WordPress Plugins für Hackerschutz – ein Vergleich

September 2017 Twitter @ItDoorlu

WordPress Plugins für Hackerschutz

Dieser Fachartikel hat in seiner vergleichenden Betrachtung 11 Screenshots zum Thema Plugins für Hackerschutz

Jedem Hacker ist bekannt, daß der Anmeldelink (Login Link)von http://www.itdoor.lu/ so definiert ist:

http:// www.itdoor.lu/wp-login.php

Daher ist es sehr einfach Brute-Force-Angriffe (Brute Force Attacks) zu starten.

Ob Mensch oder Maschine, die Anzahl der Anmeldeversuche bei der folgenden Maske ist obendrein unbegrenzt.

Login bei WordPress
Anmeldemaske von WordPress

Folglich ist es nur eine Frage der Zeit, bis der Zugang gehackt ist.

Buchtipp bei BoD: WordPress auf dem PC als Testsystem installieren

Schritt für Schritt mit über 100 hilfreichen Screenshots, ohne Programmierung

[Link zur Leseprobe]

Buchtipp bei BoD: Kostenlose WordPress-Themes

Schnell das passende Theme finden (für Anwender, Consultants und Theme-Developers). Mit über 130 Kapiteln und über 75 hilfreichen Tabellen; ohne Programmierung

[Link zur Leseprobe]

Was ich nicht will

Ich will mir kein Passwort merken, das ich mir nicht merken kann.

So etwas z. B.

Y#a3@cc5~Z.

Was ich will

Ferner sollte man den Anmeldelink nach meinem Belieben ändern können. Wenn dann der Angreifer dann doch den Anmeldelink finden sollte, möchte ich den Anmeldelink jederzeit ändern können

Zudem sollte die Anzahl der Anmeldefehlversuche begrenzbar sein.

Nachdem eine definierte Anzahl von Anmeldefehlversuchen überschritten worden ist, soll der  Angreifer für eine bestimmte Zeit ausgesperrt werden. Natürlich umfaßt  der Begriff Hakerschutz viele weitere Maßnahmen. Doch ich beherberge im Internet keine Staatsgeheimnisse. Zudem habe ich ein Backup all meiner Informationen meiner Website, auf das per Internet nicht zugriffen werden kann.  Was wäre denn für Sie schlimmer? Daß Ihr PC gehakt wird oder Ihre Website?

Daher reicht mir das erstmal. Sollte das Sicherheits-Plugin noch weitere leicht verständliche Funktionen haben, nehme ich die gerne entgegen.

Zu dem Plugin „WPS Hide Login“ für Hackerschutz

Dieses Plugin hat über 100.000 aktive Installationen und fügt bei „Einstellungen – Allgemein“ ein zusätzliches Feld ein. Und zwar ein Feld für „Login uRL“.

WordPress Plugin WPS Hide Login Feld für Login URL für Hackerschutz
WordPress Plugin WPS Hide Login Feld für Login URL für Hackerschutz

Einfacher geht es nicht. Leider kann hier aber nichts für Anmeldungsfehlversuche eingestellt werden.

Zu dem Plugin „WP Limit Login Attempts“ für Hackerschutz

Dieses Plugin hat über 30.000 aktive Installationen und bietet folgende Einstellungen an:

Einstellungen bei den Plugin WP Limit Login Attempts für Hackerschutz
Einstellungen bei den Plugin WP Limit Login Attempts für Hackerschutz

Die Zahlen, die Sie hier sehen, sind Voreinstellungen des Plugins. Da man hier keine Whitelist pflegen kann, steht zu befürchten, daß der Hacker für den Zeitraum der Lockdown time den Administrator gleich mitaussperrt.

Wie leicht zu erkennen ist, gibt es hier keine Einstellungen für den Anmeldelink.

Zu dem Plugin „Limit Login Attempts Reloaded“ für Hackerschutz

Dieses Plugin hat über 40.000 aktive Installationen und bietet im Wesentlichen folgende Einstellungen an.

Limit Login Attempts Reloaded Einstellungen
Optionen des Plugins Limit Login Attempts Reloaded

Das ist schon differenzierter als das was das Plugin Limit Login Attempts bietet. Zudem ist die hier gezeigte Einstellungsmaske in deutscher Sprache.

Damit nun der Hacker mit seinen Anmeldefehlversuchen den Administrator nicht gleich mitaussperrt, ist in der Whitelist der Nutzername des Administrators einzutragen. Hier im Beispiel „Fritz“.

Limit Login Attempts Reloaded White List
White List des Plugins Login Attempts Reloaded

Die Kehrseite der Medaille ist, daß der Hacker sich doch einloggen kann, wenn er zufällig den Nutzernamen des Administrators und sein Kennwort „trifft“.

