Bei der Verwendung des WordPress CMS bietet es sich an, nützlich Plugins (bspw. für SEO) die einem die Arbeit erleichtern oder zur Sicherheit beitragen, zu installieren. Im folgenden liste ich einige der von mir häufig verwendeten Plugins auf und gehe kurz auf den Nutzen ein:
1. WP Maintenance Mode
Dieses Plugin bietet sich gerade in der Anfangsphase einer neuen Webpräsenz an. Nach der Installation dieses Plugins kann man den “Wartungsmodus” einschalten, sodass alle nicht in Ihrem WordPress System angemeldeten Nutzer nur eine einzige Seite erreichen können, deren Inhalt Sie frei festlegen können. Dies kann bspw. ein Bild oder Text sein, der darauf hinweist, dass hier in Kürze Ihre neue Webseite erscheint. Zusätzlich kann man auch noch aktivieren, dass Besucher sich per E-Mail als Abonnent eintragen können. Somit erhalten diese eine E-Mail wenn Ihre Webseite offiziell online geht.
2. Advanced Code Editor
Wenn Sie Änderungen am Quellcode Ihres Designs oder von Plugins machen werden Sie feststellen, dass der Standard WordPress Editor bspw. kein Syntax Highlighting unterstützt und auch das Speichern per STRG+S nicht unterstützt. Der Advanced Code Editor stellt Ihnen u.a. diese Mittel zur Verfügung und bringt noch weitere Vorteile mit sich.
3. Captcha
Kommen wir zum ersten Sicherheits-Plugin. Standardmäßig benötigt man für den Login in das Backend (Redakteur-Menü) von WordPress lediglich den Benutzernamen und das Passwort. Die gültigen Benutzernamen auf WordPress Systemen kann man leicht herausfinden, somit müsste ein Angreifer nur noch das Passwort erraten. Da dies meistens automatisiert geschieht, sollte man das Captcha-Plugin installieren. Dieses sorgt dafür, dass neben Benutzername und Passwort noch zusätzlich eine einfache Rechenaufgabe gelöst werden muss. Dies erschwert also Angriffe.
4. Login Logger
Der Login Logger speichert alle erfolgreichen und nicht erfolgreichen Loginversuche mit. Hin und wieder lohnt sich also ein Blick in die Liste, um zu sehen ob es häufige gescheiterte Login-Versuche gab, die auf einen Angriff hindeuten können.
5. Limit Login Attempts
Wenn man mit Hilfe von “Login Logger” erkennt, dass vermehrt versuchte Logins von ausländischen IPs auftreten, dann empfiehlt es sich spätestens jetzt “Limit Login Attempts” zu installieren. Damit kann man regeln, dass nach einer bestimmten Anzahl fehlgeschlagener Logins die entsprechende IP für einen beliebigen Zeitraum gesperrt wird.
6. Favicon by RealFaviconGenerator
Meiner Meinung nach die beste Möglichkeit Favicons (Lesezeichen Icons) einzurichten. Idealerweise erstellt man ein 260 x 260px großes Bild, welches dann automatisiert in die gängigen Favicongrößen formatiert wird. Anschließend wird der benötigte Code zum Einbinden der Favicons in die Webseite von selbst integriert.
Dies macht besonders dann einen sehr guten Eindruck, wenn Sie die Webseite auf dem Smartphone speichern und dann Ihr Logo wie ein App-Icon aussieht, anstatt dem Standardbild.
7. Stop User Enumeration
Prinzipiell sollte der Standard-Administrator nicht den Benutzernamen “admin” oder ähnlich heißen. Wenn jedoch Angreifer versuchen die Webseite zu knacken, so gibt es Werkzeuge die automatisch die in der WordPress Datenbank enthaltenen Benutzernamen preisgeben. Die damit erhaltenen Namen werden dann für sog. Bruteforce Angriffe genutzt, bei denen durch willkürliches Ausprobieren versucht wird, auf das richtige Passwort des Benutzers zu tippen.
Das Plugin “Stop User Enumeration” sorgt dafür, dass die meisten dieser Tools, bspw. WPSCAN keine Benutzernamen mehr extrahiert bekommen.
8. iQ Block Country
Anhand des Plugins “Limit Login Attempts” kann man sich die gesperrten IPs auflisten. Wenn man Stichprobenweise die zugehörige Herkunft der IPs betrachtet, was bswp. auf http://www.iplocation.net/ möglich ist, dann stellt man fest, dass viele Angriffe aus Russland, der Ukraine und China kommen.
Mittels “iQ Block Country” kann man alle IPs aus bestimmten Ländern für den Zugriff auf das Backend und / oder Frontend sperren.
9. wpSEO
Automatische Suchmaschinenoptimierung für Google. Mit gratis Testversion und E-Mail Support. Zur Detailseite.
10. Yoast SEO
Ein sehr nützliches Plugin zur Suchmaschinenoptimierung, bietet nützliche Tipps zur Verbesserung der Auffindbarkeit der Webseite. Somit ist es mir u.a. gelungen den Blogbeitrag http://it.karingross.de/sd-karte-unter-windows-formatieren-und-originalgroesse-wiederherstellen/ auf einen der Top Google Plätze zu bekommen.
Ggf. wird die Liste fortlaufend ergänzt.