Fluent Auth – das ultimative WordPress Security Plugin
Inhaltsverzeichnis
Ich erstelle WordPress Webseiten, die verkaufen seit 2017 und lege großen Wert auf Sicherheit und Datenschutz.
Es gibt übrigens noch einen detaillierten Blogartikel darüber, wie ein Hackerangriff aussehen kann und was ich emfpehle.
Definition
Als Security Plugin nutze ich zum Beispiel FluentAuth von WPManageNinja, den Entwicklern von FluentCRM, WPSocialNinja und FluentForms.
Vorteile / Nachteile
Schutz vor Brute-Force-Angriffen
Nur 1 Plugin für komplette Security Bereich (je weniger Plugins, desto besser für die Pagespeed)
Anmeldung per E-Mail möglich (Fastlogin / Magic Link)
2 Faktor Anmeldung über E-Mail (ich hätte mir eine App oder SMS gewünscht)
Preis
Fluent Auth ist komplett kostenlos.
Es kostet also 0 Euro. Ein absolutes Schnäppchen!
Newsletter abonnieren
Wenn dir der Artikel gefällt, dann abonniere doch meinen Newsletter.
Ich lese für dich den langweiligen DSGVO Mist und erzähle dir nur das, was du wirklich wissen musst.
Außerdem erfährst du immer, wenn ich neue Tools teste oder Anleitungen erstelle.
Einrichtung / Features von Fluent Auth
Die Einrichtung von Fluent Auth ist wirklich einfach.
SMTP Plugin einrichten
Allerdings funktioniert es nur, wenn deine WordPress Webseite auch E-Mails verschicken kann und dafür brauchst du bei den meisten Hostern ein SMTP Plugin. Sonst sperrst du dich bei den meisten Hostern einfach selbst aus deiner Webseite aus.
Ich empfehle Fluent SMTP oder WP Mail SMTP.
Die Taube sieht ein ganz kleines bisschen bekifft aus, aber das ist ja kein Entscheidungskriterium für gute Plugins.
Worauf ich achte, wenn ich Plugins installiere:
Eine hohe Anzahl aktiver Installationen (da mache ich nur Ausnahmen, wenn Entwickler, die ich sehr schätze, ein neues Plugin entwickeln) und die letzte Aktualisierung. Je länger die Aktualisierung zurückliegt, desto höher ist die Wahrscheinlichkeit, dass eine Sicherheitslücke vorliegt.
Fluent Auth Menü
Es gibt zunächst einen Hinweis, dass man das Plugin noch einstellen muss. Das finde ich besonders wichtig, denn als Webdesignerin weiß ich inzwischen, dass etliche meiner Kunden das sonst nicht tun, weil sie denken, nach der Installation läuft das Plugin von alleine.
Login-Versuche begrenzen
Blockiere übermäßige Anmeldeversuche und schütze deine Website vor Brute-Force-Attacken.
Brute-Force-Methode
“Die Brute-Force-Methode bzw. Methode der rohen Gewalt, auch Exhaustionsmethode, ist eine Lösungsmethode für Probleme aus den Bereichen Informatik, Kryptologie und Spieltheorie, die auf dem Ausprobieren aller möglichen Fälle beruht. Sowohl der Begriff erschöpfende Suche, als auch vollständige Suche sind in Gebrauch.” Wikipedia
Also im Klartext: hier versucht sich jemand, durch schnödes Ausprobieren Zugriff zu deiner Webseite oder deinem Account zu verschaffen.
Du kannst selbst festlegen, nach wie vielen Versuchen, das Plugin den jeweiligen User aussperren soll (natürlich nicht für immer).
Die Sperrzeiten lassen sich einfach konfigurieren.
Zwei-Faktor-Anmeldung
Eine weitere wichtige Barriere, um einen Hackerangriff zu verhindern, ist die WordPress 2-Faktor-Authentifizierung. Die kann man bei Fluent Auth über E-Mail einstellen.
2-Faktor-Authentifizierung
“Die Zwei-Faktor-Authentisierung, häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten.” Wikipedia
Also im Klartext: Du loggst dich über eine Login-Passwort-Kombination ein und gibst dieses Login über einen zweiten Faktor frei. Also über einen Link per E-Mail oder eine App (wie OTP Auth oder die TAN App deiner Bank).
Noch sicherer ist die Anmeldung über eine App oder SMS, denn die E-Mail-Adresse ist eine der zentralen Sicherheitsschwachstellen in jeder Firma.
