So schützen Sie Ihre Website mit dem iThemes-Sicherheits-Plugin

Emporien. Stadt ausweichen. Garten Stadt. Sie haben wahrscheinlich noch nie die Namen dieser drei kleinen Städte in Kansas gehört.

Was haben sie gemeinsam, abgesehen davon, dass sie sich im Sonnenblumenstaat befinden? Sie alle haben etwa 30.000 Einwohner. Stellen Sie sich nun vor, dass jeder Einwohner einer dieser Städte eine WordPress-Site hat … und jeden Tag gehackt wird.

Klingt verrückt? Es ist. Laut Statistiken von iThemes Security werden täglich 30.000 Websites gehackt .

Neben der statistischen Analyse, die es von Zeit zu Zeit bietet, bietet dieses WordPress-Plugin auch nützliche Optionen, um die Sicherheit Ihrer Website zu erhöhen.

Begleiten Sie mich für einen vollständigen Überblick über seine Funktionen. Am Ende dieses Artikels erfahren Sie, wie Sie dieses Plugin installieren und konfigurieren und ob es sich lohnt, es auf Ihrer Website zu aktivieren.

Ihre besten WordPress-Projekte brauchen den besten Host!

WPMarmite empfiehlt Bluehost: großartige Leistung, großartiger Support. Alles, was Sie für einen guten Start brauchen.

Versuchen Sie es mit Bluehost

Was ist iThemes-Sicherheit?

iThemes Security ist ein Plugin zum Schutz und zur Sicherung Ihrer WordPress-Site. Zu diesem Zweck bietet es verschiedene Funktionen, darunter Zwei-Faktor-Authentifizierung, Schutz vor Brute-Force-Angriffen, Passwortdurchsetzung, Sperrung von IP-Adressen usw.

Mit über 1 Million aktiven Installationen ist iThemes Security eines der beliebtesten Sicherheits-Plugins im offiziellen WordPress-Verzeichnis. Es konkurriert mit Plugins wie:

• Wordfence-Sicherheit (über 4 Millionen aktive Installationen)
• All-in-One-Sicherheit (über 1 Million aktive Installationen)
• Sucuri ( über 800.000 aktive Installationen)
• Jetpack ( über 5 Millionen aktive Installationen)
• SecuPress (über 30.000 aktive Installationen)

iThemes Security, ein Plugin, das in eine große Galaxie von Produkten integriert ist

Ursprünglich als Better WP Security vom Entwickler Chris Wiegman gestartet, änderte das Plugin seinen Namen, nachdem es im Dezember 2013 von iThemes übernommen wurde.

Daneben bietet die Marke iThemes zwei weitere Produkte an:

• BackupBuddy zum Sichern, Verschieben und Wiederherstellen einer WordPress-Site
• iThemes Sync , um mehrere WordPress-Sites von einem einzigen Dashboard aus zu verwalten

iThemes wurde 2018 vom Hosting-Unternehmen Liquid Web übernommen und ist Teil einer Galaxie von WordPress-Produkten, die unter der Marke StellarWP vereint sind . Es beinhaltet zum Beispiel:

• Kadenz-Thema
• LearnDash LMS (Lernmanagementsystem)
• Die Plugins Events Calendar, Restrict Content Pro und GiveWP

Das war es für diesen ersten allgemeinen Überblick, der nützlich ist, um das Ökosystem zu verstehen, in das iThemes Security eingebettet ist. Sehen wir uns nun an, wie iThemes Ihnen helfen kann, Ihre WordPress-Website zu sichern.

Was sind die Hauptfunktionen dieses Sicherheits-Plugins?

Um Ihre Installation so gut wie möglich zu schützen, kann die kostenlose Version von iThemes:

• Sperren Sie IP-Adressen von Hackern oder bösartigen Bots , die auf Ihre Website zugreifen möchten
• Speichern Sie die Datenbank Ihrer WordPress-Installation
• Erkennen Sie alle nicht autorisierten Änderungen an Ihren Dateien
• Blockieren Sie Brute-Force-Angriffe . In diesem Fall versuchen Robots, den Login und das Passwort des Administratorkontos Ihrer Website zu entdecken, indem sie verschiedene Kombinationen testen, um die Kontrolle darüber zu übernehmen.
• Hilft Ihnen, die Zwei-Faktor-Authentifizierung einzurichten, um sich bei Ihrer Website anzumelden
• Sie müssen starke Passwörter für alle Konten einrichten
• Machen Sie es obligatorisch, sich mit Ihrer Website über SSL zu verbinden , was erforderlich ist, um HTTPS auf Ihrer Website zu implementieren
• Senden Sie E-Mail-Benachrichtigungen über verdächtige Aktivitäten auf Ihrer Website
• Ändern Sie das Präfix der Datenbank Ihrer Website
• Ändern Sie die URL Ihrer Anmeldeseite

Betrachten Sie iThemes Security jedoch nicht als Wunderlösung, die Sie zu 100 % schützt. Das kann übrigens kein Sicherheits-Plugin garantieren.

