Die Sicherheit von WordPress ist wie eine tickende Zeitbombe. Man kann nie wissen, wann sie hochgeht. Tausende von WordPress-Seiten werden jeden Tag gehackt. Das ist ein ernstes Problem, das im Keim erstickt werden sollte, bevor es sich zu einer Bedrohung entwickelt!

Es gibt zwei wesentliche Möglichkeiten, deine WordPress-Seite zu schützen: Entscheide dich erstens für einen sicheren Hosting-Service, der sich nachweislich an den besten Praktiken der Branche orientiert. Zweitens: Verbessere die Sicherheit deiner Webseite mit einem dedizierten Sicherheitsdienst eines Drittanbieters.

Bei der WordPress-Sicherheit sind Wordfence und Sucuri zwei der beliebtesten Optionen. Beide sind mit einer Reihe robuster Sicherheitsfunktionen ausgestattet, die deine Webseite sicher machen. In vielerlei Hinsicht sind sie gleich, aber dennoch unterschiedlich.

Wordfence oder Sucuri? Wenn du dich fragst, welche dieser beiden Optionen für deine Webseite am besten geeignet ist, wird dir dieser Artikel bei der Entscheidung helfen. Ich habe beide ausgiebig verwendet, um sie 1:1 in Bezug auf verschiedene Funktionen, Leistung, Preise und den Gesamtwert, den sie bieten, zu vergleichen.

Du kannst diese Informationen nutzen, um die für dich am besten geeignete Option zu wählen.

Klingt gut? Fangen wir an!

Einführung in die Sicherheit von WordPress

WordPress ist das beliebteste Content Management System (CMS) der Welt. Es ist so populär, dass es für über 35% der Webseiten eingesetzt wird. Und mit großer Popularität kommen große Schwierigkeiten!

WordPress wird ständig von Hackern bedroht. Laut einem Bericht von GoDaddy Security waren 90 % aller gehackten CMS-Plattformen im Jahr 2018 WordPress-Seiten. Allein Google stellt täglich 10.000 Webseiten auf eine schwarze Liste für das Hosting und die Verbreitung von Malware, und diese auf die schwarze Liste gesetzten Webseiten können bis zu 95% ihres organischen Datenverkehrs verlieren.

WordPress Sicherheitsstatistik
WordPress Sicherheitsstatistik

41% der gehackten WordPress-Seiten sind auf Schwachstellen in der Hosting-Plattform zurückzuführen. Daher lässt sich eine Menge Ärger mit einer sicheren WordPress Hosting-Plattform von Anfang an vermeiden.

Noch erstaunlicher ist, dass 60% der kleinen Unternehmen innerhalb von 6 Monaten nach einem Cyber-Angriff geschlossen werden. Da die überwiegende Mehrheit der Hacking-Versuche bei kleinen und mittleren Unternehmen stattfindet, ist die Sicherung der Webseite um so wichtiger.

Wie Hacker WordPress-Seiten angreifen

Nur 36,7% der gehackten WordPress-Seiten wurden durch veraltete, anfällige Versionen von WordPress verursacht. Die Hauptangriffsvektoren für WordPress-Seiten sind die erweiterbaren Komponenten, nämlich Plugins und Themes.

Wie WordPress kompromittiert wird
Wie WordPress kompromittiert wird (Bildquelle: Wordfence)

Plugins sind vor allem das größte Risiko! Wie in Kinsta’s WordPress-Sicherheitsartikel festgestellt wurde, machen Plugins mit bekannten und unbekannten Schwachstellen den Großteil der WordPress-Hacks aus. Eine Wordfence-Studie ergab, dass sie 55,9% aller bekannten Schwachstellen ausmachen.

Brute-Force-Angriffe zum Erraten schwacher Passwörter sind der nächste große Angriffsvektor, der 16,1% aller Hacking-Versuche ausmacht. Dieselbe Studie fand eine weitere schockierende Statistik: 61,5% der gehackten Webseiten-Betreiber wussten nicht einmal, dass ihre Seite angegriffen wurde.

Wie du deine WordPress-Seite sichern kannst

Es gibt drei wichtige Schritte, um deine WordPress-Seite vor Cyber-Angriffen zu schützen:

Die 3 Säulen der Web-Sicherheit
Die 3 Säulen der Web-Sicherheit

Prävention

Ob es sich um eine biologische Krankheit oder um digitale Schadsoftware handelt, Vorbeugen ist immer besser als Heilen!

Während WordPress kostenlos ist, sind die Kosten für die Erstellung einer WordPress-Seite und deren Sicherung und Pflege nicht zu veranschlagen. Aber leider steht die Sicherheit beim Aufbau einer Webseite oft ganz unten auf der Prioritätenliste.

Das WordPress-Kernteam leistet eine verdammt gute Arbeit, um WordPress sicher zu machen. Aber wie bereits erwähnt, resultieren die meisten WordPress-Hacks nicht aus der Kern-Software.

Die Vorbeugung konzentriert sich darauf, bösartigen Code von deiner WordPress-Seite fernzuhalten. Dies geschieht in der Regel durch Firewalls, Antivirenprogramme, E-Mail-Filterlösungen, Schutz vor DDoS-Angriffen und bösartigen Bots usw.

Erkennung

Die Erkennung konzentriert sich darauf, Sicherheitsvorfälle zu erkennen, sobald sie passieren, so dass man sofort handeln und seine Webseite sichern kann, bevor ein erheblicher Schaden entsteht.

Dazu gehören Tools wie Intrusion Detection Systeme, Netzwerk-Scanning, Integritätsüberwachung usw.

Viele Betreiber von gehackten WordPress-Seiten wissen nicht einmal, dass die Sicherheit ihrer Webseite verletzt wurde. Daher ist es von entscheidender Bedeutung, dass robuste Erkennungssysteme vorhanden sind, insbesondere auf der Hosting-Ebene. Sicherheits-Plugins wie Sucuri oder Wordfence sind großartige Ergänzungen.

