ShieldPro – mehr Sicherheit für Ihr WordPress

Das kostenlose Plugin „Shield Security“ schützt seit Jahren alle WordPress-Installationen von Studio2, nun haben wir bei den meisten Websites das Upgrade auf die kostenpflichtige Version ShieldPro durchgeführt. Dieser Beitrag gibt einen Überblick über die Funktionen und geht vor allem auf die Punkte ein, die Sie als User eventuell betreffen.


ShieldFree und ShieldPro

WordPress ist das meistgenutzte System zum Erstellen von Websites überhaupt. Dementsprechend häufig wird versucht, WordPress-Systeme zu hacken – auch kleine, wenig besuchten Websites. Die Zahlen auf diesem Screenshot zeigen das unmissverständlich:

ShieldPro registriert z.T. tausende Sicherheitsverstöße jeden Monat
Shield Security registriert z.T. tausende Sicherheitsverstöße jeden Monat

Neben einigen grundlegenden Maßnahmen halten wir daher den Einsatz eines Sicherheits­moduls für unverzichtbar. Shield Security hat uns mit seinen umfangreichen, durchdachten Schutzmechanismen (bereits in der kostenlosen Version) schon vor Jahren überzeugt. So sehr, dass wir nun mit den meisten Websites auf die Pro-Version umgestiegen sind.

Ein Vorteil von ShieldPro ist der persönliche Support, der uns bereits schnell und kompetent weitergeholfen hat. Außerdem bietet die Pro-Version zusätzliche Funktionen, die wir Ihnen kurz vorstellen möchten. Mit den dunkel hinterlegten Funktionen kommen Sie eventuell direkt in Berührung, z.B. beim Login in den Admin-Bereich Ihrer Website.

Spam-Schutz

Spam-Filter für Kontaktformulare

Viele Website-Betreiber erhalten unerwünschte Spam-Mails, die über das Kontaktformular auf der Website verschickt werden. Dagegen helfen z.B. Code- oder Bilder-basierte Captcha-Funktionen, die jedoch nicht benutzerfreundlich sind. ShieldPro ergänzt das Kontaktformular um eine versteckte Funktion, die Spam-Bots blockiert, ohne Ihre Besucher zu stören.

Spam-Filter für Kommentare

Als Blog-System besitzt WordPress eine integrierte Funktion, mit der Besucher Ihre Beiträge kommentieren können. Diese Funktion ist bei Firmen-Websites meistens unpassend und daher abgeschaltet; bei einigen Websites kommt sie jedoch als Gästebuch zum Einsatz. Shield bietet einen (laut eigener Aussage 100%igen) Schutz vor automatisiertem Bot-Spam, und zusätzlich einen Filter zum Schutz vor typischen menschlichen Spam-Mustern. Das erspart Ihnen das lästige Prüfen und Löschen von Spam-Kommentaren vor der Veröffentlichung.

Login-Schutz

Sichere Passwörter

ShieldPro erhöht die Sicherheit der verwendeten Passwörter Ihrer Benutzer. So lassen sich Vorgaben für die Länge und Stärke der Passwörter festlegen, oder die Verwendung von gestohlenen & veröffentlichten Passwörtern blockieren. Auch die Vergabe eines neuen Passworts nach einer bestimmten Zeit lässt sich erzwingen.

2-Faktor-Authentifizierung

Die 2-Faktor-Authentifizierung verhindert durch einen Zwischenschritt (Versand eines Login-Codes an die Mailadresse des Benutzers), dass sich Dritte mit gestohlenen Benutzerdaten im System anmelden. Da dieser Zwischenschritt oft als lästig betrachtet wird (Sie kennen das sicher von Ihrer Banking-App), können Sie die Funktion beim Login für eine bestimmte Zeit aussetzen (Standard: 90 Tage). Weitere Option: Benutzer können einen eigenen Backup-Code anlegen, für den Fall, dass 2FA gerade nicht möglich ist.

IP-Blocking

Shield besitzt ein eigenes Verfahren, mit dem Benutzer (genauer: ihre IP-Adresse) bewertet und gesperrt werden, falls sie durch verdächtige Verhaltensmuster (z.B. wiederholtes Anmelden mit dem falschen Passwort) auffällig werden. Sollten Sie durch diese Funktion irrtümlich ausgesperrt werden, melden Sie sich bitte bei uns bzw. bei ihrem Webmaster.