Wie auf der Beschreibungsseite im offiziellen Verzeichnis angegeben, „ist iThemes Security darauf ausgelegt, die Sicherheit Ihrer WordPress-Installation gegen viele gängige Angriffsmethoden zu verbessern, aber es kann nicht jeden möglichen Angriff verhindern. „

Sagen wir einfach, dass das Plugin Ihnen das Leben in puncto Sicherheit erleichtern wird, weil Sie daran etwas arbeiten müssen. Um sich selbst davon zu überzeugen, sich die Mühe zu machen, lesen Sie den folgenden Abschnitt.

Wie wichtig ist Sicherheit für eine WordPress-Seite?

Ich sage hier das Offensichtliche, aber sagen wir es trotzdem: Die Sicherheit Ihrer Website ist von größter Bedeutung. Im Falle eines Hackings können die Folgen sehr unglücklich sein und zu Folgendem führen:

• Der Verlust und Diebstahl vieler mehr oder weniger sensibler Daten , insbesondere der Ihrer Kunden
• Zeitverlust , da Sie die gehackte Seite bereinigen und alles aktualisieren müssen
• Ungeplante finanzielle Ausgaben , insbesondere wenn Sie einen Sicherheitsexperten hinzuziehen
• Schädigung Ihres Markenimages und möglicher Vertrauensverlust Ihrer derzeitigen Benutzer und/oder zukünftigen Kunden

Es liegt mir fern, Ihnen Angst zu machen, aber denken Sie daran, dass solche Missgeschicke nicht nur anderen Menschen passieren.

Ein kurzer Blick auf die Präsentationsseite von iThemes Security Pro kann ausreichen, um Sie zu überzeugen (wenn Sie der Typ sind, der überzeugt werden muss). Nach den Daten, die das Unternehmen teilt:

• 50 % der Cyberangriffe zielen auf sehr kleine Unternehmen ab
• 45 % der Websitebesitzer sind nicht ausreichend auf Hackerangriffe vorbereitet , was bedeutet, dass sie keine ausreichenden Schutzmaßnahmen getroffen haben

Wie der Sicherheitsexperte Patchstack im Jahr 2021 berichtet, stammen fast alle erkannten Schwachstellen aus WordPress-Themes und insbesondere Plugins (99,42 % aller Schwachstellen). Die Angriffe können vielfältig und vielfältig sein. Sie können angesprochen werden von:

• Site-to-Site-Scripting (Cross-Site-Scripting, auch XSS genannt)
• Cross-Site-Request-Fälschung (CSRF oder XSRF)
• SQL-Injections (Angriffe auf Ihre Datenbank)
• PHP-Schwachstellen, die Sprache, durch die WordPress läuft
• Schädliche Dateidownloads
• Usw.

Als Webmaster spielen Sie eine Rolle bei der Sicherheit Ihrer Website. Es ist notwendig, dass Sie täglich Best Practices anwenden, wie z. B. das Sichern Ihrer Dateien und Datenbanken und das Durchführen häufiger Updates.

Und vergessen Sie nicht, ein Sicherheits-Plugin wie iThemes Security zu verwenden. Erfahren Sie mehr im folgenden Abschnitt, der Ihnen zeigt, wie Sie es auf Ihrer Verwaltungsoberfläche (dem Backoffice) aktivieren.

So installieren und konfigurieren Sie iThemes in sechs Schritten

Schritt 1: Sichern Sie Ihre Website

Sichern Sie zunächst Ihre Website mit einem dedizierten Plugin , bevor Sie iThemes Security aktivieren.

Wir gehen in diesem Vergleich auf einige Backup-Plugins ein, einschließlich UpdraftPlus. Warum diese Vorsichtsmaßnahme? Erstens, weil es eine gute Übung ist.

Und zweitens, weil iThemes Security es in seinen häufig gestellten Fragen im offiziellen Verzeichnis empfiehlt.

Hier ist, was es sagt: „ iThemes Security nimmt erhebliche Änderungen an Ihrer Datenbank und anderen Site-Dateien vor, was für bestehende WordPress-Sites problematisch sein kann . Auch hier empfehlen wir dringend, ein vollständiges Backup Ihrer Website zu erstellen, bevor Sie dieses Plugin verwenden. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen das Versäumnis, vor der Installation eine ordnungsgemäße Sicherung zu erstellen.“

Zur Kenntnis genommen. Kommen wir zu Schritt zwei.