Überlege dir bitte mal kurz, auf einer Skala von 1-10, wie schlimm es wird, wenn jemand deine Mailadresse hackt. Auf wie vielen Kanälen kann er/Sie dann deine Passwörter und Zugänge zurücksetzen?
Ein Plugin, dass die 2-FA-Authentifizierung über eine App regelt, wäre “Two Factor Authentication” (mehr dazu weiter unten bei den Alternativen).
Fastlogin: Magic Login per E-Mail
Deine User oder Kunden können sich nur per E-Mail anmelden. Sie müssen kein Passwort eingeben.
Sie geben einfach ihre E-Mail-Adresse ein und bestätigen die Anmeldung über einen Link. Eine sichere, verschlüsselte und zeitlich begrenzte direkte Anmelde-URL wird an ihr E-Mail-Postfach geschickt, damit sie sich anmelden können.
Auf diese Art und Weise kannst du dich zum Beispiel auch bei Real Cookie Banner anmelden.
Soziale Anmeldung / Registrierung
Das ist definitiv eine Funktion für den amerikanischen Markt, auf dem die DSGVO nur eine irre europäische Erfindung ist.
Denn auch wenn es für deine User gegebenenfalls sehr komfortabel sein könnte, sich nur über einen Account einzuloggen und damit alles und überall nutzen zu können – das verstößt komplett gegen das Prinzip der Datensparsamkeit. Denn genau so werden die Daten deiner Nutzer bei Google oder Facebook aggregiert. Es ist über diese Funktion möglich, zu wissen, wo sie sich zu welchem Zeitpunkt anmelden.
Das geht einfach niemanden etwas an!
Meine Empfehlung: Finger weg von dieser Funktion!
Webseiten erstellen, die verkaufen
In den letzten Jahren habe ich unzählige Webseiten gemeinsam mit Kunden erstellt.
Die Grundlage war immer dieses Buch.
Weil es der perfekte rote Faden für dein Webseiten-Projekt ist. Ausführlich genug, um deine Webseite zu erstellen, aber eben keine 1000-Seiten-Beschäftigungstherapie. Denn du willst ja nicht Webdesigner werden.
Dynamische Login-Umleitungen
Eine meiner liebsten Funktionen ist die Weiterleitung nach Anmeldung.
Damit lässt sich unfassbar viel Schabernack treiben. Du kannst etwa eine Landingpage mit einem speziellen Angebot erstellen und zwischenschalten.
Das Beste: Du kannst die Umleitungen abhängig von den Rollen der User konfigurieren. Du kannst also alle Admins ins Backend schicken und alle Kunden auf eine spezielle Landingpage oder etwa die “Konto” Seite.
Und das komplett ohne Programmierkenntnisse.
Detaillierte Audit-Logs & Security E-Mail-Alerts
Lass dir einfach die fehlgeschlagenen Anmeldeversuche per E-Mail schicken. So hast du immer den Überblick darüber, wie viele Nutzer sich in einem bestimmten Zeitraum auf deiner Website angemeldet haben.
Die Audit Logs kannst du konfigurieren, wie du sie brauchst.
Ich zeige dir mal die Einstellungen für eins meiner letzten Projekte: Da habe ich mit einer externen SEO Agentur zusammen gearbeitet, die sich nicht an mein Briefing gehalten hat und deswegen die Webseite abgeschossen hatte…
So konnte ich dann sehen, wenn sie in der Webseite war und für meinen Kunden nachkontrollieren, ob noch alles ok war.
Verbesserung der Kernsicherheit
XML-RPC ist das größte Ziel für WordPress-Angriffe, und 99% der Websites brauchen das nicht. Deaktiviere XML-RPC, Remote Application Login und schütze die wp-users-Liste für REST API.
Superschnelle Lösung
Fluent Auth ist mit der Anforderung programmiert, die Seite nicht langsamer zu machen.
Dieses Plugin wurde mit den neuesten Technologien wie WordPress REST-API, VueJS V3, Vue-Router und Element-Plus für den Aufbau der Benutzeroberfläche entwickelt. Für die Speicherung der Audit-Logs verwendet Fluent Auth benutzerdefinierte Datenbanktabellen, damit sie nicht mit den Standard-WordPress-Datenbanktabellen durcheinander kommen.
Support
Zum Support von Fluent Auth kann ich leider nichts sagen, aber ich habe den Support von Fluent CRM inzwischen so oft angeschrieben, dass ich hier einen großen Vertrauensvorsprung einräumen würde.
DSGVO
Es werden Audit-Logs gespeichert und per E-Mail verschickt.
