WordPress Security Plugins

Die besten WordPress Security Plugins für mehr Performance

Was genau hat die Sicherheit eines Blogs mit seiner WordPress Performance zu tun? Und wie schaffen es Firewalls, dass sich die Leistung verbessert, obwohl die Firewall selbst wichtige Ressourcen für ihren Betrieb benötigt? Viele Fragen, die ich dir in diesem Artikel gerne beantworten möchte und deren Hintergründe ich genauer zu erklären versuche.

Denn auch wenn es oft nicht so scheint, haben gerade Security Plugins für WordPress einen massiven Einfluss auf die Leistung des jeweiligen Blogs. Sie bestimmen nicht nur, wie angreifbar die Plattform erscheint, sondern sorgen ebenso dafür, dass Hacker gar nicht erst zu ihr durchkommen.

Load WordPress Sites in as fast as 37ms!

Warum genau das der Knackpunkt in Sachen Leistungssteigerung ist, davon handelt dieser Artikel. Doch zunächst gilt es zu klären, warum Security Plugins für WordPress von derart großer Bedeutung sind und warum nur sie für einen möglichst reibungslosen Betrieb sorgen können.

Warum Security Plugins für WordPress wichtig sind

WordPress ist bekannt für seine enorme Verbreitung und weniger populär für seine Sicherheitslücken. Tatsächlich ist WordPress selbst aber relativ sicher. Das Problem in Sachen Sicherheit kommt fast immer von außerhalb.

Plugins und Themes sind es, die Funktionen hinzufügen und somit potenzielle Sicherheitslücken beinhalten. Das war in der Vergangenheit schon mehr als einmal der Fall.

Die Schwierigkeit bringt jedoch nicht die Sicherheitslücke selbst, sondern die Tatsache, dass das Leck potenziell auf mehreren Blogs gleichzeitig auftaucht. Einfach deshalb, weil Plugins entsprechend weitläufig im Einsatz sind und eine hohe Verbreitung aufweisen. Das wiederum ist die eigentliche Motivation für Hacker. Entdecken diese eine Sicherheitslücke in WordPress oder einem der Plugins bzw. Themes, können sie sofort eine große Anzahl an Blogs angreifen. Nicht einzeln, sondern automatisiert und in Massen.

Genau das ist es, was WordPress Sicherheitslücken so gefährlich werden lässt. Weil die Struktur in dem Content Management System stets dieselbe ist, egal wo es installiert wurde, können Hacker ihre Angriffe vollautomatisch und immer nach dem gleichen Ablauf starten.

Sie scannen das Internet also nach Websites auf Basis von WordPress und prüfen, ob eine Sicherheitslücke vorhanden ist. Ist sie entdeckt worden, findet der Angriff statt.

Genau das ist das Problem bei einem CMS wie WordPress:

Die immense Verbreitung schafft Vorteile, ebenso aber auch große Nachteile in Sachen Sicherheit.

Jochen Gererstorfer

Wie Security Plugins die Performance verbessern

Suche nach Security Plugins im WordPress.org Verzeichnis
Suche nach Security Plugins im WordPress.org Verzeichnis

Web Application Firewalls und Firewalls im Allgemeinen dienen als Mauer vor dem eigentlichen Zugriff. Noch bevor ein Nutzer, ein Bot oder ein Angreifer auf die Website gelangt, filtert die Firewall die Anfrage im besten Fall bereits aus. Hacker schaffen es also gar nicht mehr bis zu deinem Blog vorzudringen, weil die Firewall sie vorher stoppt. Wie ein Einbrecher, der am Stacheldraht hängen bleibt und deshalb nicht in das Haus gelangt. So jedenfalls die Theorie.

Das wiederum sorgt dafür, dass potenzielle Angreifer und eben auch automatisierte Zugriffe durch Bots keinerlei Daten laden können. Auf einer WordPress-Website ist das oft die Artikelübersicht, die entsprechende Thumbnails enthält. Je nach Optimierung der Thumbnails wird durch sie durchaus ein beträchtlicher Datensatz übertragen. Viele Bots fragen aber auch direkt bestimmte Dateien ab oder Scannen die Ordnerstruktur nach möglichen Plugins.

Geschwindigkeit durch Bot-Blockierung

All das verursacht eine gewisse Last, je nach Caching und den weiteren Einstellungen. Am Ende läuft es aber darauf hinaus, dass euer Server sich mit Anfragen beschäftigen muss, die nicht echt sind. Er bedient Bots statt Nutzer, die Daten laden oder spionieren wollen, um Hinweise auf potenzielle Sicherheitslücken zu entdecken.

Die Firewall, wenn sie denn richtig eingestellt wurde und bestmöglich funktioniert, wovon ich in diesem Beispiel einfach ausgehe, blockiert diese Anfragen nun aber bereits lange vorab. Stell dir die Firewall wie einen Türsteher vor oder wie eine Art Captcha, welches dich nur dann durchlässt, wenn du ein Mensch bist.

