Eine sichere Webseite ist enorm wichtig für jedes Online-Business. Für das beliebteste CMS WordPress gibt es einige hilfreiche Sicherheitstools. In diesem Beitrag möchten wir vom website security Team die besten WordPress Sicherheits-Plugins für Webseiten vorstellen.
Brauche ich ein WordPress Sicherheits Plugin?
Sind WordPress Sicherheits-Plugins denn auch wirklich notwendig? Natürlich kann und sollte ich meine Webseite auch anders schützen. Etwa durch die Auswahl eines zuverlässigen und auf WordPress spezialisierten Hosting. Gute Hosting Anbieter bieten bereits in der Standardkonfiguration der Server einen guten Schutz. Auch in der htaccess Datei kann ich einige wichtige Einstellungen vornehmen. Eure Einstellungen könnt ihr z.B. hier checken. WordPress Sicherheits-Plugins bieten letztlich einiges an zusätzlicher Sicherheit, gerade bei weniger erfahrenen Webseiten-Betreibern auch wegen der sehr einfachen Konfiguration.
Aufgrund der großen Zahl an Hacker-Angriffen ist ein zusätzliches Maß an Sicherheit für jede Seite relevan.t Hierzu eine erschreckende Zahl: Im April 2017* wurden 1,38 Milliarden Angriffe auf WordPress Webseiten registriert. Da der Gesamtzahl und Anteil der WordPress Seiten seit 2017 noch weiter gestiegen sind, dürften die Zahlen heute nicht wesentlich besser aussehen.
In diesem Beispiel ging es konkret um sogenannte Brute Force Attacken.
Das Vorgehen dabei ist relativ simpel: Hacker versuchen den Login und das Passwort zu erraten, um sich Zugang zum WordPress-Adminbereich zu verschaffen. Hierbei werden zumeist einfache Listen mit typischen Logins und Passwörtern mit Hilfe von simplen Scripten verwendet.
Wenn solche Attacken erfolgreich sind, kann das großen Schaden für Dein Online-Geschäft bedeuten. Daher sollte die Sicherheit von WordPress Webseiten sehr ernst genommen werden. Einen guten Schutz kann bereits die Wahl des richtigen Webhosters darstellen. Aufgrund der Vielzahl an möglichen Sicherheitslücken sollte das jedoch nie die einzige Maßnahme bleiben.
Mögliche Folgen von Sicherheitsverletzungen (security breaches) können z.B. folgende sein:
- Cyber Kriminelle stehlen Daten von Deinem Unternehmen oder Deinen Kunden von der Webseite.
- Personenbezogene Daten könnten offengelegt werden. Was nach DSGVO eine schwerwiegende Datenpanne darstellt, die hohe Bußgelder und einen Imageschaden nach sich ziehen könnte.
- Die Inhalte Deiner Webseite könnten vollständig gelöscht werden.
- Die Seite könnte Webseitenbesucher mit Maleware infizieren, was Deinem Ruf, Deiner Marke und auch Deinen SEO Rankings schadet.
- Eine gehackte Seite wiederherzustellen kann sehr aufwendig und sehr teuer sein.
Das sind alles gute Gründe ein geeignetes Sicherheitsplugin auf einer WordPress-Seite zu installieren. Im folgenden haben wir eine List mit den wichtigsten WordPress-Plugins zusammengestellt.
Was sind die besten WordPress Sicherheits Plugins?
Welche Sicherheitsplugins bieten den besten Schutz und welche sind für meine Seite am besten geeignet? Die folgende Liste bietet die Antworten auf diese Fragen.
All in One Lösungen
1. Sucuri*

Das vielleicht beste derzeit verfügbare Sicherheitsplugin ist Sucuri. Die All-in-one Lösung ist zu guter Recht sehr beliebt. Für den Start ist auch der kostenlose SiteCheck* von Sucuri sehr hilfreich. Damit kann man einen schnellen und einfachen Check auf bekannte Sicherheitsrisiken und Maleware durchführen. Sucuri bietet zwar eine brauchbare kostenlose Version, die Pro Lizenz ist aber erst der wahre umfassende Schutz für eine sichere Webseite.
