Sucuri: Ein Sicherheits-Plugin, das Sie dringend installieren sollten?
Veröffentlicht: 2022-12-07Ein weit geöffneter Mund. Scharfe Reißzähne, die bereit sind, ein armes kleines Tier zu brechen. Ein endloser Körper, der fast 30 Fuß lang sein muss.
Geben Sie „sucuri“ bei Google ein, und Sie werden Bildern einiger ziemlich furchteinflößender Schlangen gegenüberstehen . Aber warum eigentlich? Nun, einfach weil das Wort, das Sie in die Suchmaschine eingegeben haben, die portugiesische Übersetzung von Anaconda ist.
Sie sollten sich darüber im Klaren sein, dass ich zunächst nur nach weiteren Informationen zu Sucuri, einem Sicherheits-Plugin für WordPress, gesucht habe.
Glücklicherweise ist nichts wirklich Schlimmes daran. Und es wird Sie nicht auffressen, nachdem Sie es aktiviert haben. Puh, du kannst tief durchatmen!
Stattdessen soll dieses Plugin Ihnen helfen, andere Raubtiere auszurotten: böse Hacker und andere Dateien und Malware, die Ihre Website infizieren können.
Am Ende dieses Artikels werden Sie wissen, wie Sucuri funktioniert (das Plugin, nicht die Schlange) und, was noch wichtiger ist, wie Sie es Schritt für Schritt einrichten. Bereit für einen sicheren Spaziergang? Sssss, folgen Sie der Anleitung.
Überblick
- Was ist Sucuri?
- Warum ist es wichtig, deine WordPress-Seite zu sichern?
- So installieren Sie Sucuri
- So richten Sie Sucuri Security ein und verwenden es
- Wie viel kostet Sucuri Security?
- Unsere abschließende Meinung zum Sucuri-Sicherheits-Plugin
Was ist Sucuri?
Sucuri Security ist ein WordPress-Sicherheits-Plugin, das eine Reihe von Tools bietet, mit denen Sie Ihre Website schützen können: Prüfung von WordPress-Kerndateien (PHP, CSS, JavaScript), Malware- und Programmanalyse, Sicherheitsdurchsetzung, E-Mail-Warnungen, Sicherheitsmaßnahmen nach dem Hacken, usw.
Sucuri wurde 2012 von Daniel Cid gegründet und 2017 vom amerikanischen Hosting-Giganten GoDaddy übernommen , der es seitdem pflegt und weiterentwickelt.
Nachdem bis 2014 ein Premium-Plugin angeboten wurde, ist das Plugin jetzt völlig kostenlos.
Mit über 800.000 aktiven Installationen ist Sucuri neben Konkurrenten wie Wordfence (über 4 Millionen aktive Installationen), iThemes Security (über 1 Million aktive Installationen) und All-in-One Security (über 1 Million aktive Installationen) eines der beliebtesten WordPress-Sicherheits-Plugins im offiziellen Verzeichnis. .
Sucuri, ein kostenloses Plugin, das von Premium-Diensten unterstützt wird
Das Unternehmen Sucuri verfügt zwar über ein Sicherheits-Plugin für das WordPress-CMS, bietet aber mehrere Cloud-basierte Premium-Dienste zum Schutz Ihrer Website an, unabhängig vom CMS ( Content Management System ), auf dem sie ausgeführt wird: WordPress, Joomla, Magento, Drupal, Shopify usw.
Zu diesen Dienstleistungen gehören:
- Eine Web Application Firewall (WAF) , die Ihren Webserver vor verschiedenen Angriffen schützt: DDOS-Angriffe (Denial of Service), Brute-Force-Angriffe, Malware, Phishing, Ransomware usw. Diese Firewall wird mit einem CDN (Content Delivery Network) geliefert, um sie zu verstärken Ihre Seitenladegeschwindigkeit.
Die WAF kann allein oder zusätzlich zum Sucuri-Plugin verwendet werden. - Die Sucuri-Sicherheitsplattform (Sucuri Website Security). Neben der Firewall und dem CDN bietet Sucuri mehrere Dienste zur Überwachung der Sicherheit Ihrer Website und kann Ihnen ein engagiertes Team zur Verfügung stellen, um Ihr WordPress im Falle eines Hacks zu bereinigen.
Obwohl diese Dienste getrennt sind und unabhängig voneinander verwendet werden können, gibt Sucuri im offiziellen Verzeichnis an, dass sein Plugin „Ihre vorhandenen Sicherheitstools ergänzt . Es ist nicht dazu gedacht, die Sucuri Website Security- oder Firewall-Produkte zu ersetzen.“
Mit anderen Worten, wenn Sie Ihre WordPress-Seite so gut wie möglich schützen möchten, reicht die Verwendung des Plugins allein nicht aus.