Weil die automatisierten Anfragen und Downloads jene der echten Menschen meist um eine Vielzahl übertreffen (was für Last auf dem Server sorgt), führt deren Sperrung automatisch dazu, dass weniger Ressourcen benötigt werden. Die Performance steigt also, weil all die unnötigen Zugriffe nicht mehr durchgelassen werden.

Im Grunde ist die Rechnung dabei immer dieselbe. Kann ich bösartige Anfragen effektiv aussieben, ohne für diesen Prozess mehr Ressourcen aufbringen zu müssen, als ich durch das Aussieben einsparen kann?

Wird mehr gespart als ausgegeben, bleibt am Ende mehr übrig. Simple Things.

Die besten WordPress Security Plugins

Wie bei so gut wie jedem WordPress Plugin, gibt es auch bei den Security Plugins mehr als genug Auswahl. Um genau zu sein, existiert zu jedem Plugin eine Alternative und oft haben Security Plugins ganz unterschiedliche Stärken oder Schwächen, während andere eine All-in-One-Lösung darstellen möchten. Es gibt also jede Menge von ihnen, doch nur wenige sind empfehlenswert.

In diesem Beitrag habe ich daher versucht, die besten WordPress Security Plugins aus der Masse an Erweiterungen herauszufiltern. Da ich selbst bereits sehr lange mit WordPress arbeite und die meisten der Plugins somit auch schon länger kenne, weiß ich genau, wie sich diese über die Jahre hinweg entwickelt haben. Sei also sicher, dass ich dir nur persönliche Empfehlungen gebe und meine ehrlichen Eindrücke schildere. Die jeweilige Kurzvorstellung unten verrät dir ein wenig mehr.

1. iThemes Security

iThemes Security ist eine Erweiterung für WordPress, die vor allem dabei hilft Sicherheitsmaßnahmen schnell und gezielt umzusetzen. Vor allem Anfänger oder unerfahrene WordPress-Nutzer sind mit dem Plugin gut beraten, da sich iThemes Security problemlos installieren lässt.

Im Grunde enthält die Erweiterung eine Sammlung von WordPress-Sicherheitstipps und setzt sie per Knopfdruck um. Egal ob Zwei-Faktor-Authentifizierung, Security Keys, Malware-Scan oder Bot-Abwehr.

Viele kleine Funktionen also, die WordPress allgemein etwas sicherer machen. Gerade die Abwehr von Brute-Force-Attacken spart zudem Ressourcen und bringt Performance.

2. Wordfence

Wordfence Security Dashboard
Wordfence Security Dashboard

Als Wordfence damals startete, hatte das Plugin einiges zu bieten. Unter anderem war eine extrem effektive Cache Engine namens Falcon Cache mit an Board. Diese wurde inzwischen aufgegeben.

Vor allem, weil sich Wordfence noch mehr auf das Thema Security spezialisieren wollte und Caching als eine Ablenkung betrachtete. Ein richtiger Schritt, wenn du mich fragst, da beides unterschiedliche Bereiche sind.

Wordfence selbst gehört mit über vier Millionen Installationen mit zu den beliebtesten WordPress Security Plugins am Markt. Es beinhaltet eine komplette Web Application Firewall (WAF), einen Malware-Scanner und viele Funktionen, um die Sicherheit innerhalb von WordPress zu steigern.

Neben der Abwehr von Angriffen, verhindert Wordfence Bruce-Force-Attacken und sucht gezielt nach kompromittierten Dateien. WordFence ist somit eine der besten Lösungen im Bereich der WordPress Security Plugins.

3. Sucuri Security

Sucuri Review
Sucuri Review

Einen Namen machte sich Sucuri vor allem, weil es ihnen immer wieder aufs Neue gelang, große Sicherheitslücken innerhalb von WordPress aufzudecken.

Sucuri ist das vielleicht beste Security Plugins für WordPress, weil es einen dezentralen Ansatz nutzt. Wird auf einem Blog eine Schwachstelle gefunden, wird diese sofort gesperrt, und zwar auch auf allen anderen Blogs. Das Gleiche gilt für DDoS-Attacken. Finden solche Angriffe statt, werden die IP-Adressen nicht nur dort gesperrt, wo die Attacke stattfand, sondern im gesamten Netzwerk von Sucuri.

Dieses dezentrale Vorgehen ist äußerst effektiv und verhindert viele Hacks, lange bevor sie einen selbst überhaupt treffen können.

4. Malcare

MalCare Rundum Security Lösung für WordPress
MalCare Rundum Security Lösung für WordPress

Ich setzte seit Jahren auf MalCare bzw. BlogVault. Die zwei Dienste kommen aus einem Hause und werden auch unter einem Dashboard verwaltet.

MalCare bietet Firewall und Malware-Löschung. BlogVault macht Offsite-Backups und Staging. Für mich ein unschlagbares Duo!

5. NinjaFirewall

Ninja Firewall Dashboard
Ninja Firewall Dashboard mit Fehlern

Eine besonders kostengünstige Lösung für eine Firewall stellt NinjaFirewall zur Verfügung.