Funktionsumfang:
- Scannen nach und Entfernen von Maleware ohne zusätzliche Kosten
- Einfache Konfiguration im WordPress Dashboard
- Firewall zum Schutz vor Brutforce und anderen bösartigen Attacken
- Umfangreiche Sicherheitslogs, z.B. Dateiänderungen, User Logins und gescheiterte Login-Versuche
- Umfangreiche DDoS Protection (Premium Lizenz)
- SEO Spam Scanner um Linkinjections zu erkennen bevor Google die Seite abstraft
- Durch die Reduktion von schädlichem Traffic kann ich Serverlast und die Ladezeit der Seite reduziert werden
- Statischer Content kann über eigene CDN Server ausgespielt werden
- Schutz vor SQL Injection, XSS und anderen bekannten Attacken
- Support per Chat und E-Mail (Premium Lizenz)
Kosten:
Es gibt sowohl eine kostenlose Version als auch eine Pro Lizenz. Die Pro Version* kostet 299$ im Jahr.
2. iThemes Security Pro*
Das Team von iThemes ist auch für andere Plugins und Themes bekannt. Viele von euch kennen oder nutzen vielleicht das beliebte Plugin BackupBuddy. Ein gute Backup-Strategie ist ebenfalls wichtig für die Website Security. Hier möchten wir euch aber das Security Plugin von iThemes vorstellen.
Funktionsumfang:
- Zwei-Faktor-Authentifizierung (2FA) als zusätzlicher security layer
- Google reCaptcha Login
- Erzwingen von starken Passwörtern
- Verstecken von WP-Login und WP-Admin
- 404-Monitoring und Plugin Scans
- Planung von WordPress Backups
- Kann verdächtige IPs entdecken, die die Seite nach Schwachstellen scannt und kann diese IPs dann blockieren
- E-Mail Benachrichtigung bei verdächtigen Dateiänderungen auf deiner WordPress Seite
- Begrenzung von Login-Versuchen
- Keine eigene Firewall oder Malewarescanner, es kann jedoch der Sitecheck Maleware Scanner von Sucuri genutzt werden
Kosten:
iThemes Security Pro* gibt es ab 80$ im Jahr.
3. Wordfence
Wordfence ist ein weitverbreitetes und umfangreiches WordPress Security Plugin. Es bietet bereits in der kostenlosen Version zahlreiche Features.
Funktionsumfang:
- Die Basic Version ist kostenlos und kann für beliebig viele Seiten genutzt werden
- Monitoring von Hackerangriffen in Echtzeit, inklusive Ursprung, IP-Adresse, Zeit des Versuchs und die Verweildauer
- Tracking und Benachrichtigung von offengelegten Passwörtern
- Begrenzung von Login-Versuchen
- Zwei-Faktor-Authentifizierung
- Konfigurierbare E-Mail-Benachrichtigungen
- In der Pro Version können mehrere Webseiten in einem zentralen Dashboard überwacht werden
Kosten:
Wordfence gibt es als kostenloses Security Plugin. In der Premium Variante kostet es ab 99$ im Jahr.
4. All In One WP Security & Firewall

Das Security Plugin All In One WP Security & Firewall ist kostenlos. Dennoch verfügt es über die meisten best practice Lösungen um eine WordPress Seite abzusichern. Im Vergleich zu den zuvor vorgestellten kostenpflichtigen Plugins ist es nicht ganz so umfangreich und weniger einfach zu bedienen.
Funktionsumfang:
- Scan nach Schwachstellen
- Sichern von htaccess und wp-config
- IP Filter um bestimmte Personen, Organisationen oder geographische Regionen auszuschließen
- Login Lockdown nach gescheiterten Login-Versuchen
- Geblockte User können mit wenigen Klicks wieder freigegeben werden
- Tool zum generieren von starken Passwörtern
- User Account Monitoring
- Eine Website Firewall, aber keine DNS-level Firewall
- Manuelles hinzufügen von IPs zu einer Blacklist
Kosten:
All In One WP Security & Firewall ist kostenlos.