Warum ist es wichtig, deine WordPress-Seite zu sichern?
Bevor wir die von Sucuri angebotenen Funktionen und anderen Einstellungen untersuchen, wollen wir einen Moment innehalten, um die Bedeutung der Sicherheit bei einer WordPress-Installation zu betrachten.
Die Verwendung eines speziellen Plugins, um sich selbst zu schützen, ist ein Minimum, da man weiß, dass keine WordPress-Site unfehlbar ist. Als das am weitesten verbreitete CMS (Content Management System) der Welt ist WordPress natürlich täglich das Ziel zahlreicher Angriffe.
2.800 Angriffe pro Sekunde sollen weltweit auf WordPress-Installationen abzielen!
Aber keine Panik. WordPress ist ein sicheres CMS. In seinem Sicherheitsbericht zum WordPress-Ökosystem erklärt der Sicherheitsexperte Patchstack, dass 96 % der Sicherheitslücken von Code von Drittanbietern (Plugins und Themes von Drittanbietern) stammen, verglichen mit 4 % innerhalb des WordPress-Kerns.
Aus diesem Grund ist es wichtig, Ihre Website zu schützen. Die Folgen eines Hacks können katastrophal sein und zu Folgendem führen:
- Der Verlust und Diebstahl zahlreicher mehr oder weniger sensibler Daten , insbesondere der Ihrer Kunden.
- Ein Zeitverlust , denn Sie müssen die gehackte Seite bereinigen und alles aktualisieren.
- Ungeplante finanzielle Ausgaben , insbesondere wenn Sie einen Sicherheitsexperten hinzuziehen.
- Eine Verschlechterung Ihres Markenimages und ein möglicher Vertrauensverlust Ihrer derzeitigen Benutzer und/oder zukünftigen Kunden.
Sie verstehen, worauf es ankommt: Vernachlässigen Sie nicht den Sicherheitsaspekt Ihrer Website. Kommen wir zu einer ausführlichen Präsentation von Sucuri.
So installieren Sie Sucuri
Schritt 1: Aktivieren Sie das Sucuri-Plugin auf WordPress
Installieren Sie zunächst das Plug-in von Ihrer Administrationsoberfläche aus über das Menü Plug-ins > Neu hinzufügen. Klicken Sie auf „Jetzt installieren“:
Denken Sie daran, das Plugin zu aktivieren. Sie finden dann ein neues Menü mit dem Namen „Sucuri Security“ in der linken Seitenleiste Ihres WordPress-Backoffice:
Schritt 2: Generieren Sie einen API-Schlüssel
Um einige der zusätzlichen Tools zu aktivieren, die das Plugin bietet, empfiehlt Sucuri, dass Sie einen API-Schlüssel generieren.
API steht für Application Programming Interface. Wie in diesem Artikel sehr deutlich erklärt wird, „sind APIs Mechanismen, die es zwei Softwarekomponenten ermöglichen, mithilfe einer Reihe von Definitionen und Protokollen miteinander zu kommunizieren.“
Klicken Sie dazu oben in Ihrem Dashboard auf die Schaltfläche „API-Schlüssel generieren“:
Wählen Sie in dem Fenster, das hell auf Ihrem Bildschirm erscheint, die E-Mail-Adresse aus, die Ihrem Konto zugeordnet ist, und akzeptieren Sie dann die Nutzungsbedingungen (falls Sie damit einverstanden sind). Klicken Sie auf „Senden“, wenn Sie fertig sind.
Und da haben Sie es! Sucuri ist bereit zu arbeiten. Wie es Ihnen nach dem Generieren eines API-Schlüssels sagt: „ Dies ist keine schnelle Lösung für Ihre Sicherheitsanforderungen ; Es ist kein Ersatz für Sucuri Website Security oder Firewall, aber es wird Ihnen ermöglichen, sicherheitsbewusster zu sein und eine bessere Haltung einzunehmen, mit dem Ziel, Risiken zu reduzieren.“
Lassen Sie uns nun herausfinden, wie Sie das Plugin einrichten, mit einem Menü-für-Menü-Tauchgang.
So richten Sie Sucuri Security ein und verwenden es
Überblick über das Sucuri-Dashboard
Das erste von Sucuri Security angebotene Hauptmenü ist das Dashboard. Hier finden Sie die Ergebnisse des Audits, das das Plugin auf Ihrer Website durchgeführt hat.