Reaktion und Wiederherstellung

Hoffe auf das Beste, aber bereite dich immer auf das Schlimmste vor! Reaktion und Wiederherstellung konzentriert sich auf die schnelle und effiziente Bewältigung von Sicherheitsvorfällen.

Ein guter Wiederherstellungsprozess sollte nicht nur die Bereinigung nach einem Angriff umfassen, sondern auch Sicherungs- und forensische Funktionen. Dadurch wird sichergestellt, dass sich ähnliche Vorfälle nicht wiederholen.

Dies ist ein wichtiger Grund, warum du das Engagement deines Hosting-Unternehmens für die Sicherheit gründlich untersuchen musst, bevor du dich für jemanden entscheidest. Wenn beispielsweise deine WordPress-Seite gehackt wird, während und du bei Kinsta hostest, werden die Sicherheitsspezialisten von Kinsta mit dir zusammenarbeiten, um die Malware zu identifizieren und zu entfernen.

Sicherheitsdienste wie Sucuri oder Wordfence bieten als Teil ihrer professionellen Pakete Reaktionsdienste bei Vorfällen an.

Sucuri vs. Wordfence

Sowohl Sucuri als auch Wordfence helfen bei der Sicherheit deiner WordPress-Seite, aber ihr Ansatz ist unterschiedlich. Hier ein kurzer Showdown zwischen ihnen:

Sucuri Wordfence
Firewall Pricing (WAF) Beginnt bei $9.99/Monat Beginnt bei $99/Jahr
Malware Entfernung Preise Beginnt bei $199.99/Jahr — unlimitierte Cleanups $179 pro Cleanup
Kostenloses Plugin verfügbar Ja Ja
Web Application Firewall (WAF) Ja, aber nur für Premium Kunden Ja, es ist kostenlos
Webseiten Integritäts Scan Ja Ja
SSL Zertifikat Support (auf WAF) Ja Nein
DDoS Angriff Schutz Ja Nein
Verhinderung von Zero-Day-Exploits Ja Nein
CDN für eine verbesserte Performance Ja Nein
Cloud-basierte Plattform Ja, Remote Scanning Nein
Selbst-gehostete Plattform Nein Ja, Lokales Scanning
System Sicherheitsverbesserungen Nein Ja

Die obige Tabelle deckt die wichtigsten Unterschiede zwischen Sucuri und Wordfence ab. Nun, lasse uns tiefer gehen!

Sucuri Review

Sucuri Security ist ein kostenloses Sicherheits-Plugin für WordPress
Sucuri Security ist ein kostenloses Sicherheits-Plugin für WordPress

Einführung in Sucuri

Sucuri ist ein Cloud-basiertes Webseiten-Sicherheitstool zur Sicherung von Webseiten. Es filtert den gesamten Traffic auf deiner Webseite, bevor er überhaupt deinen Hosting-Server erreicht.

Zu den Kernfunktionen gehören die Erkennung von Malware, die Integritätsüberwachung und die Sicherheitshärtung. Sucuri scannt alles per Fernzugriff, daher führt es keine Tiefenscans auf Serverebene durch.

Sucuri verspricht, Webseiten zu schützen, die Leistung zu verbessern, auf Anzeichen von Hackerangriffen zu achten und bietet unbegrenzten Support für Sicherheitsvorfälle (nur für Premium-Benutzer).

Sucuri Security hat ein 4,4-Sterne-Rating mit über 600.000 aktiven Installationen
Sucuri Security hat ein 4,4-Sterne-Rating mit über 600.000 aktiven Installationen

Du solltest beachten, dass Sucuri kein Allheilmittel für all deine Sicherheitsanforderungen an deine Webseite ist. Es ist als Ergänzung zu deiner bestehenden Web-Sicherheit gedacht. Sucuri bietet dir jedoch viele Tools, um Risiken zu reduzieren, und gibt dir mehr Sicherheit und ein größeres Sicherheitsbewusstsein.

Wie Sucuri funktioniert

Wenn man über die Funktionsweise von Sucuri spricht, sollte man am besten zwischen den drei Ebenen unterscheiden:

  1. Sucuri Security ist ein kostenloses Plugin, das standardmäßig mit den Sicherheitshärtefunktionen von WordPress ausgestattet ist. Die kostenlose Version des Plugins enthält keine Firewall.
  2. Sucuri Firewall (WAF) ist ein kostenpflichtiger Dienst, den man mit dem kostenlosen Sucuri Security-Plugin integrieren kann. Du kannst die Firewall auch ohne das Plugin verwenden. Es enthält Funktionen zum Schutz von Webseiten wie die Webseiten Application Firewall (WAF), CDN zur Leistungsoptimierung, Lastausgleich für hohe Verfügbarkeit, Intrusion Detection System (IDS), DDoS-Milderung und eine Reihe anderer Tools.
  3. Sucuri Platform ist eine Suite von erstklassigen, Cloud-basierten Sicherheitsdiensten. Sie umfasst alles, was in der Sucuri-Firewall enthalten ist, sowie weitere wichtige Funktionen wie Überwachung, Erkennung und Reaktion auf Vorfälle. Wenn du dich für die Sucuri-Plattform anmeldest, kannst du das Sucuri-Team bitten, „alle Malware- und Blacklist-Warnungen“ für deine Webseite zu entfernen.
Wie die Sucuri Web Application Firewall (WAF) funktioniert
Wie die Sucuri Web Application Firewall (WAF) funktioniert

Zum besseren Verständnis gibt es ein kurzes Video von Sucuri bei der Arbeit:

Sucuri verfolgt jede Änderung auf deiner Webseite und speichert die Protokolle auf seinen eigenen Cloud-Servern. Du kannst diese Protokolle überprüfen, um herauszufinden, was wo genau schief gelaufen ist. Dies hilft bei der schnellen und effizienten Behebung von Sicherheitsproblemen.

Verfügbare Sicherheitseinstellungen und -funktionen

Du kannst Sucuris WordPress-Angebote in zwei Hauptprodukte unterteilen: ein kostenloses Plugin namens Sucuri Security und eine erstklassige, Cloud-basierte Sucuri-Firewall (WAF).

