Hier ist ein kurzer Überblick über iThemes Security Pro zur Absicherung des beliebtesten und am häufigsten gefährdeten CMS – WordPress.
Mit WordPress können auch Nicht-Computeranwender in wenigen Minuten eine Website erstellen und betreiben. Stellen Sie sich vor, was ein teuflisch gut ausgebildeter Cyberkrimineller mit dieser Einfachheit anstellen könnte.
Bitte beachten Sie, dass der WordPress-Kern an sich sehr sicher ist – er macht nur 0,5 % der Sicherheitslücken aus. Aber es sind die Themes und Plugins, die die Sicherheitsgleichung für jede Website verderben.
Gleichzeitig sind es aber gerade diese Addons, die WordPress so praktikabel machen.
Sie möchten ein Opt-in-Formular – installieren Sie ein Plugin.
Sie denken an eine schwebende soziale Freigabe – es gibt ein paar Plugins.
Sie möchten den Dark Mode einführen – auch dafür gibt es ein Plugin.
Kurz gesagt, diese Plugins machen uns das Leben mit WordPress wirklich leicht.
Allerdings sind Plugins auch die Hauptursache für WordPress-Probleme, und zwar in 97,1 % der Fälle. Und die restlichen 2,4% gehen auf das Konto der unendlich schönen WordPress-Themes, ohne die wir nicht leben können.
Es ist also immer gut, angemessene Sicherheitsmaßnahmen zu treffen, vor allem, wenn Sie wissen, dass jeden Tag 30.000 Websites gehackt werden.
Und machen Sie nicht den klassischen Fehler, zu denken, dass Sie nicht groß genug für ein lukratives Ziel sind. Tatsächlich werden kleine und mittlere Unternehmen häufiger Opfer von Hackern als große Unternehmen. Der häufigste Grund ist das Fehlen einer effizienten Sicherheitsinfrastruktur.
Werfen wir also einen detaillierten Blick auf iThemes Security Pro, um zu sehen, wie es uns schützt.
Erste Schritte
Der Einführungsplan kostet $80 pro Jahr, und alle Pläne werden mit einer 30-tägigen Geld-zurück-Garantie geliefert. Beginnen Sie mit der Erstellung eines iThemes-Kontos, bezahlen Sie Ihr Abonnement und laden Sie das Plugin herunter.
Als nächstes gehen Sie in den WordPress-Admin, um iThemes Security Pro hochzuladen und im Plugin-Bereich zu aktivieren.
Klicken Sie anschließend auf Einstellungen, um den Einführungsprozess zu starten.
Die Einrichtung ist sehr detailliert und bietet Optionen, mit denen Sie so ziemlich alles einstellen können. Alternativ können Sie die Einstellungen auch überspringen, um den Standardschutz zu erzwingen.
funktionen von iThemes Security Pro
In den folgenden Abschnitten werden einige der bemerkenswerten Funktionen vorgestellt, die für die Sicherheit einer WordPress-Website nützlich sein können.
Login-Sicherheit
Dies ist eine große Sicherheitslücke, die häufig ausgenutzt wird. Was Sie tun können, ist, strenge Registrierungsrichtlinien durchzusetzen, wie z.B. Zwei-Faktor-Authentifizierung, starke Passwörter, passwortlose Anmeldungen usw.
Es gibt zwar separate Plugins für alles, was in WordPress passiert, aber die Idee ist, ein einziges Plugin zu haben, um die Angriffsfläche zu minimieren.
Die kürzlich hinzugefügte Funktion Passkeys hilft Ihnen, Passwörter ganz zu vermeiden. Dabei geht es darum, sich mit der lokalen Authentifizierung, die Sie bereits bei Apple (Touch ID, Face ID), Windows (Windows Hello) und Android (Fingerabdruck, PIN, Muster) verwenden, bei Ihrer WordPress-Website anzumelden.
Sehen Sie sich an, wie Sie mit iThemes Security Pro passwortlos mit WordPress arbeiten können.
iThemes schützt Sie auch vor Brute-Force-Anmeldeversuchen(siehe unten). Diese machen sich oft die Tatsache zunutze, dass Benutzer leicht zu erratende Benutzernamen und Passwörter festlegen.
Aber ein starkes Passwort ist nicht immer genug. Lange bevor jemand das richtige Kennwort errät, kann das schiere Ausmaß dieser Ereignisse die meisten Websites für die eigentlichen Benutzer unbrauchbar machen.
Die begrenzten Ressourcen kommen ins Stocken, sobald Ihr wp-admin von den Angriffsbots unerbittlich belastet wird.
Am besten ist es also, die Anmeldeversuche für Passwörter zu begrenzen.
Aber iThemes Security Pro geht noch einen Schritt weiter und hilft mit seiner Funktion Network Brute Force, diese bösen Akteure zu teilen. Darüber hinaus können Sie reCAPTCHA aktivieren, um Ihre Website vor Spam zu schützen.
Und schließlich helfen Ihnen Magic Links dabei, sich Zugang zu verschaffen, während alle anderen Optionen während eines Angriffs ausgesperrt sind.