Konkret untersucht Sucuri Ihre WordPress-Installation auf Änderungen an den grundlegenden WordPress-Dateien (die Sie bei jedem Download des CMS finden).
Sucuri scannt automatisch die Dateien in den Verzeichnissen root, wp-admin und wp-includes und vergleicht sie dann mit den Dateien, die mit der auf Ihrer Website installierten Hauptversion von WordPress (in meinem Fall 6.1.1) verteilt werden.
Sobald Sucuri eine Datei mit Inkonsistenzen erkennt, zeigt es diese auf Ihrem Dashboard an.
Wenn es ein Problem gibt, erscheint ein rotes „X“, begleitet von einer wenig beruhigenden gleichfarbigen Meldung: „ Core WordPress Files Were Modified “.
Die Datei(en) wurden möglicherweise gehackt. In meinem Fall meldet Sucuri zwei vermeintliche Anomalien in einer .txt-Datei und einer error.log-Datei.
Letztere listet Fehlerprotokolle auf, die auf Ihrer Website aufgetreten sind (insbesondere PHP-Fehler). Dann habe ich mehrere Möglichkeiten, die Probleme zu lösen:
- Markieren Sie die Datei als falsch positiv , wenn es sich beispielsweise um eine Datei handelt, die ich selbst hinzugefügt habe. Sucuri wird es bei zukünftigen Scans ignorieren.
- Löschen Sie die Datei , wenn Sie der Meinung sind, dass sie bösartig ist.
- Stellen Sie die ursprüngliche Version der Datei wieder her .
Dieser Scan ist praktisch, aber es gibt ein Hauptproblem: Für einen Anfänger ist es immer noch ziemlich schwierig zu wissen, ob die vermeintlich anomale Datei ein echtes Sicherheitsproblem auf Ihrer Website verursacht oder nicht.
Infolgedessen wissen wir nicht wirklich, was wir tun sollen . Datei so lassen wie sie ist? Die ursprüngliche Version wiederherstellen? Löschen, auch wenn es das Risiko eingeht, wichtige Daten zu löschen? Es ist nicht leicht herauszufinden.
Unter der Einfügung, die der Analyse des WordPress-Kerns gewidmet ist, finden Sie zusätzlich zu den Audit-Protokollen mehrere Registerkarten, die auf Änderungen hinweisen, die aufgetreten sind an:
- Iframes (HTML-Tags)
- Verknüpfungen
- Skripte
Schließlich macht Sucuri auch mehrere Empfehlungen, um die Sicherheit meiner Installation zu verstärken, indem er beispielsweise vorschlägt, dass ich ungenutzte Plugins entferne oder den Dateieditor in der Administration deaktiviere:
Die Anwendungsfirewall: Firewall (WAF)
Das zweite Untermenü von Sucuri ist für die Sucuri-Firewall. Um davon zu profitieren, müssen Sie sich für einen der von Sucuri angebotenen Premium-Pläne entscheiden .
Wenn Sie diesen Schritt machen möchten, müssen Sie nur Ihren API-Schlüssel in das dafür vorgesehene Feld einfügen.
Wenn diese Firewall aktiv ist, stellt Sucuri sicher, dass Ihre Website vor Angriffen geschützt ist, und verhindert Malware-Infektionen und -Reinfektionen.
Darüber hinaus blockiert die Firewall SQL-Injection-Versuche, Brute-Force-Angriffe, XSS (Site-to-Site-Scripting), RFI (Einbetten einer Remote-Datei auf Ihrem Server), Backdoors (Remote-Zugriff auf Ihre Website) und viele andere Bedrohungen zu Ihrer Seite.“
Über die Registerkarten „Einstellungen“ können Sie außerdem Folgendes tun:
- Blockieren Sie bestimmte IP-Adressen , indem Sie sie manuell eingeben, damit sie nicht auf Ihre Website zugreifen können.
- Aktivieren Sie Caching , wodurch die Leistung Ihrer WordPress-Site verbessert wird.
Das Menü für Anmeldungen: Letzte Anmeldungen
Kommen wir zum dritten Menü des Sucuri-Plugins: „Last Logins“. Es stehen vier Registerkarten zur Verfügung:
- „ Alle Benutzer“ zeigt alle Benutzer an, die sich erfolgreich in Ihrem WordPress-Adminbereich angemeldet haben
- „ Admins“ zeigt alle Personen, die ein „Admin“-Konto auf Ihrer Website haben
- „ Angemeldete Benutzer“ zeigt alle derzeit angemeldeten Benutzer an
- „ Fehlgeschlagene Anmeldungen“ zeigt Ihre fehlgeschlagenen Anmeldeversuche auf Ihrer Anmeldeseite an. So erkennen Sie sehr schnell, ob Sie beispielsweise Opfer von Brute-Force-Angriffen geworden sind.