Schritt 2: Aktivieren Sie das Plugin auf Ihrem Dashboard

Fahren Sie nun mit der Installation von iThemes Security fort. Gehen Sie dazu zu Plugins > Neu hinzufügen und geben Sie „iThemes Security“ in die Suchleiste ein:

Klicken Sie auf die Schaltfläche „Jetzt installieren“. Aktivieren Sie dabei das Plugin. Glückwünsche! Das Plugin wird auf Ihrer Website ausgeführt.

Sie können einen neuen benutzerdefinierten Beitragstyp in Ihrer linken Seitenleiste sehen. Es besteht aus zwei Hauptmenüs:

1. Aufstellen
2. Holen Sie sich mehr Sicherheit

Schauen wir uns gleich den ersten an. Gehen Sie zum Menü iThemes Security > Setup .

Schritt 3: Wählen Sie einen Site-Typ aus

Um Ihnen das Leben zu Beginn zu erleichtern, bietet iThemes Security an, Sie „durch den Einrichtungsprozess zu führen, damit die wichtigsten Sicherheitsfunktionen für Ihre Website aktiviert werden“.

Sie können zunächst aus sechs Website-Typen auswählen, die Ihren am besten repräsentieren:

• „E-Commerce“
• „Netzwerk“ (für Foren und Mitgliederseiten)
• „Gemeinnützig“ (für Websites, die eine Sache unterstützen und Spenden sammeln)
• „bloggen“
• „Portfolio“
• „Broschüre“ (für Vorzeigestandorte)

Ich persönlich habe mich für die Vorlage „Blog“ entschieden, die am besten zu meiner Testseite passt.

iThemes fordert Sie dann auf, die folgenden Informationen einzugeben:

• Für wen konfigurieren Sie das Plugin , Ihre persönliche Website oder die Website eines Kunden?
• Möchten Sie Ihre Benutzerkonten mit einer Passwortrichtlinie sichern? Dies erfordert, dass Benutzer Ihrer Website starke Passwörter verwenden. Das Ankreuzen von „Ja“ ist eine gute Praxis.

Schritt 4: Sicherheitsfunktionen aktivieren

Im nächsten Schritt bietet Ihnen iThemes die Möglichkeit, die Funktionen Ihrer Wahl zu aktivieren/deaktivieren, unterteilt in vier Abschnitte:

1. „Login-Sicherheit“
2. „Aussperrungen“
3. „Site-Check“
4. „Dienstprogramme“

In der kostenlosen Version von iThemes Security gibt es fünf Funktionen:

• Zwei-Faktor , um die Zwei-Faktor-Authentifizierung (2FA) bei der Anmeldung an der Verwaltungsoberfläche zu aktivieren
• Lokale Brute-Force , um Ihre Website vor Brute-Force-Angriffen zu schützen (Option ist standardmäßig aktiviert)
• Brute-Force-Netzwerk , um Benutzer zu blockieren, die versucht haben, in andere Websites einzudringen, bevor sie Ihre angreifen (Option ist standardmäßig aktiviert)
• Site-Scan-Planung , um Ihre Site zweimal täglich auf bösartige Dateien zu überprüfen
• Security Check Pro , um IP-Adressen basierend auf Ihrer Serverkonfiguration zu identifizieren, indem eine API-Anfrage an iThemes.com-Server gestellt wird (standardmäßig aktiv)

Zusätzlich zu den bereits standardmäßig aktivierten Funktionen kann es sinnvoll sein, die Zwei-Faktor-Authentifizierung und das Scannen von Websites zu aktivieren. Auf die Details der Einstellungen komme ich später zurück.

Schritt 5: Kontogruppen einrichten

Gleich danach schlägt iThemes vor, dass Sie „Kontogruppen“ einrichten.

Wie bereits erwähnt, „ermöglichen Ihnen Benutzerkontogruppen, Sicherheitsfunktionen nur für bestimmte Benutzergruppen zu aktivieren.“

Sie haben zwei Möglichkeiten zur Auswahl:

• Standard . In diesem Fall werden Ihre Benutzerkonten automatisch nach ihren Berechtigungen in WordPress kategorisiert und das Plugin aktiviert die empfohlenen Sicherheitseinstellungen für jede Gruppe. Ich empfehle Ihnen, sich für diese Option zu entscheiden.
• Benutzerdefiniert . Hier fangen Sie mit benutzerdefinierten Gruppen bei Null an und kategorisieren Ihre Benutzerkonten nach Ihren Wünschen.