5. Hide My WP*
Das Hide My WP – Amazing Security Plugin for WordPress* verspricht insbesondere mit dem Namenszusatz sehr viel. Mit einmaligen Kosten von 29$ (wobei künftige Updates nur bis 6 Monaten kostenlos sind) ist es deutlich günstiger als die Pro Lizenzen von meinen Favoriten Sucuri, Wodfence oder iThemes. Die Feature List ist tatsächlich auch umfangreicher als bei den kostenlosen Alternativen.
Funktionsumfang:
- Umbenennung/Weiterleitung von WP-Login und WP-Admin
- Versteckt Informationen zu verwendeten Themes und Plugins
- Änderung der WP Permalinks, z.B. Author
- IDS Website Firewall zum Schutz vor Brute Force Attacken
- Blocken von IPs über Blacklists und Trust Network
- Schutz vor SQL Injection, CSRF und XSS
Kosten:
Hide My WP* kostet einmalig 29$ inklusive Updates und Support für 6 Monate bzw. 38$ inklusive Updates und Support für 12 Monate. Es gibt auch eine kostenlose Lite Version.
6. Jetpack

Jetpack ist eine sehr beliebte All-in-One Lösung. Mit über 5 Millionen aktiven Installationen gehört es zu den weitverbreitetsten Plugins für WordPress überhaupt.
Funktionsumfang:
- Backups in Echtzeit bei jeder Änderung der Webseite
- Mit einem Klick kann ein Backup einfach und schnell wiederhergestellt werden
- Umfangreiches Aktivitätsprotokoll um die Ursache (oder den Verursacher) einer beschädigten Seite ausfindig machen zu können
- Dezentrales scannen nach Malware
- Schutz vor Spam, z.b. in Blogkommentaren
- E-Mail Benachrichtigung, wenn die Seite down ist
- Schutz vor Brutforce Attacken und Malware
- Automatische Updates von WordPress Plugins möglich
- Kompatibel mit WooCommerce
Kosten:
Die kostenlose Version von Jetpack beinhaltet einige grundlegende WordPress Security Funktionen. Die Pro Lizenz gibt es ab 19,95$ pro Monat und wird jährlich abgerechnet. In der Pro Lizenz sind noch weitere, nicht sicherheitsrelevante, aber vielleicht nützliche Funktionen enthalten.
7. WP Guard*

Genau wie Hide my WP* ist das Plugin WP Guard im mittleren Preissegment und kann über den bekannten envato market bezogen werden. Das umfangreiche Tool integriert den Schutz einer Firewall und Anti-Spam Funktionen für eine hohe Sicherheit von Webseiten.
Funktionsumfang:
- Schutz vor SQL Injections (SWLi) und XSS (Cross Site Scripting)
- Entdeck typische Hackeraktivitäten wie z.B. Zero-Day Attacks
- Detallierte Logs, Fehlermonitoring und E-Mail Benachrichtigungen
- Prüft die PHP Konfiguration auf bekannte Probleme
- Schutz vor Bots, site crawler, fake google bots u.a.
- Spam Schutz mit angebundener Datenbank (DNSBL)
- Aussperren von Besuchern mit Proxy, VPN oder TOR möglich
- IP-Whitelisting
- Kompatibel mit WooCommerce
Kosten:
WP Guard kostet im Envato Market* einmalig 19$ inklusive Updates und Support für 6 Monate bzw. 24,25$ inklusive Updates und Support für 12 Monate.
8. BulletProof Security*
BulletProof Security* sieht im Vergleich zu den anderen aufgelisteten Plugins weniger nutzerfreundlich oder umfangreich aus. Es bietet in der kostenlausen Lizenz einige grundlegenden Sicherheitsmaßnahmen, daher hat es doch seine Berechtigung hier aufgelistet zu werden. Die Pro Lizenz hat einige interessante und nützliche Features.