Was ist Ihnen lieber? Das Sie als Administrator(in) durch den Hacker gleich mitausgesperrt werden oder daß Sie als Administrator(in) trotz zu vieler Anmeldefehlversuche des Hackers sich doch noch anmelden können?

Bei dem Plugin „Limit Login Attempts Reloaded“ können Sie sich das aussuchen.

Ferner  kann man bei „Limit Login Attempts Reloaded“ den Anmeldelink auch nicht verstecken.

Zu dem Plugin „Wordfence Security“ für Hackerschutz

Dieses Plugin hat über 1 Million aktive Installationen

Bei https://fastwp.de/3773/ steht sinngemäß, daß Wordfence spürbar den Server quasi lahmlegt. iThemes dagegen macht sich zwar bemerkbar, fällt aber nicht unbedingt negativ auf.

Ferner findet man bei https://fastwp.de/3771/ noch folgende Aussage:

Das Plugin nistet sich extrem tief im System ein, die Scans fressen eine Menge Speicher, der Betrieb selbst natürlich auch. Die Datenbank wird beschrieben und mit neuen Tabellen gefüttert

Da habe ich dann Wordfence Security noch nicht mal zu Testzwecken installiert.

Zu dem Plugin „iThemes Security“ für Hackerschutz

Dieses Plugin hat über 800.000 aktive Installationen und bietet einem nach der Aktivierung sofort Folgendes an:

Angebotene Sicherheitsüberprüfungen des Plugins iThemes Security für Hackerschutz
Angebotene Sicherheitsüberprüfungen des Plugins iThemes Security für Hackerschutz

Mir ist nicht klar, in welcher Art und Weise diese verschiedenen Schutzmaßnahmen konfiguriert werden. ‚Wer allerdings eine solche vorsorgliche Fürsorge mag, der ist hier gut aufgehoben.

Bei dem Punkt „Lokaler Brute-Force-Schutz“ finden Sie folgende Informationen.

Informationen zu Aussperrungen

Deine Aussperrungseinstellungen können unter Globale Einstellungen konfiguriert werden.

Deine derzeitigen Einstellungen sind wie folgt konfiguriert:

Dauerhafte Aussperrungen: Ja

Anzahl der Aussperrungen vor einer Dauersperrung: 3

Wie lange Aussperrungen gespeichert bleiben: 7

Aussperrungsmeldung für Hosts: Fehler

Aussperrungsmeldung für Benutzer: Du wurdest aufgrund zu vieler Anmeldefehlversuchen ausgesperrt.

Ist dieser Computer auf der weißen Liste: Ja

Auch hier handelt es sich um eine vorsorgliche Fürsorge, da ich nichts eingestellt und nichts abgespeichert hatte. Natürlich lassen sich diese fürsorglichen Einstellungen noch ändern.

Wo ich den Anmeldelink ändern kann, habe ich auf die Schnelle nicht gefunden.

Bei

https://ithemes.com/security/new-ithemes-security-dashboard/

steht unter FAQ:

The Hide Backend/Hide Login feature can now be found in Advanced Settings.

Eine Registerkarte “Advancd Settings” habe ich nicht gefunden. Laut Ithemes (siehe oben) muß man dafür irgendwo „Enable“ klicken. Das ist mir alles zu kompliziert.

Zu dem Plugin „All-in-One WP Security & Firewall” für Hackerschutz

Dieses Plugin hat über 500.000 aktive Installationen und bietet Folgendes an.

Menüpunkt „Brute Force“

Menüpunkt „Brute Force“ bei dem Plugin "All-in-One WP Security & Firewall" Hackerschutz
Menüpunkt „Brute Force“ bei dem Plugin “All-in-One WP Security & Firewall”

Rechts von dem Feld, in dem seine Login Page URL eingeben kann, lautet der ganze Satz

„Enter a string which will represent your secure login page slug. You are enouraged to choose something which is hard to guess and only you will remember.”

Slug ist der Teil der URL, den man selber definieren kann.

Bei dem Menüpunkt „User Login“ kann man die Anzahl der Anmeldeversuche (Loginversuche) begrenzen.

Das sieht im Wesentlichen so aus:

All-in-One WP Security & Firewall Menüpunkt "User Login"
Menüpunkt “User Login” bei dem Plugin “All-in-One WP Security & Firewall “

Eigentlich müßte ich jetzt happy sein.  Alles was ich suche, ist vorhanden und leicht verständlich. Was mich aber in die Knie gehen läßt, ist bei diesem Plugin dieses ellenlange Menü.

All-in-One WP Security & Firewall Menu
Menu des Plugins “All-in-One WP Security & Firewall”

Das ist mir zu heavy. Wer das gleiche sucht wie ich und darüber hinaus noch Einstellungsmöglichkeiten bis zur Ermüdungsgrenze haben will, der ist hier gut aufgehoben.