Schaue dir zuerst das kostenlose Plugin an.

Das Dashboard von Sucuri Security verfügt über eine unkomplizierte Schnittstelle, die dir einen Überblick über die Sicherheitskontrollen gibt.

Seine Hauptaufgabe besteht darin, dich über die Integrität deiner WordPress-Kerndateien zu informieren. Es zeigt dir eine Warnung an, wenn es irgendwelche kompromittierten Kerndateien findet. Du kannst dann eine geeignete Maßnahme ergreifen: entweder die infizierten Dateien durch die Originaldateien ersetzen oder sie als falsch positiv markieren.

Unter der Registerkarte Audit-Protokolle findest du jede Änderung, die auf deiner Webseite vorgenommen wurde. Ebenso findest du unter den Registern iFrames, Links und Skripte jede Instanz von Skripten und Links auf deiner Webseite.

Das Armaturenbrett von Sucuri Security. Beachte die Warnung oben rechts
Das Armaturenbrett von Sucuri Security. Beachte die Warnung oben rechts

In meinem Fall war die Warnung ein falsches Positiv. Deshalb habe ich sie als manuell behoben markiert. Sucuri wird sich bei der nächsten Überprüfung an diese Korrektur erinnern.

Du kannst Sucuri beibringen, falsche positive Warnungen zu ignorieren
Du kannst Sucuri beibringen, falsche positive Warnungen zu ignorieren

Der Einstellungsbereich hat viele Registerkarten, mit denen man einstellen kann, wie Sucuri deine Webseite schützt. Unter der Registerkarte Allgemeine Einstellungen findest du deinen API-Schlüssel, Datenspeicherverzeichnisse und andere Einstellungen wie Log-Exporter, Reverse Proxy, IP-Adressen-Erkenner und Zeitzonen-Überschreibung.

Von hier aus kannst du auch die allgemeinen Einstellungen von Sucuri importieren oder exportieren.

Die Registerkarte Allgemeine Einstellungen in Sucuri Security
Die Registerkarte Allgemeine Einstellungen in Sucuri Security

Als Nächstes gehen wir zur Registerkarte Scanner über. Hier sieht man Sucuri’s Geplante Aufgaben, die Einstellungen des WordPress Integrity Diff Utility (zum Vergleich von Dateien auf deinem Server mit den Originaldateien) und eine Liste von False Positives.

Wenn du bestimmte Dateien und Ordner auf deinem Server von Sucuri’s Scannen ignorieren möchtest, kannst du das hier einstellen. Dieses Tool ist hilfreich, um nicht codebezogene Dateien und Ordner zu ignorieren, die zu schwer zu scannen sein können, wie z.B. Ordner mit zahlreichen Mediendateien, Backups usw.

Stelle deine Scanner-Einstellungen von hier aus ein
Stelle deine Scanner-Einstellungen von hier aus ein

Auf der Registerkarte Hardening kann man eine Reihe von Standard-WordPress- und PHP-Sicherheitshärtungsmethoden anwenden. Du kannst die Einstellungen für die Whitelist-Blockierung von PHP-Dateien verwenden, um bestimmte PHP-Dateien von diesen starren Einschränkungen auszunehmen.

Anwendung von Standardregeln zur Sicherheitshärtung
Anwendung von Standardregeln zur Sicherheitshärtung

Im Falle eines Angriffs oder eines Durchbruchs ist die Registerkarte „Post-Hack“ sehr nützlich. Hier lassen sich geheime Keys aktualisieren, das Benutzerpasswort zurücksetzen, installierte Plugins zurücksetzen und alle verfügbaren Plugin- und Theme-Updates anwenden.

Schnelle Tools zur Erhöhung der Sicherheit, falls man gehackt wurde
Schnelle Tools zur Erhöhung der Sicherheit, falls man gehackt wurde

Auf der Registerkarte „Alerts“ kann man den Alert-Empfänger, die vertrauenswürdigen IP-Adressen, den Alert-Betreff und die Alerts pro Stunde einstellen. Man kann einstellen, welche Art von Sicherheitswarnungen den Alarmmechanismus auslösen und welche Typen er ignorieren soll (normalerweise die von Drittanbieter-Plugins). Dies ist eine großartige Erkennungsfunktion.

Mit Sucuri Security kannst du Warnungen individuell anpassen
Mit Sucuri Security kannst du Warnungen individuell anpassen

Die Registerkarte API-Service-Kommunikation ist einfach und unkompliziert. Sie ist hauptsächlich für Entwickler gedacht, die auf den Remote-API-Service von Sucuri zugreifen möchten.

Kommuniziere von hier aus mit dem Remote-API-Service von Sucuri
Kommuniziere von hier aus mit dem Remote-API-Service von Sucuri

Die Registerkarte Webseiten-Info listet schließlich fast alles auf, was du über deine Webseite und den Webserver, auf dem sie gehostet wird, wissen musst. Hier kann man unter dem Abschnitt Integrität der Zugriffsdatei die Integrität deiner .htaccess-Datei überprüfen.

Dies sollte kein Problem sein, wenn deine Website von einer Managed Hosting-Plattform wie Kinsta betrieben wird, da Kinsta kein cPanel verwendet und sein eigenes benutzerdefiniertes Benutzer-Panel namens MyKinsta verwendet.

Die Registerkarte Webseiten-Info listet die Spezifikationen deiner Website und deines Servers auf.
Die Registerkarte Webseiten-Info listet die Spezifikationen deiner Website und deines Servers auf

Die Cloud-basierte Firewall von Sucuri ist ein Premium-Service. Sie eignet sich hervorragend zum Herausfiltern von Junk-Traffic, DDoS-Angriffen und bösen Bots.

Sie kann auch ohne das Plugin ihre Wirkung entfalten (dies ist der empfohlene Weg). Du musst nur das DNS deines Hosts auf den Nameserver ausrichten.