Speicherung der Audit-Logs
Die Logs werden in benutzerdefinierte Datenbanktabellen auf deinem Server abgespeichert. Solange dein Server also in der EU liegt und deine Datenbanken nicht gehackt sind, ist das eine völlig DSGVO-konforme Lösung.
E-Mail Versand der Audit-Logs
Achte beim Versand der Audit-Logs genau darauf, über welchen Dienst du die Logs verschickst und wo die Mail-Server liegen.
- Verschickst du über deinen Hoster, sollte der einen europäischen E-Mail-Server haben (am besten kurz den Support anfragen).
- Deine E-Mails dürfen auf deiner Festplatte gespeichert werden, das verstößt nicht gegen die DSGVO. Aber achte bitte darauf, dass dein Laptop eine Zugangssperre über Passwort hat.
- Die Backups deines Laptops sollten in dem Fall auf einer externen Festplatte oder einem DSGVO-konformem Server liegen.
Gerade beim Versand über E-Mails bedenkt eigentlich kaum jemand, dass die Mails über den Laptop oder die Backups wieder frei zugänglich sein könnten, wenn man das nicht aktiv verhindert.
Alternativen
Andere Security Plugins, die die Funktionen von Fluent Auth teilweise übernehmen:
Two Factor Authentication
Das WordPress 2FA Plugin wurde von den Entwicklern von Updraft Plus entwickelt.
Ich nutze das Plugin vor allen Dinge für Webseiten, die kritische Daten speichern wie Shops oder Seiten mit eigener Online-Kurs Plattform. Denn da reicht mir der Login via E-Mail nicht. Vor allem, wenn die Zahlungsdaten der Kunden gespeichert werden.
In dem Fall ist es mir lieber, wenn die Authorisierung über eine externe App wie OTP Auth erfolgt.
Limit Login Attempts Reloaded
Das Brute Force Tool sorgt dafür, dass Attacken sicher verhindert werden, indem es nach mehreren falschen Passwort-Eingaben den User einfach für eine festgelegte Zeit sperrt und das auch per E-Mail an den Admin meldet.
Ob du Limit Login Attempts oder Fluent Auth als WordPress Brute Force Plugin ist sicher Geschmackssache.
Fazit
Fluent Auth ist ein solides Security Plugin, das ich uneingeschränkt weiter empfehlen kann.
Das könnte dich auch interessieren...
- All
- Bloggen
- Buch
- Coaching
- DSGVO
- Elementor
- Newsletter
- Online Kurse
- Podcast erstellen
- Podcastfolge
- Praxisbeispiele
- SEO
- Strategie
- Terminbuchung
- Tools
- Verkaufen
- Verkaufsprozess
- WordPress
Webseite für Texterin
Onepager: Alles was du über die Mini-Webseite wissen musst
Rankmath: Ist es das beste WordPress SEO Plugin für SEO Optimierung?
Ich bin Mareike Schamberger: Die Frau hinter #TeamStreber.
Ich bin Webdesignerin, Autorin und Expertin für das strategische Verkaufen im Internet mit über 15 Jahren Berufserfahrung.
Wenn es darum geht, die DSGVO auf deiner Webseite alltagstauglich umzusetzen, bist du hier richtig! Statt aufzuzählen, was alles nicht geht, teste ich Tools und suche Lösungen, die in der Praxis funktionieren.
Ich liebe es, Webseiten zu erstellen, die verkaufen. Deshalb habe ich dazu auch ein Buch geschrieben.
Werbehinweis (Links mit Sternchen*)
Achtung: Affiliate-Link. Wenn du das verlinkte Produkt kaufst, bekomme ich eine Provision. Für dich ändert sich nichts am Preis. Nur für’s Protokoll: Ich stelle hier nur Produkte vor, die sich für mich in der Praxis bewährt haben.
Willst du eine Webseite, die verkauft?
Dazu brauchst du Kunden!
Abonniere meinen kostenlosen Newsletter mit exklusiven Tipps und Angeboten rund um “Webseiten, die verkaufen”, Kundengewinnung, Verkaufsprozesse und Online-Marketing.
Als Willkommens-Geschenk erhältst du mein E-Book “10 Gesetze für Webseiten die verkaufen”.
*Du kannst dich jederzeit mit einem Klick wieder abmelden.
Ich versende etwa 2-4 Mails im Monat. Ich analysiere meine Newsletter Kampagnen, um dir nur relevante Informationen zu senden, detaillierte Information in der Datenschutzerklärung.