Anmeldeseite verbergen

Das Ändern der Standardadresse für den Login lässt automatisierte Login-Versuche meist ins Leere laufen (diese Funktion ist nicht verfügbar für Multisite-Installationen, z.B. mehrsprachige Websites). Sie finden Ihre Login-URL auf der aktuellen Zugangsdaten-Liste, die wir Ihnen zugeschickt haben.

Benutzer(gruppen) sperren

ShieldPro besitzt verschiedene Optionen zum automatischen oder manuellen Sperren von Benutzern. Beispielsweise können Benutzer mit abgelaufenem Passwort so zur Vergabe eines neuen Passworts gezwungen werden, oder ungenutzte Admin-Accounts nach einer bestimmten Zeit blockiert werden.

Weitere Optionen

Optional lassen sich für die Anmeldung Systeme wie Google Authenticator oder U2F-Geräte (Hardwareschutz) einbinden.

User Management

Automatisches Abmelden

Sollten Sie vergessen, sich im System abzumelden, bekommt eventuell eine dritte Person über Ihren Rechner Zugang zum System. Daher werden inaktive Benutzer nach einer bestimmten Zeit automatisch abgemeldet (Standard: 1 Stunde).

Maximale Sitzungslänge

Auch bei aktiver Nutzung müssen sich Benutzer nach einer bestimmten Zeit neu anmelden (Standard: 2 Tage).

Eine IP-Adresse pro Session

Mit dieser Option wird jede Sitzung auf die gleiche IP-Adresse beschränkt wie bei der Anmeldung. Wenn sich die IP-Adresse eines angemeldeten Benutzers ändert, wird die Sitzung ungültig und er wird gezwungen, sich erneut anzumelden.

Firewall

Firewall-Schutz

Shield schützt das WordPress-System vor bösartigen Anfragen, mit denen Hacker versuchen z.B. auf geschützte Verzeichnisse oder die Datenbank zuzugreifen, infizierte Dateien hochzuladen oder neue Benutzer anzulegen, durch die sie vollen Zugriff auf die Admin-Ebene bekommen. Die Firewall lässt sich individuell konfigurieren, damit sie problemlos mit speziellen Website-Funktionen zusammenarbeitet.

Security Header

Diese Funktion schützt Ihre Besucher vor einer Vielzahl von Angriffen wie ClickJacking, Cross-Site Scripting und Cross-Site Injection.

Weitere Funktionen

Security Admin PIN

Die Sicherheitseinstellungen des ShieldPro-Moduls lassen sich nur mit einem zusätzlichen Passwort ändern. Das schützt vor dem Zugriff durch nicht autorisierte Admin-Benutzer, oder durch Hacker, die eventuell den Admin-Zugang geknackt haben.

Automatische Updates

Aus Sicherheitsgründen wird empfohlen, das WordPress-System sowie die installierten Plugins und Themes ständig auf dem neuesten Stand zu halten. Shield bietet daher verschiedene Einstellungen für automatische Updates.

System Scans

Je nach den gewählten Einstellungen scannt und überwacht ShieldPro das WordPress-Dateisystem in einem festgelegten Turnus, sucht nach Schad-Software und nach veränderten Dateien. Änderungen an zentralen Dateien müssen vom Admin genehmigt werden. Plugins und Themes, die nicht mit dem WordPress-Archiv übereinstimmen, werden per Neuinstallation wieder in den Originalzustand versetzt. Aufgegebene (lange nicht aktualisierte) und als anfällig bekannte Plugins werden entsprechend markiert.

Audit Trail

Die Audit-Trail-Funktion listet alle Aktionen auf, gefiltert nach bestimmten Kriterien. So kann der Administrator in Echtzeit nachvollziehen, welcher Nutzer welche Änderungen oder Aktivitäten durchgeführt hat.

Reporting

Das Reporting-Modul informiert und warnt den Administrator per E-Mail über Aktivitäten bzw. Probleme auf der Website.

Export / Import

Die Export-/Import-Funktion von ShieldPro macht das Übertragen der Einstellungen auf eine andere Website erheblich einfacher. Sie dient gleichzeitig als Backup-Funktion.

Wir beraten Sie gerne, falls Sie noch Fragen haben oder ShieldPro auch auf Ihrer WordPress-Website einsetzen möchten.