Sucuri WAF schützt deine Website vor böswilligen Angriffen
Sucuri WAF schützt deine Website vor böswilligen Angriffen

Lese Kinsta’s ausführliche Anleitung zur Sucuri-Firewall, um mehr über all die Funktionen zu erfahren.

Die meisten Web-Hosts, einschließlich Kinsta, verfügen über zusätzliche Sicherheitsfunktionen, um Spam-IP-Adressen und böse Bots zu blockieren und/oder herauszufiltern. Kinsta verfügt sogar über Sicherheitseinstellungen, die eine IP-Begrenzung ermöglichen.

Ein professioneller WAF-Dienst wie Sucuri, dessen Geschäftsmodell sich in erster Linie auf das Ausmerzen von schlechtem Traffic konzentriert, bietet jedoch eine genauere Kontrolle.

Es ist nicht ungewöhnlich, dass sich Benutzer als Backup für die Cloud-basierte Firewall von Sucuri anmelden und nur im Falle eines Angriffs auf diese wechseln. Mit Sucuri ist das ganz einfach.

Sucuri CDN POPs werden auf der ganzen Welt platziert
Sucuri CDN POPs werden auf der ganzen Welt platziert (Bildquelle: Sucuri)

Alles in allem ist Sucuri mehr als nur ein Sicherheits-Plugin oder eine Firewall. Es ist eine komplette Web-Sicherheitslösung, die deine Webseite vor praktisch jedem böswilligen Angriff schützt.

Benutzerfreundlichkeit

Sucuri ist einfach zu bedienen. Die Benutzerschnittstelle ist auf den Punkt gebracht. Wenn Sucuri empfiehlt, irgendwelche Einstellungen zur Erhöhung der Sicherheit anzuwenden, genügt ein einziger Klick, um sie zu aktivieren.

Sobald man das Plugin installiert hat, muss der kostenlose API-Schlüssel generiert werden, was man direkt von seinem WordPress-Dashboard aus tun kann.

Sucuri automatisiert die meisten seiner Sicherheitsfunktionen, so dass man sie einmal einstellen und für immer vergessen kann. Du brauchst dich auch nicht um die Aktualisierung oder Wartung des Plugins zu kümmern.

Sucuri alarmiert dich, wenn es einen Verstoß entdeckt. Aber falls man die Kontrolle manuell übernehmen möchte, bietet es viele Optionen. Und da Sucuris WAF auf der Cloud basiert, ist von Seiten des Anwenders keine technische Wartung erforderlich.

Alles in allem fand ich Sucuri ein Kinderspiel beim Einrichten und Benutzen.

Wie Sucuri bei der Web-Sicherheit abschneidet

Prävention

Das kostenlose Sucuri Security-Plugin ist gut genug, um auf deiner WordPress-Webseite ein Register zu führen und einige Standard-Sicherheitsmaßnahmen anzuwenden. Aber es ist nicht dafür gebaut, größere Angriffe auf deiner Webseite zu verhindern.

Wenn du nach einer kostenlosen WordPress-Sicherheitslösung suchst, würde ich Sucuri Security nicht empfehlen. Verlasse dich nicht darauf, um deine Website zu sichern.

Auf der anderen Seite leistet Sucuri Firewall hervorragende Arbeit gegen DDoS-Angriffe, missbräuchliche Bots und die Kompromittierung von Kundendaten. Die Sucuri Security Platform geht einen Schritt weiter und fügt mehr vorbeugende Maßnahmen hinzu.

Um dir ein Beispiel aus einer der Fallstudien von Kinsta zu geben: Durch das Hinzufügen von Sucuri Firewall zu einer kleinen E-Commerce-Webseite, die mit DDoS-Angriffen bombardiert wurde, wurden alle Sicherheitsprobleme innerhalb einer Stunde nach der Aktivierung behoben.

Erkennung

Sucuris kostenloses Plugin leistet hervorragende Arbeit beim Aufspüren selbst kleinster Änderungen auf deiner Webseite. Wenn es irgendwelche Anomalien entdeckt, wird es dich sofort alarmieren, damit du geeignete Maßnahmen ergreifen kannst.

Selbst wenn ein Hacker dich von deiner Webseite ausgesperrt hat, kannst du die auf den Cloud-Servern von Sucuri gespeicherten Protokolle überprüfen, um herauszufinden, was passiert ist und wie du die Kontrolle zurückgewinnen kannst.

Es ist jedoch die Premium Securi Security Platform, die durch Überwachung und Erkennung wirklich glänzt. Sie verfügt über verschiedene zusätzliche Funktionen wie regelmäßige serverseitige Sicherheitsscans, Blacklist-Überwachung, SSL-Überwachung, Sofortbenachrichtigungen und Log Correlation Integration (SIEM).

Reaktion und Wiederherstellung

Eine Web-Sicherheitsplattform ist unvollständig, wenn sie Ihnen keine Möglichkeit bietet, eine gehackte Webseite zu bereinigen.

Zum Glück gab es für mich noch nie einen Sicherheitsvorfall auf meinen Webseiten, als Sucuri sie geschützt hat. Aber es gibt viele, die ein ernsthaftes Problem hatten, und sie haben ihre Erfahrungen auf Crowd-Review-Seiten wie G2.com mitgeteilt.

Sucuri genießt eine 4-Sterne-Bewertung auf G2.com
Sucuri genießt eine 4-Sterne-Bewertung auf G2.com

Hier ist eine Betreiberin einer Webseite, die ihre positive Erfahrung mit Sucuri teilt.

„Als ich plötzlich merkte, dass meine Webseite, die hauptsächlich von Lehrern und Kindern genutzt wird, gehackt worden war, musste das Problem so schnell wie möglich gelöst werden. Sucuri hatte meine Webseite innerhalb einer halben Stunde, nachdem das Problem gemeldet wurde, wieder in Ordnung gebracht. Ich werde meine Webseite nie wieder ungeschützt lassen und war zufrieden damit, dass Sucuri diese Sicherheitsvorkehrungen getroffen hat“.

