Alternativen zu Better WP Security
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angriff
benutzer
bombardement
dauer
frage
frustrierende zustand
grundfunktion
http
installieren
login
meinung
nutzen
sache
server
sicherheitsproblem
sorgen
studie
url
version
vertreten
-
Hallo
ich habe auf eine Empfehlung hin das allseits bekannte Wordpress-Plugin Better WP Security für eine öffentlich zugängliche Seite mit einigermaßen vielen Besuchern installiert. Es hat sich gleich gelohnt, viele Sicherheitsprobleme wurden gelöst, und ich bekomme jetzt noch fast täglich Aussperrungs-Meldungen über IP-Adressen von Servern aus China, Russland, Ukraine,….
Leider musste ich auch sehr negative Erfahrungen damit machen: Das Plugin »plustert sich auf«, sodass der RAM überläuft und wichtige WP-Grundfunktionen im Backend nicht mehr zur Verfügung stehen. Dieser etwas frustrierende Zustand lässt mich die Meinung vertreten, dass auf die Dauer die Nutzung dieses Plugins untragbar ist. Noch weniger tragbar wäre selbstverständlich, die Seite ungeschützt den Bombardements internationaler Hacker, die Server aus St. Petersburg nutzen, auszuliefern.
Daher die Frage – kennt ihr ein empfehlenswertes alternatives Sicherheitsplugin? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Ich hab damals auf http://wordpress.org/plugins/bulletproof-security/ und noch ein zweites, nicht mehr existentes Plugin gesetzt. Damals hieß es "Secure Wordpress" und hat einfach nur ein bisschen aufgeräumt mit den gesendeten Daten, nu ist es dashier: http://wordpress.org/plugins/secure-wordpress/.
Damit war mir der Ram immer genug.
Vielleicht gefält dir die Kombination ja. Statt dem LoginDing von Bulletproof hatte ich noch LimitLoginAttempts, aber auch nur, weil LimitLoginAttemps einfach schon vorher da war^^
Liebe Grüße -
Hallo
Was für Sicherheitsprobleme wurden denn gelöst? Wenn sie gelöst wurden, brauchst du das Plugin ja eventuell gar nicht mehr.
funnyweb schrieb:
Dieser etwas frustrierende Zustand lässt mich die Meinung vertreten, dass auf die Dauer die Nutzung dieses Plugins untragbar ist. Noch weniger tragbar wäre selbstverständlich, die Seite ungeschützt den Bombardements internationaler Hacker, die Server aus St. Petersburg nutzen, auszuliefern.
Was für Bombardements denn? Da werden entweder Sicherheitslücken von alten WP Versionen ausprobiert oder Standardpasswörter beim Login eingegeben. Wenn dein Benutzer nicht "Admin" heißt, bist du eigentlich schon 99,999% der Login Angriffe los. Wenn dein Passwort " oder % beinhaltet auch noch die restlichen 0,001%.
Core-Updates werden jetzt automatisch gemacht, sodass du auch da kaum was zu befürchten hast. Wenn du dann noch die Standardpfade änderst, SSL erzwingst und mit .htaccess schützt, dann hat es sich wohl ausgehackt. Da dann noch ein extra Plugin drüberzubügeln schafft meiner Meinung nach eher neue Sicherheitslücken, aber das sieht wohl jeder anders.
Viele der angeworbenen Features dieser Plugins sind Einzeiler in der Konfigurationsdatei oder im Plugin und für .htaccess Einträge braucht man meiner Meinung nach auch kein Plugin. Sorgen würde ich mir eher gerade wegen der Plugins machen. Ist es nicht so, dass ein Großteil der geglückten Angriffe auf Sicherheitslücken in Plugins oder Themes zurückzuführen ist? Da gab es doch mal eine Studie des BSI.
mfg
-
voloya schrieb:
Damit meine ich dauerhafte Probleme wie z. B. Angriffe (s. o.)
Hallo
Was für Sicherheitsprobleme wurden denn gelöst? Wenn sie gelöst wurden, brauchst du das Plugin ja eventuell gar nicht mehr.
Inkompetenterweise bin ich nicht der einzige Administrator, sondern es gibt noch mindestens drei Weitere, die diese Rechte eigentlich gar nicht nötig hätten. Das liegt an dem gutmütigen aber auf andere Sachen als Sicherheit und Internet konzentrierten etwas älteren Herrn, dem die Webpräsenz gehört und für den ich mit den anderen die Webseite pflegen soll. Das macht die ganze Sache alles andere als einfach. Better WP security verhindert jegliche Aktualisierung über das Backend, sodass alles überaltert und unsicher wird. Dummerweise bin ich der einzige Admin, der sich kümmert, und ich habe keinen FTP-Zugang, der Besitzer hat wohl keine Zeit, mir die erforderlichen Daten zu übermitteln. Ein hoffnungsloser Fall.funnyweb schrieb:
Dieser etwas frustrierende Zustand lässt mich die Meinung vertreten, dass auf die Dauer die Nutzung dieses Plugins untragbar ist. Noch weniger tragbar wäre selbstverständlich, die Seite ungeschützt den Bombardements internationaler Hacker, die Server aus St. Petersburg nutzen, auszuliefern.
Was für Bombardements denn? Da werden entweder Sicherheitslücken von alten WP Versionen ausprobiert oder Standardpasswörter beim Login eingegeben. Wenn dein Benutzer nicht "Admin" heißt, bist du eigentlich schon 99,999% der Login Angriffe los. Wenn dein Passwort " oder % beinhaltet auch noch die restlichen 0,001%.
Das alternative Plugin suche ich nur für meine eigene Seite, da besteht natürlich ein vernünftiges Passwort und nur ein einziger Admin, der einen anderen Username und eine andere UID hat.
Das ist wahr, WP sollte so eine Erkennung von zu vielen 404-Aufrufen und anderen Sicherheitsmaßnahmen von Haus aus mitbringen.
Core-Updates werden jetzt automatisch gemacht, sodass du auch da kaum was zu befürchten hast. Wenn du dann noch die Standardpfade änderst, SSL erzwingst und mit .htaccess schützt, dann hat es sich wohl ausgehackt. Da dann noch ein extra Plugin drüberzubügeln schafft meiner Meinung nach eher neue Sicherheitslücken, aber das sieht wohl jeder anders.
Viele der angeworbenen Features dieser Plugins sind Einzeiler in der Konfigurationsdatei oder im Plugin und für .htaccess Einträge braucht man meiner Meinung nach auch kein Plugin. Sorgen würde ich mir eher gerade wegen der Plugins machen. Ist es nicht so, dass ein Großteil der geglückten Angriffe auf Sicherheitslücken in Plugins oder Themes zurückzuführen ist? Da gab es doch mal eine Studie des BSI.
mfg
EDIT: Meiner Meinung nach sind diese ganzen Sicherheitsplugins einfach nur überladen. Ich habe WordFence und Bulletproof Security getestet und bin zu dem Schluss gekommen, dass sie einfach nur das Risiko eines RAM-Crashs erhöhen und datenschutztechnisch Nachteile mit sich ziehen. Deswegen installiere ich jetzt Better WP Security, um Grundprobleme zu lösen und deaktiviere es danach direkt wieder, um dann ein minimalistisches Plugin für einzelne Funktionen wie z. B. failed login attempts zu installieren.
Beitrag zuletzt geändert: 24.2.2014 10:06:51 von funnyweb -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