Die kleine und feine Firewall für WordPress schaltet sich vor den eigentlichen Blog und filtert Angriffe effektiv heraus, bevor sie die Website erreichen. Je nach Anzahl, sorgt das für eine deutliche Entlastung und somit bessere Performance.

Allzu umfangreich ist NinjaFirewall dabei nicht, doch dafür ist es vergleichsweise günstig zu haben. Eine klare Empfehlung für alle, denen Wordfence oder Sucuri zu teuer ist.

6. BBQ & Blackhole for Bad Bots

Blackhole for Bad Bots Plugin
Blackhole for Bad Bots Plugin

Block Bad Queries (oder eben einfach BBQ) stammt vom bekannten WordPress-Entwickler Jeff Starr. Im Grunde blockiert es auf die einfachste Art und Weise bösartige Anfragen. Im Zusammenspiel mit Blackhole for Bad Bots (ebenfalls vom selben Entwickler) stellt es einen sinnvollen Schutz gegen alltägliche Angriffe dar.

BBQ blockt unliebsame Zugriffe, während Blackhole nervige Bots aussperrt. Das Ergebnis sind weniger übertragende Daten, weil weder bösartige Anfragen noch Bots bis zur Website durchkommen. Das wiederum entlastet den Server und bringt im besten Fall mehr Performance.

Keine echte Firewall, aber eine rudimentäre Lösung. Immer dann empfehlenswert, wenn der Begriff Firewall bei dir bereits Kopfschmerzen verursacht und du gerne eine Set-and-forget-Lösung hättest.

7. All in one WP Security & Firewall

Das WordPress Plugin All in one WP Security & Firewall.
Das WordPress Plugin All in one WP Security & Firewall.

Das WordPress Plugin All in one WP Security & Firewall ähnelt stark der Erweiterung von iThemes.

Es beinhaltet ebenfalls eine ganze Liste an nützlichen Tweaks und Tipps, die innerhalb von WordPress für mehr Sicherheit sorgen sollen. Dabei ist das Plugin ähnlich einfach und nachvollziehbar aufgebaut wie iThemes Security.

Der spielerische Score, der die aktuelle Sicherheit widerspiegelt, zeigt das bereits hervorragend. Es ist ein Plugin für Anfänger, die vor einer großen Firewall zurückschrecken oder für die sich die Kosten einer solchen derzeit noch nicht rentieren.

Um grundlegende Sicherheitsmaßnahmen umzusetzen, ist die Erweiterung in solch einem Fall empfehlenswert.

Bestes WordPress Hosting

Hosting-Empfehlungen sind normalerweise Müll.

Oft werden extrem billige Hosting-Pakete für € 3 empfohlen, andere wiederum werben mit einem € 100 VPS, weil sie als Affiliate dabei am meisten verdienen. Im Endeffekt wollen wir doch alle nur den schnellstmöglichen Webspace für möglichst wenig Geld.

Und zwar für WordPress optimiert!

Was ist noch wichtig? Der Server sollte in Deutschland liegen und der Support sollte möglichst schnell antworten, und das am besten auf Deutsch.

Das alles bekommst du bei Raidboxes ab € 9,00 / Monat.

Fazit zur Performance-Optimierung über die WordPress Security

Kein Blogger sollte sich der Illusion hingeben, mit einer Firewall wirklich sicher zu sein. Darum geht es auch gar nicht. Es dreht sich eher darum, einen Großteil der automatisierten Angriffe auszusieben und zu verhindern, dass diese Daten von deinem Server laden können. Verhinderst du das mit WordPress Security Plugins, schaffst du nicht nur eine grundlegende Sicherheitsvorkehrung, sondern wirst auch einen positiven Einfluss auf die Gesamtleistung deiner Website wahrnehmen können, weil der Server spürbar entlastet wird.

Gerade bei WordPress ist es absurd, wie viele dieser automatisierten Zugriffe pro Tag, pro Stunde, oft sogar pro Minute stattfinden (je nach Größe und Popularität). Schau am besten in deine Server-Logdateien. Du wirst schockiert sein, wie viele unnötige Anfragen dort zu finden sind.

Wie Firewalls die Leistung steigern können

Zwar kommt es hier auch immer auf die Größe des Blogs an und wie er aufgestellt ist, doch allgemein wird WordPress eben dauerhaft angegriffen und ist somit ständigen Attacken ausgesetzt. Reduzieren lässt sich das nur mit einer Firewall bzw. einem guten WordPress Security Plugin. Das schafft keine ultimative Sicherheit, sorgt aber dafür, dass die Anzahl der Zugriffe enorm reduziert werden kann und der Server somit deutlich weniger zu tun bekommt.

Hat der Server weniger Arbeit, steigt die Leistung deiner Website von ganz allein, weil die Ressourcen dann wieder für andere Dinge zur Verfügung stehen. Die Performance-Optimierung mittels Firewall gehört sicherlich nicht zu den ersten Schritten, ist am Ende aber essenziell, um die bestmögliche Leistung aus einer WordPress-Website herauszukitzeln. Probier es am besten gleich mal aus!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.