Janice P, Marine Educator

Und hier ist eine Webdesignerin, die ihre positive Erfahrung mit Sucuri teilt, indem sie hilft, die WordPress-Webseiten ihrer Kunden aufzuräumen.

„Kunden von mir hatten Probleme mit ihren WordPress-Webseiten. Seit der Anmeldung meiner Kunden gab es keine Probleme mehr mit den Webseiten, die gehackt wurden.“

Melissa C, Business Owner

Man sollte beachten, dass es eine ganze Reihe von Bewertungen gibt, in denen sich Benutzer über die Zeit beschweren, die Sucuri für die Beantwortung von Tickets benötigt. Das Verständnis der Preisstrategie von Sucuri kann helfen, dieses Problem zu erklären.

Sucuri-Preisgestaltung

Kommen wir nun zum wichtigsten Punkt, der Preisgestaltung.

Preise und Funktionsumfang der Sucuri-Firewall
Preise und Funktionsumfang der Sucuri-Firewall

Sucuri Firewall (WAF) beginnt bei $9,99/Monat, während Sucuri Platform bei $199,99/Jahr beginnt. Wenn man sich für die Sucuri-Plattform anmeldet, erhält man auch unbegrenzten Zugang zur Entfernung von Malware und zu Hacker-Bereinigungen.

Alle Premium-Pläne von Sucuri sind mit einer 30-tägigen Geld-zurück-Garantie ausgestattet.

Sucuri schließt keine Sicherheitsmerkmale von den niedrigeren Plänen aus, mit Ausnahme der Unterstützung von SSL-Zertifikaten auf Ihrem Ursprungsserver (die für den zweitgünstigsten Plan reserviert ist).

Stattdessen verwendet Sucuri Scans und Antwortpriorität als Anreiz für dich, dich für die höheren Tarife anzumelden.

Preise und Funktionen der Sucuri-Plattform
Preise und Funktionen der Sucuri-Plattform

Mit dieser Preisstrategie erhält jeder Sucuri-Kunde die gleichen Präventions- und Erkennungsfunktionen, aber für Scans und die Entfernung von Malware erhalten Kunden, die sich für höhere Pläne angemeldet haben, die höchste Priorität.

Jeder bekommt seine Tickets rechtzeitig bearbeitet, aber wenn man auf der untersten Ebene ist, wird in den meisten Fällen nicht sofort reagiert. Wenn man eine schnellere Lösung benötigt, hat man die Möglichkeit, sich für ihre höheren Pläne zu entscheiden. Zum Vergleich: Die entsprechende Sicherheitslösung von Cloudflare kostet 200 Dollar/Monat.

Ich kann verstehen, warum dieser Ansatz einige Benutzer frustrieren kann, besonders wenn sie es mit einer gehackten Webseite zu tun haben und nach einer schnellen Lösung suchen. Aber wenn man den Gesamtwert betrachtet, den man dadurch erhält, funktioniert es für die Mehrheit der Sucuri-Benutzer auf lange Sicht besser.

Nachdem wir nun über Sucuri berichtet haben, wollen wir zu Wordfence gehen und sehen, wie es im Vergleich dazu steht.

Review von Wordfence

Wordfence Security ist ein kostenloses Sicherheits-Plugin für WordPress
Wordfence Security ist ein kostenloses Sicherheits-Plugin für WordPress

Einführung in Wordfence

Wordfence ist ein kostenloses WordPress-Sicherheits-Plugin, das eine Endpunkt-Firewall (WAF) und einen Malware-Scanner enthält.

Es bietet weitere Sicherheitsmaßnahmen wie z.B. Anmeldesicherheit (2FA, Anmeldeseite CAPTCHA, Begrenzung der Anmeldeversuche), Live-Traffic und erweiterte regelbasierte Blockierung.

Wordfence hat ein 4,8-Sterne-Rating mit 3+ Millionen aktiven Installationen
Wordfence hat ein 4,8-Sterne-Rating mit 3+ Millionen aktiven Installationen

Im Gegensatz zu Sucuri ist Wordfence eine lokalisierte Firewall. Sie bleibt auf dem Webserver und ist kein Cloud-Service. Daher kann sie serverseitige Scans auf einer tieferen Ebene durchführen und eine vollständige End-to-End-Verschlüsselung bieten.

Dieser Vorteil geht jedoch auf Kosten der Leistung.

Warum? Weil die Ressourcen deines Servers den Traffic analysieren, auf böswillige Absichten prüfen und, falls erforderlich, den Traffic ausschließen. Wenn du deine Webseite auf einem Server mit weniger Ressourcen hosten lässt (z.B. Shared Hosting und billige Managed Hosting-Angebote), kann deine Seite schnell zu einem Crawling kommen.

Im Falle eines DDoS-Angriffs kann die schiere Flut von bösartigem DDoS-Traffic die Ressourcen des Servers überfordern. Kein lokales Sicherheits-Plugin kann dem standhalten. Dies ist die größte Schwäche von Wordfence im Vergleich zu Sucuri.

Wenn man dagegen Sucuri’s WAF aktiviert hat, wird jeglicher böswilliger Traffic zu deiner Webseite in der Cloud herausgefiltert, bevor er deinen Server erreicht.

Aber die lokalisierte WAF von Wordfence ist eine kostenlose integrierte Funktion, während die Cloud-WAF von Sucuri ein Premium-Angebot ist.

Wie Wordfence funktioniert

Die Wordfence-Firewall wird durch den Threat Defense Feed unterstützt, der eine schicke Bezeichnung für die Sammlung von Firewall-Regeln, bösartigen IP-Adressen und Malware-Signaturen ist.

Der Threat Defense Feed ist in das Wordfence-Plugin integriert, das auf deiner WordPress-Seite installiert ist. Es wird von deinem Server betrieben.

