plugin-icon

Bastora Security Audit

De Bastora·
Ehrlicher 52-Punkte-Sicherheits-Check für WordPress. Prüft, härtet die wichtigsten Stellen automatisch und tritt zur Seite, wenn ein anderes Sicherhei …
audit
Brute Force
hardening
Valoraciones
Añadir una valoración
Versión
0.2.3
Última actualización
Jun 10, 2026
Bastora Security Audit

Bastora ist ein ehrlicher WordPress-Sicherheits-Check. Statt tausend Schalter ohne Erklärung prüft Bastora Deine Installation gegen einen festen Katalog aus 52 Sicherheitspunkten und zeigt Dir das Ergebnis als Klartext-Ampel direkt in Deinem Dashboard.

Bastora unterscheidet sich von anderen Sicherheits-Plugins in drei Punkten:

  1. Ehrliche Außensicht. Bastora prüft Deine Seite so, wie ein Bot sie sieht: Versionslecks im HTML, offene Verzeichnis-Listen, fehlende Security-Header, sichtbare Endpoints. Die meisten anderen Plugins prüfen nur ihre eigene Konfiguration.
  2. Konflikt-erkennende Auto-Härtung. Härtungen sind ab Werk aktiv. Bastora prüft, ob ein anderes Sicherheits-Plugin (Wordfence, Solid Security, AIOS, Limit Login Attempts und andere) denselben Punkt schon übernimmt, und tritt elegant zur Seite, statt einen Konflikt zu bauen.
  3. Null Konfiguration. Installieren, aktivieren, einmal „Sicherheitsprüfung starten» klicken, fertig. Bastora richtet sich selbst ein.

Was Bastora prüft

  • Zugangssicherheit (11 Punkte): HTTPS-Login, Brute-Force-Schutz, Salt-Keys, geteilte Konten, Login-Verhalten
  • Systemabsicherung (10 Punkte): Datei-Editor, Verzeichnis-Listings, wp-config-Sperre, Debug-Modus, Dateirechte, Revisionen
  • Informationsschutz (10 Punkte): Generator-Tag, RSD-Link, WLW-Manifest, XML-RPC, REST-API-Benutzer, Pingbacks, X-Powered-By
  • Security-Header (5 Punkte): X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, HSTS
  • Pingbacks (2 Punkte): ausgehende und eingehende Pingbacks
  • Auto-Updates (7 Punkte): nächtlicher Schutz, Minor-/Major-Auto-Updates, Plugin-/Theme-Auto-Updates, verwaiste Erweiterungen
  • Monitoring und Betrieb (7 Punkte): Transients, Revisions-Cleanup, Captcha, WordPress-Version, PHP-Version, /uploads/-PHP-Sperre, Sicherheits-Plugin-Status

Was Bastora härtet (wenn kein Konflikt erkannt wird)

  • WordPress-Version aus HTML und RSS-Feed entfernt
  • RSD-Link und WLW-Manifest entfernt
  • Login-Shake-Effekt deaktiviert
  • Login-Fehlermeldung verallgemeinert (verrät nicht mehr, welche Benutzer existieren)
  • Author-Seiten umgeleitet (verhindert das Aufzählen von Benutzernamen)
  • XML-RPC abgeschaltet (außer ein konkurrierendes Plugin übernimmt das schon)
  • Pingback-XML-RPC-Methoden gesperrt
  • REST-API-Endpoint /users für nicht eingeloggte Anfragen gesperrt
  • Application Passwords deaktiviert
  • Login-Honeypot: verstecktes Formularfeld in der Login-Maske, das Bots ausfüllen und sich damit als Bot zu erkennen geben
  • Brute-Force-Schutz mit IP-Sperre: 5 Fehlversuche 30 Minuten Sperre. Bei wiederholten Sperren: Eskalation auf 4 Stunden, dann 24 Stunden. Zähler setzt sich nach erfolgreichem Login zurück. IPv6 wird auf dem /64-Präfix gesperrt. Cloudflare- und Reverse-Proxy-IP-Erkennung ist eingebaut.

Konflikt-erkennend

Wenn eines der folgenden Plugins schon läuft, erkennt Bastora das und deaktiviert nur die überlappenden Bereiche:

  • Wordfence Security
  • Sucuri Security
  • Solid Security (früher iThemes)
  • All-In-One WP Security & Firewall
  • MalCare Security
  • WP Cerber Security
  • Limit Login Attempts Reloaded
  • Disable XML-RPC
  • Disable Application Passwords
  • Really Simple SSL
  • HTTP Headers

Im Dashboard siehst Du pro Härtung im Klartext, warum sie aktiv oder inaktiv ist.