Funktionsumfang:
- Relativ einfacher Set-Up Assistent
- Einfache Firewall und Malware Scan feature
- Login Protection mit E-Mail Benachrichtigung
- Automatischer Logout bei Inaktivität
- Datenbankscans nach schädlichem Code
- Scannen von Uploads auf bekannte Exploits
- Schutz der php.ini und htaccess File
Kosten:
BulletProof Security gibt es in einer kostenlosen Variante oder als Pro Lizenz. Die Pro Lizenz* kostet 69,95$ mit einer 30 Tage Geld zurück Garantie.
9. SecuPress

SecuPress gibt es seit 2016 und ist damit im Vergleich zu anderen WordPress Plugins noch relativ neu auf dem Markt. Mit Julio Potier ist jedoch ein in der Szene sehr bekannter Entwickler an Bord, der als Mitbegründer von WP Media an bekannten Plugins wie WP Rocket und Imagify beteiligt war. SecuPress kann vor allem durch seine freundliche Benutzerführung überzeugen. Zudem ist eine kostenlose Variante verfübar.
Funktionsumfang:
- Die hervorragende Benutzeroberfläche ist auch für Anfänger geeignet
- Check auf 35 Sicherheitspunkte in nur 5 Minuten (Premium)
- Ändern der WordPress Login URL
- Spürt schadhaften Code in Themes und Plugins auf
- PHP Scan nach Malware
Kosten:
SecuPress gibt es in einer kostenlosen Variante oder als Premiumversion. Die Premium Variante kostet 60€ für eine Site.
Plugins mit Spezial-Fokus
10. WPScan
WPScan ist keine All-in-One Lösung. Mit dem Plugin kannst du deine Seite nach bekannten Sicherheitslücken scannen. Damit ist aus von der Funktionalität zwar sehr eingeschränkt, aber in seinem Feature sehr zuverlässig. Das Plugin gibt es bereits seit 2012 und es gilt es besonders nutzerfreundlich.
Funktionsumfang:
- Scannt die Webseite täglich vollautomatisch nach schädlichem Code
- E-Mail Benachrichtigung bei einer Gefährdung
- Die Datenbank wird täglich von einer aktiven Community ergänzt, zu der auch viele erfahrene WordPress Spezialisten zählen
- Das Plugin ist Open-Source
Kosten:
Die kostenlose Version von des Plugins ist für die meisten Webseiten eine sehr gute Lösung. Für größere Webseiten, insbesondere mit vielen Plugins im Einsatz, kann sich die Bezahlvariante lohnen. Diese gibt es ab bereits 2,31$ im Monat.
11. WordPress Expire Passwords*
Nutzt man WordPress mit vielen User Rollen oder möchte sich selbst gerne an ein gutes Passwortmanagement erinnern dann ist WordPress Expire Passwords* ein kleines aber sehr hilfreiches Plugin um die Sicherheit zu erhöhen. Gerade für eine Unternehmens Webseite oder für Gemeinschaftsprojekte sind schwache Passwörter ein hohes Risiko für die Sicherheit.
Funktionsumfang:
- Ablaufzeit von Passwörtern kann frei gewählt werden
- Rollenmanagement
- Verhindern von Passwort-Wiederholungen
- Zeigt Datum der letzten Änderung auf der User Page
- Kompatibel mit WooCommerce
Kosten:
WordPress Expire Passwords* kostet einmalig 21$ inklusive Updates und Support für 6 Monate bzw. 27$ inklusive Updates und Support für 12 Monate.
12. WPS Hide Login
Das kostenlose Plugin WPS Hide Login hat fast eine Millionen aktive Installationen und eine 5-Sterne Bewertung auf wordpress.org. Es wird vom französischen Hosting Anbieter WPServeur angeboten und weiterentwickelt.