Wie die Wordfence-Firewall (WAF) funktioniert
Wie die Wordfence-Firewall (WAF) funktioniert

Mit Wordfence Premium erhält man Echtzeit-Updates für den Threat Defense Feed. Es umfasst Funktionen wie:

  • Aktualisierungen der IP-Blacklist, Firewall-Regel und Malware-Signatur in Echtzeit.
  • Premium-Support.
  • Webseiten-/IP-Reputationsprüfungen.
  • Blockierung auf Länderebene

Kostenlose Benutzer erhalten die unternehmenskritischen Updates erst nach 30 Tagen Produktivsetzung. Ausserdem erhalten sie keine IP-Blacklisting in Echtzeit. Dies scheint zwar eine gute Option für persönliche Webseiten zu sein, kann aber ein Hindernis sein, wenn man ein Unternehmen oder eine E-Commerce-Webseite hostet.

Es gibt einen Vorteil, den eine Endpunkt-Firewall gegenüber Cloud-Firewalls hat. Da sie vollständig von deinem Server gespeist wird, kann sie theoretisch weder Daten ausgeben noch umgangen werden. Im Gegensatz dazu kann eine Cloud-Firewall Daten durchsickern lassen oder umgangen werden, wenn der Angreifer die IP-Adresse deines Servers kennt.

Cloud-Firewall vs. Endpunkt-Firewall
Cloud-Firewall vs. Endpunkt-Firewall (Bildquelle: Wordfence)

Verfügbare Sicherheitseinstellungen und -funktionen

Wordfence befindet sich auf deinem Webserver. Daher findet man alle seine Einstellungen im WordPress-Dashboard.

Das Dashboard ist übersichtlich und informativ. Es bietet dir kritische Informationen und Warnungen auf einen Blick.

Das Wordfence-Dashboard
Das Wordfence-Dashboard

Der Wordfence-Scanner führt eine Integritätsprüfung jeder Datei auf deinem Server durch. Er warnt dich, wenn es sich nicht um eine WordPress-Kerndatei oder ein offizielles Theme/Plugin handelt.

Der Text in den Dateien des Servers wird mit dem Text von bekannter Malware verglichen. Wenn es etwas Ähnliches findet, selbst wenn es sich um eine oder zwei Zeilen handelt, wirst du darauf hingewiesen. Du wirst auch benachrichtigt, wenn eines deiner Themes oder Plugins eine Aktualisierung verfügbar hat.

Gehen wir nun zum Wordfence-Firewall-Panel über. Hier kann man die WAF-Einstellungen von Wordfence verwalten und die Konfiguration optimieren.

Die Firewall-Einstellungen von Wordfence sind weitgehend automatisiert
Die Firewall-Einstellungen von Wordfence sind weitgehend automatisiert

Wenn man WordFence zum ersten Mal installiert, befindet sich die WAF standardmäßig eine Woche lang im Lernmodus. Dadurch kann deine Webseite und die Besucher gründlich studiert werden, so dass es versteht, welche Regeln anzuwenden sind, um nur legitimen Traffic durch die Firewall zu lassen.

Die Echtzeit-IP-Blacklist-Funktion ist nur für Premium-Benutzer verfügbar.

Bei aktiviertem Brute-Force-Schutz schützt Wordfence dich vor Angreifern, indem es deren Konto nach ein paar erfolglosen Passwort-Rateversuchen sperrt. Außerdem zwingt es dich, dein Kennwort zu ändern, wenn es zu schwach ist.

Verwalte die Blockierungsregeln für deine Webseite über die Registerkarte Blockierung
Verwalte die Blockierungsregeln für deine Webseite über die Registerkarte Blockierung

Unter der Registerkarte Blockierung kann der Traffic basierend auf IP-Adressen, IP-Bereich, Browser, Hostname und Referrer blockiert werden. Die Blockierung auf Länderebene ist jedoch eine reine Premium-Funktion. Du kannst alle verschiedenen Blockierungsregeln kombinieren und als Blocktyp speichern.

Aktiviere von hier aus die Tarifbegrenzungs- und erweiterten Sperrregeln
Aktiviere von hier aus die Tarifbegrenzungs- und erweiterten Sperrregeln

Unter dem Abschnitt Firewall-Optionen kannst du IP-Adressen und -Dienste auf eine Whitelist setzen, IP-Adressen so einstellen, dass sie bei WAF-Warnungen ignoriert werden, die Ratebegrenzung konfigurieren und Whitelist-URLs auflisten.

Mit Wordfence kann man außerdem IPs blockieren, die auf bestimmte URLs zugreifen. Dies ist hilfreich, wenn jemand deine Webseite wiederholt auf bekannte Schwachstellen hin untersucht.

Als nächstes gehen wir zur Registerkarte Scanner-Einstellungen über.

Verwalte deine Wordfence-Scan-Einstellungen von hier aus
Verwalte deine Wordfence-Scan-Einstellungen von hier aus

Hier findest du die Scan-Aufgaben von Wordfence. Bei den ersten drei Tests handelt es sich um Prüfungen auf Spam und Blacklist, und sie sind Premium-Benutzern vorbehalten.

Wenn der Scan etwas Ungewöhnliches entdeckt, erhält man eine Warnung.

Im Abschnitt Scan-Optionen und Zeitplanung kannst du die Scan-Empfindlichkeit, die Scan-Frequenz und die Whitelist-Dateien einstellen. Es besteht auch die Möglichkeit, Scans für die Leistung der Einrichtung zu optimieren.

Wordfence verfügt über umfangreiche Scan- und Planungsoptionen
Wordfence verfügt über umfangreiche Scan- und Planungsoptionen

Wordfence wird mit einer Reihe weiterer praktischer Tools geliefert.

Mit dem Live-Traffic-Tool kann man das Geschehen auf der Webseite in Echtzeit verfolgen. Du kannst es nur nach sicherheitsrelevantem Traffic filtern. Dadurch werden dir alle Benutzeranmeldungen, Hacker-Versuche und böswillige Anfragen angezeigt.

