Affiliate News

Drei Wordpress-Plugins, die Deine Seite besser schützen!


Von Affiliate Deals | 09.Oktober 2015

Wer eine eigene Webseite im Netz hat, steht unter Feuer. Längst greifen Hacker nicht mehr nur große Seiten an, um ihre eigene Bekanntheit zu mehren: Attacken auf kleine Webseiten sind absolut alltäglich. Denn die sind leicht zu knacken, wenn die Betreiber ihre Infrastruktur nicht explizit sichern.

Für Webseitenbetreiber können dabei nicht nur finanzielle Schäden entstehen, wenn die Seite beispielsweise offline ist. Angreifer könnten gekaperte Server auch benutzen, um illegale Inhalte zum Download anzubieten. Denn so schwer ist das Übernehmen einer ungesicherten Seite gar nicht. Dafür stehen den Hackern diverse Möglichkeiten zur Verfügung.

3 Angriffsmethoden von Hackern

1. SQL Injection

Bei dieser Angriffsmethode wird ein neuer SQL-Befehl in die Datenbank eingeschleust. Wenn eine Anwendung Zugriff auf die eigene Datenbank hat und diese Anwendung unsicher programmiert ist, kann der Angreifer durch einen geschickten Codeschnipsel neue Befehlszeilen einfügen.

So wäre es beispielsweise möglich, in einem Loginfeld Code unterzubringen. Mit einem simplen “;–” lässt sich der Webseite sagen, dass sie alle Befehle nach meinem eigenen Befehl als reinen Kommentar und nicht als Befehle betrachten soll.

Wie das funktioniert, zeigt dieses Video. Mit der SQLi lassen sich Daten aus der Datenbank komplett verändern und beliebiger Code einschleusen.

2. Cross Site Scripting

Dieser Angriff funktioniert ähnlich wie SQLi: Über Anwendungen, die Nutzereingaben an alle Besucherbrowser ausliefert, kann Schadcode verbreitet werden. Solche Anwendungen sind beispielsweise Gästebücher.

Anstatt eines Kommentars baut der Angreifer hier Javascript- oder HTML-Code ein, den die Webseite interpretiert und alle zukünftigen Besucher zum Beispiel auf eine präparierte Seite umleitet. Damit lassen sich sensible Nutzerdaten ausspähen oder Schadsoftware auf den Benutzer-PC bringen. Hier ein Video dazu.

3. Bruteforce

Die bisher genannten Methoden sind bei einer nicht gesicherten Seite eher unsichtbar, ein Bruteforce-Angriff kommt einer Schrotflinte gleich, mit der man auf die Webseite schießt: Ziel ist es fast immer, das Admin-Passwort abzugreifen.

Mithilfe der heutigen PCs ist es möglich, viele Millionen Passwörter pro Sekunde durchzuprobieren. Der Angreifer lässt seinen Rechner also solange Passwörter ausprobieren, bis er zufällig das richtige findet. Schafft er es, hat er vollen Zugriff auf die gesamte Infrastruktur.


Ihr seht, mit ein paar einfachen Kniffen ist es möglich, großen Schaden anzurichten. Hinter den professionellen Angriffen stecken knallharte, finanzielle Interessen: Webseiten können als Spambots für E-Mails benutzt werden, Daten ausspähen oder illegalen Content bereitstellen, an dem der Hacker Geld verdient.

Kommt der Angreifer an die Server heran, kann er Klickbetrügereien starten oder unsere Infrastruktur für DDoS-Attacken (Distributed Denial of Service = Verweigerung des Dienstes eines PCs) verwenden.

Für uns ist eine gehackte Webseite außerdem ein immenser Arbeitsaufwand, wenn wir kein Backup besitzen. Die gehackten Stellen zu finden ist aufwendig und eine Affiliate-Seite, die offline ist, verdient kein Geld.

Aber es geht noch weiter: Bösartige URLs, nur in den Kommentaren unter Artikeln, können zum Ban durch Google führen. Da diskutiert dann niemand mehr über Platz 1 der Rankings, sondern Google zeigt seinen Benutzern das rote Schild.

Schon verdächtige Links in Kommentaren können zum Ban führen:

Warnhinweis Malware

3 Plugins für mehr Sicherheit bei WordPress

Und dabei ist es gar nicht schwer, seine eigene Webseite zu sichern. Für WordPress-Seiten gibt es diverse Sicherheitstools, die einfach zu bedienen sind und obendrein sehr wenig oder gar kein Geld kosten. Die schauen wir uns nun einmal an.

