Die Vorteile von Sucuri sind, dass es einen guten Malware Scanner hat und es zu keinen Performance-Problemen kommt, da die Hauptarbeit remote passiert. Der Nachteil ist, dass es keine kostenlose Firewall gibt.
Nach der Installation wird die Website gleich gescannt, es empfiehlt sich unter “Scanner” alle “Scheduled Tasks” zu aktivieren, dadurch wird regelmäßig nach Schadsoftware gescannt.
Bei “Hardening” sollte man folgende Einträge aktivieren: “Avoid Information Leakage”, “Disable Plugin and Theme Editor”, “Block PHP Files in WP-CONTENT/WP-INCLUDES Directory” . Dadurch wird verhindert, dass Dateien direkt über WordPress manipuliert werden können. Werden bestimmte Plugins wie z.B.: Caching oder Backup, geblockt, kann man die geblockten Dateien bei “Hardening”, mit der Angabe des Dateipfades entsperren.
Es empfiehlt sich bei “Alerts” eine eigene E-Mail-Adresse einzugeben wie z.B: security@mydomain.com und die meisten “Security Alerts” zu deaktivieren. Wichtig sind die Hinweise:
- Receive email alerts for changes in the settings of the plugin
- Use WordPress functions to send mails
- Allow redirection after login to report the last-login information
- … website settings are updated”
- … file is modified with theme/plugin editor
- … plugin is activated
- … theme is activated
Bei den “Recommendations” sollte man zwei Zeilen der .htaccess-Datei im Root-Verzeichnis erweitern, um XSS-Attacken vorzubeugen und Security Headers richtig zu setzen.
Header set X-XSS-Protection “1, mode=block”
Header set X-Content-Type-Options nosniff
Um gleich zu überprüfen, ob die Einstellungen in Ordnung sind, kann man bei “General Settings” > “Data Storage” die Datei “sucuri-sitecheck.php” löschen. Danach sieht man auf dem “Dashboard” vom Sucuri-Security-Plugin nach einem Reload unter “Recommendations” die beiden Einträge nicht mehr aufgelistet.
Weitere Empfehlungen wären, nicht mit einem “admin”-Benutzerkonto sondern ein “editor”-Konto zu arbeiten und ungenutzte Plugins und Themes zu löschen.