Je nach Benutzerrolle (Administrator, Redakteur, Autor, Mitwirkender oder Abonnent) haben Sie dann Zugriff auf verschiedene Einstellungen:

Schritt 6: Richten Sie allgemeine Einstellungen und Benachrichtigungen ein

Um die Konfiguration Ihrer Website abzuschließen, fordert Sie iThemes Security unter anderem auf:

• Fügen Sie Ihre IP-Adresse zur Liste der zulässigen Konten hinzu
• Wählen Sie aus, wie das Plugin die IP-Adressen Ihrer Besucher ermittelt
• Treten Sie dem Brute-Force-Netzwerk bei oder nicht (geben Sie einfach Ihre E-Mail-Adresse ein, wenn Sie möchten)
• Geben Sie eine E-Mail-Adresse ein, um Benachrichtigungen zu erhalten

Das war es für diese erste Salve von Schutzmaßnahmen. iThemes weist darauf hin, dass Ihre Website bereits einige bemerkenswerte Verbesserungen erhalten hat:

• Die Sicherheit Ihrer Konten wird verstärkt
• Brute-Force-Angriffe werden blockiert , ebenso bösartige Bots und Benutzeragenten
• Malware-Erkennung und Erkennung anfälliger Themes und Plugins ist aktiv

Dies ist ein großartiger erster Schritt, aber es gibt Raum für weitere Anpassungen. Im nächsten Teil zeige ich Ihnen, wie Sie tiefergehende Anpassungen an den Hauptfunktionen des Plugins vornehmen können.

Schließen Sie sich den WPMarmite-Abonnenten an

Holen Sie sich die letzten WPMarmite-Beiträge (und auch exklusive Ressourcen).

ABONNIERE JETZT

Welche Einstellungen bietet iThemes Security?

Wenn Sie mit dem Konfigurationsassistenten fertig sind, bietet Ihnen iThemes Security ein neues Menü namens „Einstellungen“.

Dieses Menü enthält die Funktionen des Plugins, von denen einige während der Konfigurationsphase erwähnt wurden.

iThemes Security verfolgt einen modularen Ansatz: Sie können die Funktionen aktivieren, die Sie benötigen, und die nicht nützlichen deaktivieren.

Wenn die Schaltfläche blau ist, ist die Funktion aktiv. Um es zu deaktivieren, klicken Sie einfach darauf. Sie können auf die Einstellungen zugreifen, indem Sie auf das Zahnrad klicken:

Lassen Sie uns ohne weiteres Umschweife jede angebotene Option analysieren.

Dateiänderung

Dank des „File Change“-Moduls ist iThemes Security in der Lage, Sie zu informieren, sobald eine Datei geändert wurde, was auf einen Hackerangriff hindeuten kann.

Standardmäßig werden alle Dateien berücksichtigt, die in jeder neuen Neuinstallation von WordPress enthalten sind.

Die Einstellungen dieses Moduls ermöglichen es Ihnen jedoch, Dateien und Ordner Ihrer Wahl auszuschließen , wenn Sie dies wünschen.

Wenn Sie sich nicht sicher sind, was Sie tun, lassen Sie es in Ruhe. Der Vorteil des Ausschlusses bestimmter Dateien und Ordner besteht darin, dass weniger Serverressourcen verbraucht werden. Die Ladezeit Ihrer Seiten wird dadurch weniger beeinträchtigt.

Wenn Sie einen guten Hoster wie bluehost (Affiliate-Link) verwenden, sollte dies sowieso kein Problem sein.

Kontosperrung

Das Modul „Benutzer sperren“ verhindert den Zugriff auf Ihre Website durch bestimmte IP-Adressen und Benutzeragenten (z. B. Webbrowser oder Suchmaschinenroboter).

Standardmäßig schlägt iThemes vor, eine Liste zu aktivieren, die von der Website HackRepair.com erstellt wurde. Da diese Liste bestimmte Bots blockiert, die als bösartig gelten , ist es sinnvoll, sie zu aktivieren.

In dem Teil, der den benutzerdefinierten Verboten entspricht, können Sie:

• Begrenzen Sie die Anzahl blockierter IPs in den Serverkonfigurationsdateien . iThemes weist darauf hin, dass dies das Risiko von Serverabstürzen beim Aktualisieren der Datei verringert.
• Benutzer manuell sperren Agenten

Zwei-Faktor-Authentifizierung

Kommen wir zu dem Modul, das der Zwei-Faktor-Authentifizierung gewidmet ist. Dies fügt eine zusätzliche Sicherheitsmaßnahme zur Anmeldung bei Ihrer WordPress-Site hinzu.