Live-Traffic ist Wordfence's coolste und dennoch ressourcenintensivste Funktion
Live-Traffic ist Wordfence’s coolste und dennoch ressourcenintensivste Funktion

Obwohl es eine coole Funktion ist, verbraucht der Live-Traffic einen großen Teil der Ressourcen des Servers. Ich empfehle dir, ihn auszuschalten, wenn er nicht benutzt wird.

Andere Tools umfassen Whois-Lookup, Import/Export-Optionen und Diagnose.

Du kannst auch die Zwei-Faktor-Authentifizierung (2FA) für alle Anmeldungen auf deiner WordPress-Seite mit dem Wordfence-Anmeldesicherheitsmodul aktivieren. Früher war es eine reine Premium-Funktion, aber jetzt ist es kostenlos verfügbar.

Einfaches Aktivieren der Zwei-Faktor-Authentifizierung auf deiner Webseite
Einfaches Aktivieren der Zwei-Faktor-Authentifizierung auf deiner Webseite

Du kannst kostenlose mobile Apps wie Google Authenticator, FreeOTP oder Authy (meine persönliche Empfehlung) verwenden, um den 2FA einzurichten.

Wordfence's Registerkarte Login-Sicherheitseinstellungen
Wordfence’s Registerkarte Login-Sicherheitseinstellungen

Du kannst 2FA für alle Benutzerrollen aktivieren. Es ist eine großartige Möglichkeit, sich und die Benutzer vor Brute-Force-Angriffen wie dem Erraten von Passwörtern und dem Ausfüllen von Berechtigungsnachweisen zu schützen.

Man kann eine IP-Whitelist für 2FA einstellen, so dass bestimmte IPs beim Einloggen keine zusätzlichen Sicherheitsprüfungen durchlaufen müssen. Wenn du hauptsächlich von einem einzigen Standort aus arbeitest, hilft dir diese Funktion dabei, zu vermeiden, dass du 2FA bei jedem Einloggen durchlaufen musst.

Weitere Sicherheitsfunktionen für das Einloggen, um Brute-Force-Angriffe zu verhindern, sind:

  • Begrenze die Anzahl der „Passwort vergessen“-Versuche und Anmeldefehler. Nach einer bestimmten Anzahl von Versuchen wird der Benutzer ausgesperrt.
  • Erzwinge Seitenübergreifend sichere Passwörter.
  • Benutzerregistrierungen mit bestimmten Benutzernamen (z.B. admin) verhindern.
  • Blockiere Personen, die versuchen, sich mit bestimmten Benutzernamen anzumelden, sofort (z.B. admin, yoursite_admin usw.).
  • Deaktiviere die XML-RPC-Authentifizierung, einen häufigen Angriffsvektor, der zum Einschleusen von Malware verwendet wird.

Schließlich enthält Wordfence ein Fenster mit allen Optionen, in dem jede einzelne Wordfence-Einstellung zu finden ist. In Anbetracht der umfangreichen Optionen, die unter Wordfence zur Verfügung stehen, ist dies sehr hilfreich.

Zeige alle Wordfence-Optionen auf der Registerkarte Alle Optionen an.
Zeige alle Wordfence-Optionen auf der Registerkarte Alle Optionen an.

Benutzerfreundlichkeit

Hinsichtlich der Benutzerfreundlichkeit ist Wordfence mit Sucuri Security vergleichbar und super einfach zu bedienen. Nach der Installation und Aktivierung des Plugins geht Wordfence sofort für eine Woche in den Lernmodus.

Basierend auf der Einrichtung und dem Traffic des Servers wendet es automatisch die empfohlenen Firewall- und Scan-Einstellungen an. Meiner Erfahrung nach sind diese Einstellungen mehr als ausreichend, um sich gegen die meisten Angriffe zu schützen.

Die Sicherheitsfunktionen für die Anmeldung sind einfach einzurichten und durchzusetzen.

Wenn deine Webseite unter einem DDoS-Angriff steht, kann Wordfence deinen Server zum Crawlen bringen. In den extremsten Fällen kann der Server so überlastet sein, dass er den Zugriff auf dein WordPress-Administrations-Dashboard sperrt.

Da Wordfence eine lokalisierte Lösung ist, hat man die vollständige Kontrolle über die Einstellungen. Dies kann zwar hilfreich sein, wenn man technisch versiert ist, aber für die meisten WordPress-Benutzer kann dies ein Ärgernis sein.

Insgesamt finde ich Wordfence kinderleicht, solange es wie beabsichtigt funktioniert.

Wie Wordfence bei der Web-Sicherheit abschneidet

Prävention

Im Gegensatz zu Sucuris kostenloser Lösung, die keine Firewall enthält, hat Wordfence einige Merkmale, um die meisten Angriffe zu stoppen. Es wendet nicht nur standardmäßige Sicherheitshärtungsmaßnahmen an, sondern verfügt auch über eine serverseitige WAF.

Die neuesten Bedrohungs-Updates sind jedoch nur für Premium-Benutzer verfügbar. Kostenlose Benutzer erhalten Updates 30 Tage nach der Inbetriebnahme. Und da der Webserver Wordfence (und nicht die Cloud) mit powered, muss man sich selbst gegen einen DDoS-Angriff schützen, selbst wenn man sich für einen Premium-Zugang entscheidet.

Ich kann die geschäftliche Notwendigkeit hinter dieser Entscheidung verstehen, aber aus Sicherheitsgründen halte ich Sucuris „Alles-oder-Nichts-Ansatz“ für besser. Wenigstens muss man nicht glauben, dass man gegen die gängigsten Bedrohungen geschützt ist, wenn man es nicht ist.

Abgesehen davon leistet die Premium-Version von Wordfence gute Arbeit bei der Verhinderung der meisten Sicherheitsangriffe. Ihr Blog und ihr YouTube-Kanal sind großartige Hilfsmittel, um sich über die neuesten WordPress-Sicherheitsbedrohungen auf dem Laufenden zu halten.

Erkennung

Das kostenlose Wordfence-Plugin ist bei der Erkennung der meisten Sicherheitsprobleme recht gut geeignet. Aber man braucht ein Premium-Paket, um die neuesten Sicherheitsbedrohungen zu erkennen.