Gruppen
Dies ist eine hervorragende Funktion, um spezielle Bedingungen auf eine bestimmte Gruppe von Benutzern anzuwenden. Sie können zum Beispiel eine Gruppe von Redakteuren erstellen und sie dazu bringen, bei der Anmeldung die stärksten Passwörter zu verwenden.
Darüber hinaus gibt es zahlreiche weitere Möglichkeiten, eine bestimmte Gruppe von Benutzern zu verfolgen und zu überwachen.
Ebenso kann man Einschränkungen wie die Zwei-Faktor-Authentifizierung für privilegierte Mitarbeiter durchsetzen.
Und während es einfach ist, die standardmäßigen WordPress-Gruppen (Redakteure, Autoren, Abonnenten usw.) hinzuzufügen, können Sie auch eine benutzerdefinierte Kategorie aus handverlesenen Benutzern erstellen, um spezielle Berechtigungen nur für diese festzulegen.
Dann gibt es noch diese Funktion, mit der Sie autorisierte Hosts hinzufügen können, um zu verhindern, dass Sie von Ihrer eigenen Website ausgesperrt werden. Denken Sie daran, dass Sie diese Option nur nutzen sollten, wenn Sie eine eigene IP-Adresse haben.
Abmeldung und Passwortänderung erzwingen
Das Dashboard von iThemes Security Pro ist sehr nützlich, um Ihre Website im Falle eines Angriffs zu schützen.
Sie können die aktiven Benutzer sehen, ein sofortiges Zurücksetzen des Passworts erzwingen und die Abmeldung aller oder einzelner Benutzer erzwingen.
Sie können diese Funktion auch nutzen, um die besten Sicherheitspraktiken für Ihre Website im Allgemeinen zu gewährleisten. Außerdem können Sie ein individuelles Passwortalter festlegen, nach dem ein Benutzer sein Passwort zwingend ändern muss.
Im gleichen Panel finden Sie die Option, Zwei-Faktor über mobile Apps, E-Mail oder Authentifizierungscodes einzurichten.
Dies funktioniert mit allen Authentifizierungs-Apps, die über eine TOTP-Funktion (Time-Based One Time Passwords) verfügen, wie Google Authenticator, Authy, usw.
Schutz vor Brute Force
Dies ist der Bereich, in dem iThemes Security Pro wirklich glänzt. Sie haben verschiedene Möglichkeiten, Ihre Website zu schützen, wenn Sie mit wiederholten Anmeldungen konfrontiert werden, die versuchen, sich den Zugang zu verschaffen.
Erstens können Sie böswillige Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldungen aussperren. Außerdem können Sie einen Sperrzeitraum festlegen, um zu verhindern, dass Hacker es immer wieder versuchen.
Es reicht jedoch nicht aus, schlechte Akteure für eine bestimmte Zeitspanne zu sperren. Daher können Sie Wiederholungstäter nach einer bestimmten Anzahl von Sperren auch dauerhaft sperren.
Außerdem hat iThemes die Möglichkeit, IPs oder Hosts nach fehlgeschlagenen Versuchen zu sperren. Und Sie können einen wirklich niedrigen Schwellenwert verwenden, um maximale Sicherheit zu gewährleisten.
Ebenso gibt es eine Option, um die Anzahl der falschen Eingaben und das Sperrintervall für reCAPTCHA festzulegen.
Updates & Website-Überprüfung
Ein weiterer Problembereich bei einer WordPress-Website sind veraltete Plugins und Themes.
Während Sie die automatische Aktualisierung im WordPress-Administrationsbereich aktivieren können, vereint iThemes Security alles unter einer Haube.
So können Sie das Theme, den WordPress-Kern und die Plugin-Updates über den Bereich Versionsverwaltung verwalten.
Sie können auch eine Verzögerung für die Aktualisierung von Plugins festlegen, und dasselbe gilt für Themes. Normalerweise ist es jedoch empfehlenswert, die Updates sofort zu erhalten, ohne zu warten.
Außerdem können Sie den Site Check aktivieren, der Sie bei jeder nennenswerten Änderung in der WordPress-Datenbank benachrichtigt.
Und Sie können bestimmte Dateipfade von der Überprüfung auf Dateiveränderungen ein- oder ausschließen. Außerdem haben Sie die Wahl zwischen automatischen Scans, die zweimal am Tag durchgeführt werden.
Fazit
Dies war also ein kurzer Überblick über iThemes Security Pro. Die Funktionen machen es einfach, dieses Programm für den privaten und professionellen Gebrauch zu empfehlen.
Wenn Sie jedoch nach einer Alternative suchen, sollten Sie SUCURI oder Malcare ausprobieren
Allerdings liegt nicht alles in den Händen eines Website-Besitzers. Ein paar wichtige Dinge müssen von einem Webhoster erledigt werden. Sie können diese Hosting-Sicherheitsmaßnahmen überprüfen und feststellen, ob Ihr Webhoster auf den schlimmsten Fall vorbereitet ist.