Nach Eingabe Ihres Logins und Passworts werden Sie aufgefordert, ein Gerät, häufig Ihr Smartphone oder Tablet, zu verwenden, um den Verbindungsvorgang zu bestätigen.

Dies ist eine Methode, die bereits von Banken verwendet wird, wenn Sie Online-Zahlungen tätigen. Es schützt Sie sehr effektiv vor Brute-Force-Angriffen.

In den Einstellungen müssen Sie zunächst eine Zwei-Faktor-Authentifizierungsmethode auswählen. iThemes Security unterstützt mehrere Optionen:

• Mobile Applikation
• Email
• Sicherungscodes

iThemes empfiehlt, die Einstellung „Alle Methoden“ zu wählen. Dadurch kann jedes Konto seine bevorzugte Methode auswählen.

Sie können auch die duale Authentifizierung bei der ersten Anmeldung deaktivieren und den Text bearbeiten, der dem Benutzer beim Einrichten der Zwei-Faktor-Authentifizierung angezeigt wird.

Sobald dieses Modul aktiv ist, werden Sie aufgefordert, eine Methode zur Authentifizierung auszuwählen, nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben.

Sie können beispielsweise eine mobile Anwendung wie Google Authenticator, Authy, FreeOTP oder Toopher verwenden.

Wenn Sie sich das nächste Mal bei der Administrationsoberfläche anmelden, werden Sie aufgefordert, sich mit dieser Methode zu authentifizieren.

Brute-Force-Schutz

Die Zwei-Faktor-Authentifizierung ist zwar ein guter Schutz vor Brute-Force-Angriffen, aber nicht der einzige.

Auch hierfür bietet iThemes zwei spezifische Module an. Mit der ersten, genannt „Lokale Brute-Force“, können Sie:

• Blockieren Sie automatisch eine IP-Adresse , die versucht, sich mit dem „admin“-Login zu verbinden. Ich rate Ihnen, diese Option zu aktivieren.
• Begrenzen Sie die maximale Anzahl der Anmeldeversuche pro IP-Adresse, bevor Sie sie blockieren .
• Begrenzen Sie die maximale Anzahl an Anmeldeversuchen pro Benutzername, bevor Sie sperren .
• Stellen Sie die Anzahl der Minuten ein, die berücksichtigt werden, um erfolglose Verbindungen zu zählen .

Die Standardeinstellungen sind bereits wirksam, aber Sie können sie nach Belieben ändern.

Wenn Sie beispielsweise feststellen, dass Brute-Force-Angriffe zunehmen, reduzieren Sie die maximale Anzahl der Anmeldeversuche pro Benutzer von 10 auf 5.

Parallel dazu können Sie auch das Modul „Network Brute Force“ nutzen. Die Beschreibung ist eher nebulös. iThemes sagt, dass dies „ein Netzwerk von Websites ist, das vor schlechten Akteuren im Internet schützt“.

Während sich das „Local Brute Force“-Modul nur mit Zugriffsversuchen auf Ihre Website befasst, blockiert „Network Brute Force“ Benutzer, die versucht haben, in andere Websites einzudringen, bevor sie Ihre angreifen .

Aktivieren Sie diese Option, indem Sie Ihre E-Mail-Adresse eingeben und das Kontrollkästchen aktivieren, um E-Mail-Updates zu erhalten.

Sichern der Datenbank

Im Falle eines Hackings (hoffentlich müssen Sie diese Informationen nicht verwenden) müssen Sie Ihre Site dann wiederherstellen. Dazu ist es wichtig, ein aktuelles Backup zu haben.

Dank des Moduls „Datenbanksicherung“ können Sie automatische Sicherungen Ihrer Datenbank manuell erstellen oder planen.

Seien Sie jedoch vorsichtig: Das Modul sichert nur Ihre Datenbank und nicht die Dateien Ihrer Website (die Sie nach dem Herunterladen im Ordner „wordpress“ finden).

Hier sind die angebotenen Einstellungen:

• Planen Sie Datenbanksicherungen . Aktivieren Sie dieses Kontrollkästchen, wenn Sie automatische Backups erstellen möchten. Wenn Sie kein paralleles Backup-Plugin verwenden, aktivieren Sie diese Option. Sie können die Anzahl der Tage zwischen zwei Sicherungen auswählen. Standardmäßig ist die Einstellung drei Tage. Wenn sich der Inhalt Ihrer Website nicht ändert, können Sie diese Häufigkeit verringern. Wenn Sie täglich Änderungen an Ihrer Website vornehmen, planen Sie eine tägliche Sicherung ein.
• Konfiguration Ihrer Backups . Sie können zwischen drei Backup-Methoden wählen: per E-Mail, lokales Backup oder beides. Das lokale Backup nimmt Platz in Ihrem Speicherplatz ein, daher ist es besser, es per E-Mail zu versenden.
  Sie können Ihre Sicherungsdateien auch komprimieren, um ihre Größe zu reduzieren (lassen Sie dieses Kontrollkästchen aktiviert).
• Zu sichernde Tabellen . Mit iThemes können Sie bestimmte Tabellen in Ihrer Datenbank von der Sicherung ausschließen. Standardmäßig sind alle Tabellen des WordPress Core enthalten. Für den Rest berühren Sie nichts, es sei denn, Sie sind sich sicher, dass Sie verstehen, wozu die Tabelle dient, die Sie ausschließen möchten.

