlegen: Lege regelmässig Backups von Deinem Seite an. Denke daran, nicht nur die HTML-Files zu sichern, sondern auch eine Kopie der SQL-Datenbank anzulegen. Viele Webhosting Anbieter ermöglichen automatische Backups der gesamten Daten. Weiter unten stelle ich ein Plugin vor, das zumindest die SQL-Datenbank automatisch sichert.
Regelmässige Updates durchführen: Neue WP-Versionen enthalten nicht nur neue Funktionen, sondern beheben auch Risiken im Bereich Sicherheit. Das gleiche gilt für Plugins. Ich weiss, dass nicht alle Blogger ihre Seiten regelmässig aktualisieren – ich eingeschlossen. Bei mir hat das zwei Gründe: Erstens passe ich gewisse Dinge an. Wenn ich eine Theme oder ein Plugin aktualisiere, sind die Anpassungen in den PHP-Files futsch. Zweitens müsste ich konsequenterweise dann die gesamte Webseite testen, ob noch alles funktioniert. Das ist eine mühsame Sache, wenn viele Plugins und Anpassungen vorgenommen wurden. Und die Tests sollten ja mit allen gängigen Browsern durchgeführt werden. Ich habe deswegen Verständnis, wenn Du auch nicht immer alles aktualisierst. Du musst Dir einfach bewusst sein, dass das ein Sicherheitsrisiko ist und entsprechend auf andere Art und Weise (z.B. mit Backups) für den Ernstfall vorsorgen.
Plugin für automatische Backups
Es gibt mehrere kostenlose Backup-Plugins.
Mein Favorit ist WP DB Backup, das ich meinen wichtigeren Projekten einsetze. Dort kannst Du entweder manuell ein Backup erstellen (und dieses herunterladen oder Dir per E-Mail senden lassen) oder Du kannst Dir automatische Backups (täglich, wöchentlich) per E-Mail zustellen lassen. Ich habe das so eingestellt, zusammen mit einer Regel im Outlook, damit diese Mails direkt in einem Backup-Ordner im Outlook landen. Sehr einfach zu bedienen das Ganze.
Wenn Du den Speicherdienst Dropbox nutzt, dann dürfte Dich das Plugin „WordPress Backup to Dropbox“ interessieren. Diese Erweiterung speichert automatisch eine Sicherheitskopie der wichtigsten Daten in der Dropbox.
Eine weitere Alternative, welche Deine Daten im Netz sichert, ist das Online Backup Plugin.
Plugins für höhere Sicherheit
Anzahl Login-Versuche beschränken: Dieses Plugin übernimmt das. Du kannst die Anzahl erfolgloser Login-Versuche sowohl pro IP-Adresse oder mittels Cookie beschränken und Dich auch bei solchen Sperren per E-Mail benachrichtigen lassen. Somit kannst Du Brute-Force Angriffe effektiv abwehren.
Security-Lösung 1: Eine richtige Security-Suite umfasst der Website Defender. Nebst Backups werden auch Infos, die für Hacker interessant sind (wie Deine WordPress-Version) entfernt.
Security-Lösung 2: Bullet Proof Security ist in einer kostenlosen und in einer kostenpflichtigen Version erhältlich und richtet sich eher an fortgeschrittene Anwender, da Laien rasch bei der Vielzahl der Optionen überfordert sein können. Dein Blog wird unter anderem durch die Anpassung der .htaccess-Datei geschützt, wobei hierzu kein FTP-Zugang notwendig ist. Mit über 100’000 Downloads ist es eines der beliebteren Plugins und sicher einen Blick wert.
Sicherheits-Scanner: Mit WP Security Scan kannst Du Deinen Blog auf kritische Sicherheitsaspekte testen lassen. Nebst dem Kennwort werden u.a. die Zugriffsrechte (File Permissions) überprüft, die Datenbank-Sicherheit gecheckt und die Versionsanzeige entfernt.
Anti-Spam Plugins
Akismet – der Klassiker: Standardmässig ist Akismet installiert, ein wirklich sehr gutes Antispam-Plugin. Vermutete Spam-Kommentare landen direkt im Spam-Ordern. Meine Erfahrung ist, dass Akismet sehr wirksam ist und sehr selten „falsche Alarme“ auslöst und auch selten Spam nicht erkennt. Ein absolutes Muss für jeden Blog-Betreiber. Vergiss nicht, Dir einen Akismet-Aktivierungsschlüssel (kostenlos) zu holen, sonst funktioniert das Plugin nicht. Akismet läuft im Hintergrund und ist für die Besucher nicht sichtbar (führt also auch nicht zu einem grösseren Aufwand und damit zu einer grösseren Hemmschwelle, einen Kommentar zu hinterlassen.
Captcha Plugins: Captcha ist ein Bild, auf dem mehrere Buchstaben oder Zahlen abgebildet sind. Bevor ein Kommentar hinterlassen werden kann, muss man diese Kombination eingeben. Sicher hast Du das auch schon auf vielen Webseiten gesehen. In der Regel kann man das Bild neu laden, wenn man es selbst als Mensch nicht entziffern kann.
Das meistverbreitete Captcha-Plugin für WordPress ist SI Captcha Anti-Spam. Das Tool wird regelmässig aktualisiert und weist bereits über eine Million Downloads auf. Die Installation ist sehr einfach – es fügt einfach unter den Button „Kommentar hinterlassen“ ein Bild mit einem vierstelligen Code ein, den man eintippen muss. Das Ganze sieht in etwa so aus:
Ich nutze das Plugin auf mehreren Webseiten, bei denen Akismet alleine nicht ausreicht. Gut finde ich, dass man den „Schwierigkeitsgrad“ wählen kann. Hat man also immer noch Spam-Kommentare, kann man die Schwierigkeit des Bildes erhöhen. Wegen der hohen Verbreitung dieses Plugins gibt es leider auch schon kostenpflichtige Dienste für Spammer, bei denen die obigen Codes automatisch erkannt und eingetippt werden. So bietet diese Erweiterung keine 100%-Sicherheit vor automatischen Spammern.
Alternative zu Captcha Plugins: Auf einem Blog setze ich mit sehr grossem Erfolg eine Alternative ein. Und zwar handelt es sich dort um Block Spam by Math. Wie der Name sagt, gibt es hier kein Bild. Der Kommentator muss stattdessen eine kleine Rechenaufgabe lösen. Super finde ich, dass man den angezeigten Text anpassen kann, etwa indem man einen deutschen Satz (Bitte Rechenaufgabe lösen) eingibt. Wer ein wenig Programmierkenntnisse hat, kann das Plugin editieren und es damit sicher vor automatischem Spam machen. So habe ich statt den zwei Zahlen (die je zwischen 1 und 20 sind, wenn ich mich richtig erinnere) eine andere Frage eingebaut: Was gibt zwanzig plus (zufällige Zahl zwischen 1 und 10). So ist die Aufgabe für einen Menschen, der deutsch spricht, sehr einfach zu lösen. Für einen Bot aber unlösbar. Weil „Block Spam by Math“ sehr wenig verbreitet ist, ist dies ein sehr wirksames Anti-Spam-Plugin.