WordPress ist nicht sicher! Gebetsmühlenartig wird diese falsche Aussage wiederholt. Sie wird dadurch aber nicht wahrer. WordPress ist je nach Messmethode gleichauf oder tendenziell sogar sicherer als andere CMS. Das Problem sind viel eher schlechte oder nicht aktualisierte Plugins und Themes, zu einfache Passwörter und veraltete Installationen. Aber mehr Sicherheit, dafür gibt’s doch ein Plugin! Und dann fängt der Ärger an.
Grund #1: Zu wenig Informationen
„Soll ich die XMLRPC-Schnittstelle blockieren?“ – Wer würde nicht mit Ja antworten, wenn ein Sicherheitsplugin danach fragt und ein Ignorieren eine hässliche orangene Warnung zurück lässt? Zu selten wird aufgeklärt, warum diese Schnittstelle ein Problem darstellt und wozu sie genutzt wird. Ist mir der Komfort einer App/eines Offline-Bloggingtool vielleicht das erhöhte Risiko wert, dass dadurch entsteht, das ca. 500 Login-Versuche gleichzeitig über diese Schnittstelle abgefeuert werden können?
Grund #2: Funktionen mit zu wenig Einstellungsmöglichkeiten
Natürlich sind Backups wichtig. Deshalb sollte auch ein richtiges Backup-Plugin genutzt werden. Automatisiert – auf einen anderen Server – im Idealfall. Nur bieten die All-in-one-Tools das selten an. Wenn eine Backup-Funktion jedoch keine Ordner ausschließen kann (z.B. die Backups vom echten Backup-Plugin) oder nicht anständig hinter sich aufräumt und die ganzen Backups sich ansammeln bis der Webspace voll läuft, dann schadet das Feature mehr als es nützt.
Grund #3: Security by Obscurity
Verstecken, Umbenennen, Verschleiern – immer wieder versuchen „Sicherheits“-plugins so einem Sicherheit vorzugaukeln. Bestimmte Funktionen machen aber nur dann Sinn, wenn andere Funktionen auch aktiv sind, da sie sonst die angeblich versteckten Informationen anderswo preisgeben. Gibt es All-in-one-Tools mit einer Konsistenzprüfung der Einstellungen? Ich befürchte nicht …
Grund #4: Performance
Scanner, Web-Application-Firewall, usw. usf. – alles schön und gut, aber wenn am Ende meine Site kaum bedienbar im Backend ist, dann schalte ich das Ganze aus Notwehr doch wieder ab und meine „Sicherheit“ ist im Ar…
Grund #5: Du hast zu wenig Rechte!
Ein automatisierter Test ist nur so gut, wie seine Programmierer. Wenn das Plugin nur testet, ob Ordner die Rechte 755 haben und Dateien 644, dann mag das zwar eine gute Faustregel sein, aber die mit weniger Rechten ausgestattete .htaccess oder wp-config.php mit einer Warnung zu versehen ist dann schon wieder etwas, was den Laien nachhaltig verwirren kann.
Grund #6: Jeder macht mal Fehler
Ja, jedem kann das passieren. Aber bei einem Sicherheitsplugin ist es mehrfach schlimm. Es soll uns beschützen, aber sperrt uns aus, weil versehentlich die eigene IP gesperrt wurde, oder es löscht beim Updaten der .htaccess den WordPress-Block oder Worst-Case-Szenario: es hat selbst eine kritische Sicherheitslücke und stellt so ein Einfallstor dar.
Mein Hinweis an jeden interessierten Laien:
Die meisten Funktionen der All-in-one-Plugins kann man selber umsetzen. Vorteil: Bei der Recherche, wie das genau geht, lernt man viel dazu und hat am Ende eine sichere Website ohne den ganzen Overhead eines All-in-one-Plugins.
Ein All-in-one-Sicherheitsplugin einzusetzen ohne zu verstehen, was es macht oder was das für Konsequenzen hat, ist fahrlässig. Ungefähr zu vergleichen mit einer geladenen, entsicherten Pistole zur Einbrecher-Abwehr, die im Kinderzimmer deponiert wird.
P.S.: Ich mag eigentlich keine Listen. Sicherheitslisten schon gar nicht. Sie erzeugen den Eindruck von Vollständigkeit. Wenn ich diese 10, 12, 20 Dinge abgehakt habe, dann bin ich sicher. Nein, bist du nicht. Sicherheit ist ein stetiger Prozess. Daher ist diese Liste auch bestimmt nicht vollständig. Ergänze sie gerne in den Kommentaren. Oder widerspreche mir 