Das einzig Nützliche an diesem Modul ist die Sicherung Ihrer Datenbank.

Um es besser zu machen, empfehle ich Ihnen, ein dediziertes Plugin zu verwenden, um Ihre gesamte Website (Dateien + Datenbank) zu sichern .

Wählen Sie ein Plugin (z. B. UpdraftPlus), mit dem Sie Ihre Backups an einen entfernten Speicherort (Dropbox, Google Drive, Amazon S3 usw.) senden können.

Das Benachrichtigungszentrum

Nachdem Sie alle Optionen konfiguriert haben (Sie werden auch aufgefordert, SSL zu erzwingen, wenn sich Ihre Website in HTTPS befindet), stellt iThemes Security dem Benutzer ein Menü zur Verfügung, um die gesendeten Benachrichtigungen zu verwalten:

Mit iThemes können Sie zunächst Benachrichtigungen aktivieren/deaktivieren, indem Sie das zugehörige Kontrollkästchen in jedem Untermenü aktivieren/deaktivieren:

Für die meisten Optionen können Sie dann Folgendes festlegen:

• Der Betreff der gesendeten E-Mail
• Die E-Mail-Häufigkeit
• Der Empfänger: der Administrator, eine andere Benutzerrolle oder eine benutzerdefinierte E-Mail-Adresse

iThemes Security erweiterte Tools und Optionen

Schließlich bietet iThemes in den Menüs „Erweitert“ und „Extras“ weitere nützliche Sicherheitseinstellungen (man muss genau nach ihnen Ausschau halten, da sie gut versteckt sind ^^).

Erweitertes Menü

Im Menü „Erweitert“ haben Sie drei Registerkarten, mit denen Sie Änderungen an der Serverkonfiguration Ihrer Site vornehmen können.

Belassen Sie die Standardeinstellungen für die ersten beiden, „System-Optimierungen“ und „WordPress-Optimierungen“.

Die dritte Registerkarte „Backend ausblenden“ ermöglicht es Ihnen, die Anmeldeseite der Verwaltung Ihrer Website zu ändern. Standardmäßig kann einfach darauf zugegriffen werden, indem Sie eine der beiden folgenden URLs in einen Webbrowser eingeben:

• yoursite.com/wp-admin
• yoursite.com/wp-login.php

Indem Sie es ändern, erschweren Sie es Bots, sich mit Ihrer Website zu verbinden. Die Einstellungen ermöglichen Ihnen:

• Ändern Sie den Verbindungs-Slug , dh den letzten Teil Ihrer URL. Geben Sie den Wert Ihrer Wahl ein (z. B. xc78ygvk).
  Es ist besser, eine Kombination zu wählen, die schwer zu erraten ist. Denken Sie daran, Ihre neue URL an mehreren Stellen zu notieren (in Ihrer Notizenanwendung, in den Favoriten Ihres Browsers usw.).
• Geben Sie eine Umleitungs-URL an (z. B. https://yoursite.com/404), die an den nicht verbundenen Bot oder Hacker zurückgesendet wird, der auf Ihre Anmeldeseite zugreifen möchte. Aktivieren Sie das zugehörige Kontrollkästchen, wenn Sie diese Option wünschen.

Menü Extras

Lassen Sie uns diese Überprüfung der Einstellungen mit dem Menü „Extras“ beenden, das zehn zusätzliche Konfigurationsoptionen auflistet.

Für den Anfang empfehle ich, dass Sie zuerst die folgenden Tools verwenden:

• „ Admin-Benutzer ändern“ , um die Benutzernamen zu ändern, die mit „admin“ beginnen.
• „ Datenbanktabellenpräfix ändern.“ Indem Sie das wp_-Präfix ändern, das standardmäßig allen neuen WordPress-Installationen zugewiesen wird, erschweren Sie es Tools, die versuchen, Schwachstellen auszunutzen, auf die Datenbank Ihrer Website zuzugreifen.
• „Dateiberechtigungen prüfen“ , um ihre Berechtigungen zu prüfen. Wenn es eine Warnung gibt, können Sie diese dann auf Ihrem FTP-Client ändern.