Einige essentielle Grundfunktionen stellen alle relevanten Programme zur Verfügung. Sie helfen, die eigenen Passwörter stärker zu machen und verhindern zusätzlich mit beim Login begrenzten Fehlversuchen die Bruteforce-Attacken. Außerdem sichern alle Programme mit einer Firewall gegen externe Zugriffsversuche. Ebenso läuft im Hintergrund File Monitoring und prüft und informiert über Änderungen der eigenen Dateien.

Sehr beliebt sind auch die Überwachungsfunktionen, die teilweise in Echtzeit und grafisch aufbereitet darstellen können, wer gerade wo auf der Webseite was genau tut. Sogar Crawler können beobachtet werden. Und natürlich lassen sich IP-Adressen nachschlagen und notfalls blockieren. Schauen wir uns die drei besten einmal genauer an:

1. All in One WP Security

WP Security (WPS) ist eines der beiden großen Security-Plugins für WordPress. Dahinter steht das Tipps-and-Tricks-HQ, ein Blog, der vor allem all denen helfen will, die ihre Webseite monetarisieren wollen.

Dazu entwickeln sie selbst Plugins, die zwischen 35 und 70 Dollar kosten. Das führt zu dem großen Vorteil von WP Security: Es ist komplett umsonst. Keine kostenpflichtigen Premiumfunktionen und ein Entwickler-Team dahinter, das versteht, was es tut. Mutmaßlich sehen sie das Sicherheitsplugin als Werbung.

WP Security

Ebenfalls ein Vorteil, der es von allen anderen abhebt: Es hat eine deutsche Übersetzung. Das Passwort zur Webseite sichert WPS mit einem Cookie basierten Login ab, der nur funktioniert, wenn man den vorher speziell generierten Keks auf seinem Rechner hat. Außerdem kann WPS automatisierte und geplante Backups der eigenen Datenbank machen.

2. Wordfence

Wordfence ist das größte und bekannteste Security-Plugin für WordPress.

wordfence

Anders als bei WPS verdienen die Entwickler ihr Geld mit dem Plugin, das heißt, die wirklich schönen Funktionen kosten extra. 39 Dollar möchte das Unternehmen pro Jahr für automatische Scans, zwei Faktoren Login (SMS + Passwort), einen verbesserten Spamfilter in den Kommentaren und die Funktion, einen Bruteforceangriff zu simulieren

Herausstechend ist die bereits oben beschriebene Möglichkeit, alle User-Aktivitäten live zu verfolgen und bei Bedarf Angreifer zu blockieren. Wordfence besitzt außerdem die selbst programmierte Falcon-Engine, die die Zugriffszeiten auf die eigene Webseite immens beschleunigt. Das ist wichtig und hilft gegen DDoS-Attacken.

3. iThemes Security

ithemes security

iThemes Securityist das dritte nützliche Plugin: Es zeichnet sich vor allem durch die einfache Bedienung aus.

Es scannt die eigene Seite nach offenen Sicherheitslücken und leitet den User inklusive Erklärung durch das Schließen der Lücken. Die kostenpflichtige Proversion bringt ähnliche Features wie Wordfence und wirbt vor allem mit ihrem Premium-Support.

Fazit

Das beste Plugin scheint Wordfence zu sein, der große Nachteil ist: Einige Funktionen kosten Geld. WPS steht dem Spitzenreiter aber in wenig nach. Ihm fehlt die Falconengine und die übersichtliche, grafische Oberfläche. Und wenn Ihr mit der englischen Sprache kämpft: WPS ist als einziges Plugin in deutscher Sprache verfügbar. Der beste Weg zur absoluten Sicherheit ist aber garantiert folgender: Benutzt einfach mehr als ein Plugin. So ergänzen sich die Funktionen. Es gibt im Internet diverse Berichte darüber, dass beide Plugins nebeneinander funktionieren. Das ist natürlich ohne Gewähr und von Seite zu Seite kann das unterschiedlich sein. Absolut notwendig ist aber die Installation zumindest eines Plugins. Da führt in der heutigen Zeit kein Weg dran vorbei. Also entscheidet Euch, ob es besser bunt oder lieber deutsch sein soll. Angegriffen werdet ihr in jedem Fall.

Um unsere Webseite für Dich optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmst Du der Verwendung von Cookies zu. Weitere Informationen und die Möglichkeit des Widerrufs zur Nutzung von Cookies erhältst Du in unseren Datenschutzbestimmungen.