Warum Du um Sicherheits-Plugins nicht herumkommst
WordPress ist beliebt.
Und genau deshalb im Visier.
Jede Minute laufen Bot-Angriffe auf wp-login.php.
Jedes veraltete Plugin ist ein Einfallstor.
Und viele KMU merken erst was, wenn’s zu spät ist.
Du brauchst kein Panzer.
Aber Du brauchst einen Türsteher.
Was Sicherheits-Plugins leisten sollen
Ein gutes Plugin übernimmt:
- Login-Schutz (Brute Force)
- Zwei-Faktor-Authentifizierung
- Dateiüberwachung
- Malware-Scan
- Firewall-Regeln
- IP-Blocking
- Audit-Logs
Und: automatisierte E-Mail-Warnungen.
Schnell. Nicht hübsch.
Die bekanntesten Plugins im Vergleich
| Plugin | Stärken | Schwächen |
|---|---|---|
| Wordfence | Echtzeit-Firewall, Login-Schutz | Ressourcenintensiv |
| iThemes Security | Viele sinnvolle Defaults | Viel Konfiguration nötig |
| All-In-One WP Security | visuell gut, viele Features | oft zu oberflächlich |
| WP Cerber | sehr technisch, DSGVO-freundlich | gewöhnungsbedürftig |
Ich arbeite meist mit Wordfence oder WP Cerber.
Je nach Projekt und Hosting.
Wordfence – IP blockieren per PHP
function ds_ip_blacklist() {
$blacklist = ['185.232.21.5', '103.207.36.128'];
$ip = $_SERVER['REMOTE_ADDR'];
if (in_array($ip, $blacklist)) {
header('HTTP/1.1 403 Forbidden');
exit('Zugriff verweigert.');
}
}
add_action('init', 'ds_ip_blacklist');
Das ersetzt keine Firewall. Aber stoppt verdächtige IPs schnell.
WP Cerber – Login-Monitoring aktivieren
Nach Installation kannst Du mit wenigen Klicks:
- REST-API-Zugriffe beschränken
- XML-RPC komplett abschalten
- Formular-Spam blocken
- Login-Versuche limitieren
Wichtig: Admin-Login umbenennen (/login statt /wp-login.php).
Gibt’s als Option direkt im Plugin.
Datenbank: Letzten Login speichern (T-SQL)
Falls Du WooCommerce oder ein eigenes Login nutzt, kannst Du letzten Login auch selbst tracken:
UPDATE wp_usermeta
SET meta_value = NOW()
WHERE user_id = @UserId AND meta_key = 'last_login';
Oder automatisiert per PHP:
add_action('wp_login', 'ds_login_tracking', 10, 2);
function ds_login_tracking($user_login, $user) {
update_user_meta($user->ID, 'last_login', current_time('mysql'));
}
Hilft bei der Frage: Wer war eigentlich wann zuletzt drin?
Empfehlungen für KMU
| Maßnahme | Wirkung |
|---|---|
| Admin umbenennen | Bot-Zugriffe stoppen |
| 2FA aktivieren | Passwort reicht nicht |
| Updates automatisieren | Lücken schließen |
| Backups einrichten | Schäden rückgängig machen |
| Login-Limit setzen | Brute Force abwehren |
| wp-config absichern | Core schützen |
Bonus: wp-config.php absichern
// Änderungen nur bei Bedarf
define('DISALLOW_FILE_EDIT', true); // Kein Editor im Backend
define('WP_DEBUG', false); // Keine Fehlerausgabe im Frontend
Und: .htaccess absichern (z. B. Zugriff auf wp-config.php blockieren).
<files wp-config.php>
order allow,deny
deny from all
</files>
Mein Fazit
Sicherheits-Plugins sind wie Rauchmelder.
Du hoffst, dass Du sie nie brauchst.
Aber wehe, Du hast sie nicht.
Sie ersetzen kein System-Update, keinen sauberen Code.
Aber sie halten vieles draußen, was nicht reingehört.
Wenn Du willst, setz ich Dir das passende Setup auf.
Einmal richtig gemacht – läuft.
Keine Antworten