Jeder WordPress-Blogger kennt dieses eine besonders nervige Thema. Dieses eine Thema, was sich ständig ändert und wo man keine Garantien für irgendetwas hat.
Ich spreche natürlich von der Sicherheit des Cores, des Themes und natürlich der installierten Plugins deines Blogs!
Kein Thema raubte mir als Blogger so viel Schlaf wie die Sicherheit meines Blogs. Was muss ich tun damit mein Blog nicht gehackt wird? Welche Faktoren fließen wo ein und gibt es Plugins, welche mir die Arbeit abnehmen?
Ich habe diesen und mehr Fragen sehr viel Aufmerksamkeit und Zeit gewidmet und kann sagen, dass ich einen sehr sicheren Blog habe und mir inzwischen kaum noch Gedanken über dieses Thema mache.
Sämtliche verwendeten Passwörter sind über 8 Zeichen lang und beinhalten Zahlen sowie Sonderzeichen, mein Hoster beschränkt Versuche von Logins auf maximal drei, ich nutze die Premium-Version des Plugins BBQ Firewall und ich habe diverse weitere Schritte wurden unternommen, um das Maximale an Sicherheit zu herauszuholen.
Das ist WPScan
Um diesem speziellen Thema noch etwas Aufmerksamkeit zu widmen, möchte ich dir heute WPScan vorstellen. Ein wirklich besonderes Plugin, ohne großen Einrichtungsumfang.
Du musst dir WPScan als Vater der WordPress-Sicherheit vorstellen. Für die meiste Zeit still, aber immer wachsam. Das Plugin verbindet sich über einen API-Schlüssel mit der Datenbank von WPScan.com und fragt je nach Einstellung regelmäßig ab, ob die auf deinem Blog installierten Plugins oder Themes bekannte Sicherheitslücken haben.
Dabei bekommst du eine sehr einfache tabellarische Übersicht mit dem Namen des Plugins / Themes, der installierten Version und ob Schwachstellen bekannt sind.
Des Weiteren lässt WPScan ein paar extra Checks laufen, welche die Sicherheit deiner Installation allgemein verbessern. Es wird unter anderem gecheckt ob Debug Logdateien oder exportierte Datenbankdateien über das Internet aufrufbar sind, ob die Website HTTPS aktiviert hat, ob XML-RPC aktiviert ist und mehr.
In der kostenfreien Version kannst du 25 API-Anfragen – also 25 Plugins, Themes & Co. abfragen. Falls dir das nicht reichen sollte, kannst du auch für 5 EUR pro Monat die Starter Version abonnieren, mit der du 75 API-Anfragen stellen kannst.
Selbstverständlich hat das Plugin auch einige, wenn auch übersichtliche Einstellungsmöglichkeiten. So kannst du die Frequenz des automatischen Scannens (täglich > 2x pro Tag > stündlich) ändern und anweisen, dass bestimmte Plugins oder Themes beim Scan ignoriert werden sollen.
Das war es dann auch schon wieder. Ich hoffe, dass euch dieser kleine Beitrag zum Thema WordPress Sicherheit gefallen hat. In meinen Augen ist WPScan nicht unbedingt ein Pflichtplugin, welches dauerhaft laufen sollte, sondern eine kleine Ergänzung, welche vielleicht einmal pro Monat installiert, getestet und wieder deinstalliert werden sollte. Bis zum nächsten Mal – dein Maurice.