Das Sucuri-Einstellungsmenü
Und schließlich das letzte Menü und das umfangreichste. Hier finden Sie einige wichtige Funktionen von Sucuri, die wir im Detail, Tab für Tab, aufschlüsseln werden.
Registerkarte Allgemeine Einstellungen
Die Registerkarte „Allgemeine Einstellungen“ enthält mehrere Einfügungen. Sie enthalten einige der folgenden Elemente, die Sie ändern können:
- Ein Verzeichnis mit all Ihren Sicherheitsprotokollen („Datenspeicherung“)
- Ein Log-Exporter
- Ein Reverse-Proxy, den Sie aktivieren können
- Ein Modul zum Importieren und Exportieren Ihrer Sucuri-Einstellungen auf eine andere WordPress-Site
Registerkarte „Scanner“.
Die Registerkarte „Scanner“ enthält ein kostenloses Tool namens SiteCheck, das von Sucuri angeboten wird. Dieses Tool durchsucht Ihre Website nach Folgendem:
- Malware
- Fehler auf Ihrer WordPress-Website
- Veraltete Software
- Sicherheitsanomalien
Insbesondere zeigt Ihnen Sucuri:
- Während des Scans geplante Aufgaben („geplante Aufgaben“). Standardmäßig findet der Scan einmal täglich statt.
- Das Dienstprogramm „WordPress Integrity Diff“ , das die Dateien auf Ihrem Server mit den Originaldateien Ihrer Website (Stammverzeichnisse, Designs, Plugins und WP-Kerndateien) vergleicht.
- Erkannte Fehlalarme .
- Eine Option, um bestimmte Dateien und Ordner während des Scans auszuschließen , insbesondere wenn sie zu groß sind.
Registerkarte Härten
Auf der Registerkarte „Härtung“ sind zehn Sicherheitsmaßnahmen aufgeführt, die Sie anwenden können, um mögliche Angriffe zu verhindern. Sie stärken die Sicherheit Ihrer WordPress-Installation.
Mit einem Klick können Sie zum Beispiel:
- Blockieren Sie die Ausführung bestimmter PHP-Dateien in den Verzeichnissen wp-content und wp-includes
- Deaktivieren Sie den Dateieditor in Ihrer Administrationsoberfläche, um zu verhindern, dass ein Hacker Ihre Dateien ändert
- Entfernen Sie die Anzeige Ihrer WordPress-Version
- Prüfen Sie, ob Ihre WordPress-Version aktuell ist
Unten auf der Seite ist es auch möglich, bestimmte PHP-Dateien, die von der Ausführung blockiert wurden, manuell auszuschließen.
Sichern Sie als Vorsichtsmaßnahme Ihre Site (Dateien + Datenbank), um eine dieser Maßnahmen anzuwenden. Sie können ein Backup-Plugin wie UpdraftPlus verwenden. Und wenn möglich, fahren Sie mit einer Testumgebung fort, nicht in der Produktion .
Post-Hack-Registerkarte
Wie der Name schon sagt, bietet die Registerkarte „Post-Hack“ mehrere Maßnahmen, die unmittelbar nach dem Hacken Ihrer Website angewendet werden können. Also hoffe ich, dass Sie es nie benutzen müssen! ^^
Folgendes können Sie tun:
- Generieren Sie neue Sicherheitsschlüssel . Sie sind in der Datei wp-config.php vorhanden und ermöglichen eine bessere Verschlüsselung einiger Informationen, insbesondere der Cookies eines Benutzers, der sich mit der Verwaltung Ihrer Website verbindet. Wenn ein Hacker im Besitz dieser Cookies ist, kann er sich mit Ihrer Website verbinden, selbst wenn Sie Ihr Passwort zurücksetzen – es sei denn, Sie ändern Ihre Sicherheitsschlüssel!
- Benutzerkennwörter aktualisieren
- Installieren Sie die Plugins Ihrer Website neu
- Aktualisieren Sie Ihre Designs und Plugins
Registerkarte „Sucuri-Warnungen“.
Auf der Registerkarte Warnungen können Sie Einstellungen für die Sicherheitswarnungen konfigurieren, die Sucuri Ihnen per E-Mail sendet.