Wenn ein Hacker dich jedoch erfolgreich von deiner Webseite ausgesperrt hat, gibt es keine Möglichkeit, die Protokolle wie in Sucuri zu überprüfen. Daher ist die Untersuchung des Hacks viel schwieriger.

Du hast keine anderen Möglichkeiten, als dich an deinen Hosting-Provider oder einen externen Sicherheitsdienst zu wenden, zu dem ironischerweise auch Wordfence gehört.

Im Vergleich zu Sucuri verfügt Wordfence über eine grundlegende Funktion zur Anpassung der Warnmeldungen, und es macht seine Arbeit gut. Es alarmiert dich sofort, wenn es eine Sicherheitsanomalie findet.

Reaktion und Wiederherstellung

Wie bereits erwähnt, bleibt dir mit der kostenlosen Version von Wordfence nichts anderes übrig, als auf dich selbst aufzupassen. Aber selbst mit dem Premium-Paket bietet Wordfence keinen Response- und Wiederherstellungsservice.

Hier ist ein Zitat, das direkt aus den Nutzungsbedingungen von Wordfence stammt:

„Unser Support-Angebot für Wordfence Premium ist auf 2 Stunden Support pro Vorfall begrenzt. Wir behalten uns das Recht vor, weiteren Support abzulehnen oder zusätzlichen Support über die 2 Stunden hinaus in Rechnung zu stellen.“

Für eine vollständige Auflösung muss der separate Service WordPress Site Cleaning in Anspruch genommen werden. Der Preis liegt bei 179 Dollar pro Instanz (plus Überziehung auf der Grundlage der Nachfrage).

Wordfence WordPress Site Cleaning Service
Wordfence WordPress Site Cleaning Service

Ihr WordPress Site Cleaning Service beinhaltet:

  • Bereinigung der infizierten Websiten, indem man alle bösartigen Codes und Links entfernt.
  • Untersuchung, wie die Webseite infiziert wurde.
  • Erstellen eines detaillierten Berichts über die Untersuchung und die Entfernung der Infektion.
  • Lege die Seite zur Entfernung auf Anti-Malware- und Anti-Spam-Blacklists an.
  • Stelle eine Checkliste zur Verfügung, um künftige Angriffe zu vermeiden.

Ich habe ihren Site Cleaning Service noch nicht in Anspruch genommen, aber er scheint umfassend genug zu sein. Hier sind ein paar gute Bewertungen, die ich auf Twitter gefunden habe:

Dr. David Miles, Chefredakteur, Global Politics
Dr. David Miles, Chefredakteur, Global Politics
Rachel Bustin, Familien-Lifestyle-Bloggerin
Rachel Bustin, Familien-Lifestyle-Bloggerin

Im Vergleich zu Sucuris Malware-Entfernungs- und Hacker-Bereinigungsservice, der in der Premium-Plattform von Sucuri enthalten ist, scheint der Wordfence-Site-Cleaning Service teurer zu sein.

Und mit Sucuri erhält man während der Laufzeit des Abonnements eine unbegrenzte Anzahl von Malware-Entfernungen, während der Wordfence Malware-Entfernungsservice nur für einen einzigen Auftrag gilt. Wenn deine Webseite nach einigen Monaten erneut mit Malware infiziert wird, muss man für die Entfernung erneut die gleiche Gebühr zahlen.

Preisgestaltung von Wordfence

Du kannst das Sicherheits-Plugin von Wordfence kostenlos herunterladen. Derzeit ist es das am höchsten bewertete und am häufigsten installierte Sicherheits-Plugin in der WordPress-Plugin-Datenbank.

Wordfence Premium beginnt bei $99/Jahr für eine Webseite. Du bekommst einen Rabatt, wenn du zusätzliche Seiten zu deiner Bestellung hinzufügst. Je mehr Webseiten hinzukommen, desto größer ist der Rabatt!

Wordfence Premium-Preise
Wordfence Premium-Preise

Wie Sicherheits-Plugins die Leistung der Webseite beeinflussen

WordPress-Plugins sind nicht nur die größten Sicherheitsrisiken, sondern auch einer der größten Leistungskiller. Insbesondere Sicherheits-Plugins sind dank ihrer ständig eingeschalteten Anforderungen und Scan-Funktionen die Hauptschuldigen.

Allerdings sind Cloud-basierte Sicherheitslösungen wie Sucuri Firewall oder Cloudflare super praktisch, wenn man zusätzlichen Schutz benötigt, insbesondere wenn man es mit Bots und Proxy-Traffic zu tun hat.

Zusammenfassung

Sucuri vs. Wordfence. Was ist die bessere Wahl?

Einerseits ist Sucuri die bessere Lösung der beiden für Web-Sicherheit und Leistung, insbesondere wenn man eine Geschäfts- oder E-Commerce-Webseite betreibt.

Aber wenn du nach einer kostenlosen Web-Firewall suchst, ist Wordfence eine robustere Lösung. Wenn das deine Wahl ist, würde ich vorschlagen, sie mit einem zuverlässigen kostenlosen CDN wie Cloudflare zu kombinieren.

Am Ende des Tages hängt alles von der Art des Hostings ab. Ein großer Hosting-Provider wird die meisten Sicherheitsmaßnahmen für dich erledigen. Sie verstehen, dass die durch Plugins von Drittanbietern verursachten Leistungseinbrüche auf ihren Servern und bei ihren Diensten nicht der Mühe wert sind.

Idealerweise sollte dein Host den Code so sperren, dass er nur an begrenzten Orten und Instanzen ausführbar ist. Und dann die Schreib-Uploads nur auf den jeweiligen Ordner des Codes beschränken. Mit ein paar weiteren Sicherheitsmaßnahmen, die auf Serverebene hinzugefügt werden, würde dies WordPress Sicherheitsplugins überflüssig machen.

Letztlich ist die Sicherheit einer Webseite eine Reise und kein Ziel. Ich empfehle dir, den besten Weg zu gehen!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.