Denken Sie auch hier daran, Ihre Website zu sichern, bevor Sie die vom Sicherheits-Plugin angebotenen Tools aktivieren .

Nun, jetzt haben Sie einen detaillierten Überblick über das Menü „Einstellungen“ von iThemes Security. Es ist an der Zeit, sich anzusehen, was das „Dashboard“-Menü für Sie bereithält.

So überwachen Sie den Status Ihrer Website mit iThemes Security

Wenn Sie zu iThemes Security > Dashboard gehen, erhalten Sie eine visuelle Zusammenfassung des Status Ihrer Website.

Das Plugin zeigt die folgenden Informationen an:

• Aussperrungen kategorisiert nach IP-Adressen , Benutzern und Kennungen
• Die Anzahl der Sicherungen Ihrer Datenbank mit einer Schaltfläche zum Starten einer sofortigen manuellen Sicherung
• Die Anzahl der Brute-Force-Angriffe über einen bestimmten Zeitraum. Standardmäßig ist der Datumsbereich auf 30 Tage eingestellt, aber Sie können einen benutzerdefinierten Wert eingeben.
• Scanfehler erkannt
• Gesperrte Konten
• Sperrungen im Überblick : Anmeldeversuche, Anmeldungen mit „admin“ und reCAPTCHA

Was sind die Premium-Optionen des Plugins?

Mit iThemes Security Pro, der Premium-Version des Plugins, erhalten Sie „zusätzliche Schutzebenen für Ihre WordPress-Website mit Blick auf die Leistung“ , erklärt iThemes.

Sie fragen sich, wie Sie die Pro-Version von iThemes Security aktivieren können? Es ist sehr einfach. Laden Sie nach dem Kauf einer der kostenpflichtigen Lizenzen des Plugins die mit dem Plugin verknüpfte Zip-Datei in Ihrem Kundenbereich herunter. Laden Sie es dann unter Plugins > Neu hinzufügen hoch, indem Sie auf „Plugin hochladen“ klicken.

Hier sind die meisten der wichtigsten Optionen, die im Premium-Paket des Plugins angeboten werden:

• Automatische Aktualisierung Ihrer Plugins, Themes und WordPress-Core-Dateien im Falle einer Schwachstellenerkennung.
• Eine Option zum Aktivieren eines reCAPTCHA beim Registrieren neuer Benutzer, Zurücksetzen von Passwörtern, Anmelden und Posten von Kommentaren. Dies ist eine wirksame Option zur Spam-Bekämpfung. Insbesondere wird Google reCAPTCHA V3 unterstützt.
• Möglichkeit für Ihre Benutzer, sich bei Ihrer WordPress-Site über einen Link anzumelden, der sicher an ihre E-Mail gesendet wird („Passwortlose Anmeldung“).
• Möglichkeit für vom Brute-Force-Netzwerk blockierte Benutzer, sich über einen magischen Link anzumelden (Option „Magic Links“).
• Export der Plugin-Einstellungen . Dies ist eine nützliche Option, wenn Sie das Plugin auf mehreren Seiten aktivieren möchten, ohne es jedes Mal neu einrichten zu müssen.
• Schnelle Änderung der fünf wichtigsten Elemente für die Sicherheit Ihrer Benutzer : Zwei-Faktor-Authentifizierung, Alter und Stärke des Passworts, Zeit der letzten Aktivität, aktive WordPress-Sitzungen und Benutzerrolle (Option „Benutzersicherheitsprüfung“).
• Automatische Updates von Core, Plugins und Themes (Option „Versionsverwaltung“).
• Temporärer Administratorzugriff für temporäre Benutzer (z. B. Wartungstechniker), ohne dass ein neuer Benutzer erstellt werden muss (Option „Temporary Privilege Escalation“).

Sind Sie an einem Upgrade auf iThemes Security Pro interessiert? Lassen Sie uns jetzt über die Preisgestaltung sprechen.

Wie viel kostet iThemes Security?

iThemes Security ist ein Freemium-Plugin. Sie können es zunächst kostenlos verwenden, indem Sie es über Ihre Verwaltungsoberfläche aktivieren, aber seine Ersteller bieten auch drei Premium-Lizenzen an, um alle Funktionen des Plugins zu nutzen.

1. Basic : 99 $/Jahr für die Verwendung auf einer Website
2. Plus : 199 $/Jahr für die Nutzung an bis zu 5 Standorten
3. Agentur : 299 $/Jahr für die Verwendung an bis zu 10 Sites

Jede Lizenz bietet genau die gleichen Optionen, Plugin-Updates und E-Mail-Support.

