Aufgewühlt von Statistiken der Webseite wpvulndb.com und von reißerischen Überschriften wie die „Die 10 unsichersten WordPress-Plugins“ habe ich ein paar Eindrücke von verschieden Security Plugins für WordPress sammeln dürfen. Eigentlich sollte die Eindrücke für die WordPress Security Plugins ein Kommentar bei Henning unter seinem Beitrag „Unsichere WordPress-Blogs durch Sicherheitsplugin?“ werden aber der Beitrag wurde etwas länger und somit gleich ein ganzer Artikel hier im Blog! ;-)
Ich hatte Better WP Security im Einsatz und war mit dem Nachfolger iThemes Security nicht wirklich zufrieden, unter anderem deswegen weil iThemes Security nicht mehr deutsch war und eine menge Bugs hatte. Also wechselte ich zu Wordfence und war von der „Einfachheit“ und doch vom Umfang begeistert. Es war zwar auch nicht deutsch aber es lief alles in meinen Blogs reibungslos und war auch gut dokumentiert.
Irgendwann wurde dann von Sicherheitsproblemen bei Wordfence geschrieben. Bei pressengers.de lass ich von den 10 unsichersten WordPress-Plugins und mein geliebtes Plugin war auch dabei! Flux gelesen und über 12 Sicherheitslücken informiert bin auf den Zug aufgesprungen und habe alle Mögliche Security Plugin´s ausprobiert, nur um den Sicherheitslücken zu entgehen die sich da auftaten. (Angeblich!)
iThemes Security (formerly Better WP Security) hatte ich als erstes nochmal ausprobiert und fand es erst gut aber es war mir zu klobig und es veränderte meinen wirklichen schnellen Blog zu einen eher zähen Blog. Zu unübersichtlich und umfangreich erschien mir die Security für meinen Blog!
BulletProof Security war eine unüberschaubares Plugin. Ich wollte mich damit nicht auseinandersetzen, weil es auch bunt bis zum geht nicht mehr war. Auch wenn man die Farben ändern konnte, es passte mir nicht!
Bei der Centrora Security muss man extra Verzeichnisse auf dem Blog bei der Aktivierung freigeben sonst kommt es zu Fehlern! Was soll das? Auch nichts für mich, es gab ja noch mehr die wesentlich einfacher zu installieren waren.
Security Ninja Lite wohl das Plugin welches am ehesten eine Firewall hat aber dazu musst du Zugriff zur php.ini haben. Wer keinen Zugriff zur php.ini hat weil er ein günstiges Hosting-Paket nutzt und die php.ini nicht ändern kann, hat verloren. Er kann es nicht nutzen! Ich habe es nicht zum laufen überreden können, drum habe ich es dann gelassen.
All In One WP Security & Firewall das Plugin was mir wohl am ehesten gefallen hätte. Funktionen, alles sehr durchdacht und stellenweise besser als bei Wordfence und bei den anderen von mit getesteten Security Plugin´s. Allerdings musste ich die IP´s die ich länger bannen wollte immer von Hand in den Blacklist-Manager eintragen. Umständlich in meinen Augen. Sicher ist ein Backup-Funktion auch nicht schlecht aber dafür habe ich ein anderes Plugin.
Gut war das Captcha in der Registrierung, beim Login und unter den Kommentaren das eingefügt werden konnte. Das war als Login-Schutz und als Kommentarschutz ganz brauchbar! Wenn die Spamer und Bots für das Login nicht teilweise schon dafür eine Lösung gehabt hatten. Es waren wirklich weniger Login-Angriffe und auch weniger Kommentare als Spam von Antispambee zu verzeichnen.
Was mir aber fehlte war das ich eine Mail erhalte wenn sich jemand einloggt. Ich finde die Funktion sehr interessant, weil sie mir schon mal einen Angriff so gemeldet hatte siehe Beitrag WordPress-Blog gehackt! WordPress Researcher Plugin als Backdoor-Virus-Trojaner. Was in Wordfence auch besser gelöst ist, wenn sich jemand mit Admin oder auch anderen Begriffen einloggen will wird sofort gebannt! Die Begriffe sind frei definierbar und somit kann man sich bei der Funktion schon richtig austoben. Wer also Admin eingibt, der wird sofort gebannt und hat keine xx Versuche mehr! Wenn man so will ist Plugin All In One WP Security & Firewall eine großartiges Plugin mit kleinen Einschränkungen. Ich werde das Plugin All In One WP Security & Firewall auf alle Fälle im Auge behalten das Potenzial ist wirklich da, wenn auch es wiederein sehr umfangreiches Plugin ist.
Ich bin dann wieder zu Wordfence zurück, weil es einfach macht was es soll! Es belastet mein WordPress weniger als andere Security Plugin´s! Sicherheitlücken vom Plugin werden wie ich im nach hinein feststellte innerhalb von einem Tag geschlossen! Die Sicherheitslücken sind verteilt über die Versionen 3.3 bis 5.2.3 von Worfence. Reißerische Überschriften sollte ich mir das nächste mal erst mal durch den Kopf gehen lassen dann hätte ich mir jede Menge Zeit sparen können!
Nachtrag: Was Wordfence noch sehr gut macht ist die xmlrpc.php prüfen! Wenn sich jemand einloggt per APP für Android, dann bekomme ich eine Mail. Wenn ich das nicht war dann sollte alles klar sein! Im übrigen nervt die Mail nicht wenn ich mich im Browser einlogge den solange ich mich nicht auslogge und dann wieder einlogge kommt auch keine Mail.
Hinterlasse jetzt einen Kommentar