Standardmäßig sendet das Plugin Sicherheitsbenachrichtigungen an den Hauptadministrator der Site (denjenigen, der während seiner Installation erstellt wurde). Sie können jedoch andere E-Mail-Adressen angeben, um diese Benachrichtigungen zu erhalten.
Sie können auch die Arten von Warnungen verwalten, die Sie erhalten, und vertrauenswürdige IP-Adressen autorisieren, damit sie keine Warnungen generieren.
Sie können beispielsweise Folgendes angeben:
- Eine maximale Anzahl von Benachrichtigungen pro Stunde (von fünf Stunden bis unbegrenzt)
- Die Anzahl der fehlgeschlagenen Verbindungsversuche pro Stunde (Brute-Force-Angriffe), bevor eine E-Mail-Benachrichtigung gesendet wird
- Die Ereignisse, die eine Sicherheitswarnung auslösen (z. B. Änderungen der Plugin-Einstellungen, Erstellung eines neuen Logins, Deaktivierung eines Themes oder Plugins usw.)
Um vollständig zu sein, bietet Sucuri zwei weitere Einstellungsregisterkarten: „API Service Communication“ und „Website Info“. Diese beiden Registerkarten regeln keine spezifischen Einstellungen: Sie geben Informationen über Ihre API und Ihre WordPress-Site.
Nach diesem breiten Überblick schlage ich vor, dass wir zum letzten Teil dieses Artikels übergehen. Zuerst sprechen wir über den Preis von Sucuri, und dann gebe ich Ihnen meine Meinung zu diesem Sicherheits-Plugin.
Wie viel kostet Sucuri Security?
Sucuri wird als kostenloses Plugin präsentiert, was wahr ist ... aber mit Einschränkungen.
In der Tat müssen Sie bezahlen, wenn Sie die von Sucuri angebotene Anwendungsfirewall nutzen möchten. Und in puncto Sicherheit ist der Einsatz einer Firewall sehr zu empfehlen.
Diese Option, die auch den Zugang zu einem CDN beinhaltet, wird ab 9,99 $/Monat für die Nutzung auf einer Seite angeboten.
Auf der anderen Seite bietet Sucuri ein viel umfassenderes Sicherheitspaket namens Website Security Platform an. Die Preise beginnen bei 199,99 $/Jahr für die Nutzung an einem Standort.
Dieser Preisplan beinhaltet natürlich Sucuris Firewall, CDN und auch die Bereinigung von Malware und Raubkopien durch interne Experten :
Erfahren Sie, wie Sie das Sicherheits-Plug-in #WordPress #Sucuri installieren und konfigurieren sowie seine unverzichtbaren Funktionen.
Unsere abschließende Meinung zum Sucuri-Sicherheits-Plugin
Abschließend, was sollten Sie über Sucuri denken? Um diese Frage zu beantworten, werde ich auf zwei entscheidende Aspekte bei der Auswahl eines Plugins eingehen: seine Benutzerfreundlichkeit und seine Effizienz.
Zunächst einmal zur Handhabung. Es ist nicht unbedingt komplex, da Sucuri sich dafür entschieden hat, klare Optionen anzubieten, die gut auf verschiedene Registerkarten verteilt sind.
Die Menüs sind nicht zu überladen und es ist sehr einfach, eine Aktion auszuführen (meistens reicht ein Klick).
Andererseits ist der Sicherheitsbereich voller Fachbegriffe – Sucuri hat damit nichts zu tun – und der Anfänger wird nicht immer verstehen können, was ihm empfohlen wird oder was er tun soll. Dies ist eine erste Einschränkung, auf die hingewiesen werden soll.
Kommen wir zur Effizienz des Plugins. Sucuri ist in erster Linie ein Überwachungstool, das Sie auf Sicherheitsprobleme in Ihrem WordPress aufmerksam machen soll . Es scannt Ihre Seiten auf Anomalien, sendet Ihnen Benachrichtigungen bei Problemen usw.
Aber das Plugin erlaubt es Ihnen nicht wirklich, Sicherheitsprobleme zu lösen (mit Ausnahme einiger kleiner Aspekte), außer nach dem Hacken (aber dann wird es zu spät sein).
Eines der wichtigsten Sicherheitsschilde ist die Verwendung einer Firewall. Sucuri bietet einen an, aber nur in seinem kostenpflichtigen Angebot.
Laden Sie das Sucuri-Plugin herunter:
Zusammenfassend würde ich das kostenlose Plugin nicht empfehlen, wenn Sie Ihre WordPress-Seite effizient schützen möchten .
Teilen Sie meine Meinung und verwenden Sie Sucuri? Sag mir deine Meinung, indem du einen Kommentar postest.