Welche Lizenz Sie wählen, hängt davon ab, auf wie vielen Websites Sie iThemes Security Pro aktivieren möchten.

Hinweis: iThemes bietet auch ein Paket für 749 $/Jahr an, das viele Tools enthält, die unter der Marke StellarWP vermarktet werden: iThemes Security, Backup Buddy, Kadence, Restrict Content Pro usw.

iThemes Security kostenlos vs. Pro: Welche Version sollten Sie wählen?

Der wichtigste Mehrwert von iThemes Security Pro in Bezug auf die Sicherheit im Vergleich zu seiner kostenlosen Version ist die automatische Anwendung eines Patches auf anfällige Software, die von der Site-Analyse erkannt wurde, sofern verfügbar.

Dies ist offensichtlich nützlich, um Ihre Website ein wenig besser zu schützen, aber Sie müssen immer noch mindestens 99 US-Dollar pro Jahr bezahlen, um davon profitieren zu können.

Die restlichen Optionen dienen hauptsächlich dazu, bestimmte Aktionen zu erleichtern (Verbindung über einen magischen Link, schneller Export von Optionen usw.), nicht wirklich, um den Schutz Ihrer Website zu stärken.

Zusammenfassend scheint mir die kostenlose Version des Plugins dank des Schutzes vor Brute-Force-Angriffen und der doppelten Authentifizierung bereits ausreichend zu sein, um die Sicherheit Ihrer Website zu stärken.

Aber es hat immer noch einige Einschränkungen, wie Sie in der Zusammenfassung unten sehen werden.

Unsere abschließende Meinung zu iThemes Security

Vorteile der iThemes-Sicherheit

• Die Sicherheitsvoreinstellungen werden automatisch hinzugefügt, wenn Sie das Plugin aktivieren.
• Die Benutzeroberfläche, die ziemlich intuitiv und klar ist. Dadurch ist das Plugin leicht erlernbar.
• Der modulare Ansatz, der es Ihnen ermöglicht, nur die Optionen zu aktivieren, die Sie benötigen. Dadurch werden weniger Serverressourcen verbraucht, was immer besser für die Ladegeschwindigkeit Ihrer Seiten ist.
• Die Tatsache, dass das Plugin sehr wenig Fachjargon verwendet. Die Optionen sind verständlicher als bei Konkurrenten wie Wordfence Security oder Sucuri.
• Die kostenlose Version enthält viele Funktionen.

Einschränkungen des Plugins

• Der Hauptnachteil des Plugins besteht darin, dass es keine Firewall bietet, was immer noch eine wesentliche Schutzmaßnahme für ein Sicherheits-Plugin ist.
• Es gibt keinen Sicherheitsscanner als solchen.
• Der Echtzeitverkehr wird in der kostenlosen Version nicht analysiert.
• Das Plugin behebt erkannte Schwachstellen in seiner kostenlosen Version nicht.
• iThemes weist darauf hin, dass sein Plugin Ihre Website zum Absturz bringen kann, da es erhebliche Änderungen an Ihren Dateien und Ihrer Datenbank vornimmt.

Sollten Sie es verwenden?

Abschließend bleibt noch eine letzte Frage: Sollten Sie das Plugin auf Ihrer WordPress-Seite aktivieren?

Um diese Frage zu beantworten, sind einige wichtige Punkte zu beachten:

• Ja, iThemes fehlen einige wichtige Optionen, wie eine Firewall oder ein Scan…
• …aber das Plugin kann die Arbeit erledigen, WENN Sie parallel andere Sicherheitsmaßnahmen implementieren . Beispielsweise verwenden Sie möglicherweise ein anderes Plugin, das eine Firewall enthält.
  Denken Sie auch daran, Ihre Website regelmäßig zu sichern und zu aktualisieren, sobald Updates verfügbar sind.
  

Wenn man diese Richtlinien (gemeinsame Nutzung von iThemes mit anderen Sicherheitsmaßnahmen) befolgt, scheint mir iThemes letztendlich für Anfänger geeignet, die die Sicherheit ihrer Seite kostenlos stärken möchten, ohne sich zu sehr anzustrengen.

Obwohl es weniger grundlegende Sicherheitsfunktionen hat, ist iThemes Security immer noch einfacher einzurichten als Wordfence Security, das mehr Jargon verwendet (und den Ruf hat, gieriger zu sein, wenn es darum geht, Serverressourcen zu beanspruchen).

iThemes-Sicherheit herunterladen:

Was halten Sie von iThemes Security? Erzähl uns alles darüber in den Kommentaren.