Sicherheitslücke bis 1.5.4.2
Solltet ihr das Plugin in einer älteren Version installiert haben, dann solltet ihr es unbedingt updaten. In älteren Versionen war es möglich die Login-Seite trotz Plugin einfach herauszufinden.
Funktionsumfang:
- Umbenennung/Weiterleitung von WP-Login und WP-Admin
Kosten:
WPS Hide Login ist kostenlos.
13. Limit Login Attempts Reloaded
Das Plugin gibt es in einer einfachen kostenfreien Lizenz sowie einer kostenpflichtigen Cloud Lizenz.
Funktionsumfang:
- Begrenzung der Login Versuche frei konfigurierbar
- E-Mail Benachrichtigung bei Aussperrungen
- DSGVO-konformer Hinweis auf Speicherung der IP-Adresse
- Abgleich mit IP-White/-Black-Lists in der Cloud Lizenz
Kosten:
Kostenfrei oder ab 4,99 $ pro Monat in der Cloud Lizenz.
14. WP fail2ban
Dieses kostenfreie Plugin hat nur ein Feature: Den Schutz vor Brut. Force Attacken.
Funktionsumfang:
- Soft- oder Hard-Ban von Angreifern
- Integration von CloudFlare und Proxy-Servern
Kosten:
WP fail2ban ist kostenlos.
15. Clearfy*

Clearfy ist ein umfangreiches Plugin mit dem sich der Page Code einer Seite sehr einfach bereinigen lässt. Zusätzlich zu den Sicherheitsfunktionen bietet es noch einiges um die Performance und das SEO einer Webseite zu verbessern. Dies macht es zu einer idealen Ergänzung zu anderen Sicherheits-Lösungen. Einen ausführlichen Test haben wir hier verfasst.
Funktionsumfang:
- Entfernt Informationen zu Plugins, Themes und HTML Kommentare aus dem Code
- Ändern der WP-Admin URL
- Deaktivieren von Kommentaren
Kosten:
Clearfy gibt es ein einer kostenlosen Lizenz und als Pro-Lizenz. Clearfy PRO* gibt es in der Jahreslizenz ab 39 $ beziehungsweise mit lebenslangen Updates ab 99 $.
Security Plugins und Datenschutz
Als Datenschutzbeauftragter möchte ich kurz einen Hinweis zum Thema Datenschutz bei Sicherheits-Plugins für WordPress geben. Alle umfangreichen Sicherheits-Plugins sammeln Daten über die Besucher einer Webseite. Zumindest bei einem Login wird die IP-Adresse gespeichert. Bei einigen Plugins können noch weitere Informationen hinzu kommen. Plugins, die mit Black- und White-Listings arbeiten senden zudem Informationen wie die IP-Adressen an zentrale Datenbanken. Denn genauso funktionieren solche Listen. Es ist daher aus Sicht von DSGVO zwingend notwendig, dass du eine Auftragsvereinbarung mit dem Anbieter des gewählten Sicherheits-Plugins abschließt.
In der Datenschutzerklärung muss das verwendete Plugin benannt werden. Setzt das Plugin ein Cookie, dann muss dieses auch in der Cookie Erklärung benannt werden. Und auf welcher Grundlage die Datenverarbeitung erfolgt. Daten-Sicherheit ist ein Gebot der DSGVO. Daher sind Maßnahmen, die die Sicherheit von Daten auf Webseiten fördern auch ein berechtigtes Interesse für eine Datenverarbeitung.
Hier gilt natürlich weiterhin der Grundsatz der Datensparsamkeit. IP-Adressen und andere personenbezogene Daten sollten daher nur solange gespeichert werden, wie dies zur Sicherheit der Webseite erforderlich ist. Wenn für den Betrieb ein Cookie notwendig ist, dann ist dieses natürlich auch funktional. Solltest Du noch Beratungsbedarf bei der Umsetzung aus Datenschutzperspektive haben, dann kontaktiere mich gerne.
Welches ist dein liebstes Security Plugin? Schreib es mir in die Kommentare!