Manche bezeichnen im Internet dieses Plugin als ein Plugin für Anfänger.

Wem das alles immer noch zu wenig ist, der sollte es mit dem Plugins „ithemes Security“ oder mit dem Plugin Wordfence Security probieren.

Das Plugin Sucuri Security soll geeignet sein für große und professionelle Kunden, also nicht für kleine Blogger die nur 50.000 Besucher im Monat haben (siehe Details bei https://fastwp.de/3792/)

Zu dem Plugin “Cerber Security & Limit Login Attempts” für Hackerschutz

Dieses Plugin hat über 40.000 aktive Installationen und bietet bei den “Haupteinstellungen” das an, was ich suche:

Anmeldeversuche limitieren:

Cerber Security & Limit Login Attempts Anmeldeversuche limitieren
Anmeldeversuche limitieren bei dem Pugin “Cerber Security & Limit Login Attempts””

Auch bei diesem Plugin können Sie eine Whitelist pflegen. Aber nicht über den Benutzernamen.

Weiße Liste bei dem Plugin "Cerber Security & Limit Login Attempts” Hackerschutz
Weiße Liste bei dem Plugin “Cerber Security & Limit Login Attempts” Hackerschutz

Wie wollen Sie denn diese Einstellung nutzen, wenn Sie bei Ihrem Hoster keine feste IP-Adresse haben?

Benutzerdefinierter Anmeldelink:

Cerber Security & Limit Login Attempts benutzerdefinierter Anmeldelink
Benutzerdefinierter Anmeldelink bei dem Plugin “Cerber Security & Limit Login Attempts”

Bei https://de.wordpress.org/plugins/ist das noch nicht mal unmittelbar erkennbar, daß dieses Plugin Einstellungen für den Anmeldelink anbietet.

Darüber hinaus hat dieses Plugin noch weitere leicht verständliche Einstellungsoptionen. Aber natürlich nicht so viele wie „All-in-One WP Security & Firewall” oder “ithemes Security“ oder „Wordfence Security“ oder „Sucuri Security“.

Soweit die Theorie. Nun zu meinen Testergebnissen.

Meine Testergebnisse zum Hackerschutz

Getestet habe ich mit dem Standard-Theme „Twenty Seventeen“.

Bei den Plugins „All-in-One WP Security & Firewall” und “Cerber Security & Limit Login Attempts” konnte ich erfolgreich den Anmeldelink ändern.  Es fand trotz des (nachträglich) aktivierten Plugins „404 to 301“ kein Redirect auf /wp-login statt. Und das obwohl man in diesem einfachen Redirect-Plugin keine Ausnahmen für Redirects definieren kann (siehe Plugins für Redirect).

Allerdings fand bei beiden Plugins bei zu vielen Anmeldefehlversuchen keine Sperrung des Logins statt.  Ich hatte mir aber nicht die Mühe gemacht zu überprüfen, woran es lag. Bei der hohen Zahl der aktiven Installationen der beiden Plugins kann dieses Testergebnis nicht verallgemeinert werden.

Mit der Kombination der beiden Plugins WPS Hide Login und Limit Login Attempts Reloaded hatte ich Erfolg. Sowohl die Verschiebung des Anmeldelinks auch die Sperrung des Logins funktionierten prima.

Schlußwort zum Thema Hackerschutz

Wofür Sie sich entscheiden, ist Ihre Sache. Der Grad der Risikoaversion ist schließlich eine sehr individuelle Eigenschaft.  Eine große Risikoaversion kann in diesem Zusammenhang aber auch bedeuten, daß bei dem Versuch größtmöglichen Schutz zu erlangen, Sie sich bei den für Sie unbekannten Einstellungen vertun. Dann können Sie also schon ein Problem haben, bevor Sie mit einem Hacker ein Problem haben. Eine Sicherheitskopie (Backup) vor dem Einbau des Sicherheitsplugins kann da helfen.

Falls es stimmt, daß kleine Autos weniger oft „gehackt“ werden, dann kann man schließlich nur hoffen, daß auch bei kleinen Websites der Anreiz geringer ist, diese zu hacken.

Das war es dann zum Thema Plugins für Hackerschutz.

Verwandte Fachartikel

WordPress Plugin: IP2Location Country Blocker

So könnte ein Hackerangriff/eine Hacker-Attacke aussehen

Schädliche Bots / User Agents , gute Bots, unnütze Bots

Die Liste der Fachartikel zu WordPress von ItDoor

Zum WordPress Plugin Verzeichnis von ItDoor

Andere Themenblöcke bei ItDoor

Software für Aktien und andere Wertpapiere

zu den Fachartikeln zum Thema Word von ItDoor für eilige Leser

Fachartikel zum Thema Jutoh von ItDoor

IT Wörterbücher von ItDoor

zur Startseite von ItDoor