Was Bastora bewusst **nicht** macht

  • Kein erzwungenes TOTP. Solopreneure sperren sich regelmäßig mit Authenticator-Apps aus. Bastora setzt stattdessen auf Brute-Force-Schutz, Rate-Limit und Anomalie-Erkennung.
  • Kein Verstecken der Login-URL. Eine umbenannte Login-URL macht den Passwort-Reset-Link in der Mail kaputt, sobald das Plugin deaktiviert wird. Rate-Limit plus Honeypot ist die saubere Lösung.
  • Keine Cloud-Verbindung ohne Zustimmung. Alle externen Verbindungen (auch Versions-Abgleich gegen wordpress.org) sind ab Werk aus. Sie schalten sich erst ein, wenn Du sie im Welcome-Wizard oder in den Einstellungen ausdrücklich freigibst.

Optionale anonyme Statistik (geplant, in dieser Version noch nicht aktiv)

Eine künftige Plugin-Version wird optionale anonyme Sicherheits-Telemetrie an bastora.de anbieten. In dieser Plugin-Version wird keine Telemetrie gesendet. Der Opt-in-Schalter speichert nur Deine Zustimmung für ein späteres Release. Wenn die Versand-Pipeline später live geht, würden ausschließlich folgende anonymisierten technischen Werte übertragen:

  • WordPress-, PHP- und MySQL-Versions-Strings
  • Locale (zum Beispiel de_DE)
  • Liste der installierten Plugin-Slugs (ohne Versionen)
  • Audit-Ergebnisse (welche der 52 Punkte sind rot, gelb, grün)
  • Eine zufällige anonyme Site-ID (UUID), lokal beim ersten Plugin-Start erzeugt

Was nie übertragen würde: Domain, URL, IP-Adressen, E-Mail-Adressen, Benutzernamen, Beitragsinhalte, Dateiinhalte.

Privacy

Externe Verbindungen

Bastora kontaktiert externe Server in zwei klar getrennten Fällen. Beide sind opt-in. Ab Werk macht das Plugin keine externen Verbindungen.

1. Versions-Abgleich gegen api.wordpress.org (opt-in)

Wenn Du im Welcome-Wizard oder in den Einstellungen „Versions-Abgleich erlauben» aktivierst, fragt Bastora bei einem manuellen Scan die api.wordpress.org nach:

  • der aktuellen WordPress-Core-Version: https://api.wordpress.org/core/version-check/1.7/
  • pro erkennbarem Plugin nach dessen letztem Update-Datum: https://api.wordpress.org/plugins/info/1.0/<slug>.json
  • pro erkennbarem Theme nach dessen letztem Update-Datum: https://api.wordpress.org/themes/info/1.2/?action=theme_information&request[slug]=<slug>

Das ist dieselbe API, die WordPress selbst für seine eigenen Update-Checks nutzt. Übertragen wird nur der Slug pro Plugin oder Theme. Keine Domain, keine Nutzerdaten, keine Besucher-IP. Die Abfragen laufen nur bei manuellem Klick auf den Scan-Button, nie automatisch im Hintergrund. Antworten werden 24 Stunden zwischengespeichert.

Wenn Du diesen Punkt nicht aktivierst, werden die update-relevanten Audit-Punkte als „nicht prüfbar» markiert und es geht keine Anfrage raus.

2. Anonyme Telemetrie an bastora.de (geplant, in dieser Version nicht aktiv)

Eine künftige Plugin-Version soll optionale anonymisierte Telemetrie an bastora.de anbieten. In dieser Plugin-Version ist diese Pipeline nicht implementiert — kein wp_remote_post, kein Payload, keine Übertragung an bastora.de findet im Code statt. Der Opt-in-Schalter in den Einstellungen speichert nur Deine Zustimmung für ein späteres Release.

Wenn die Versand-Pipeline in einem späteren Release live geht, würden die folgenden anonymisierten Werte übertragen:

  • WordPress-, PHP- und MySQL-Versions-Strings
  • Locale-Code (zum Beispiel de_DE)
  • Liste der installierten Plugin-Slugs (ohne Versionen)
  • Theme-Slug des aktiven Themes
  • Audit-Ergebnisse: pro Sicherheitspunkt der Status (passed / warning / failed)
  • Eine zufällige anonyme Site-ID (UUID), lokal beim ersten Plugin-Start erzeugt

Was nie übertragen würde: Domain, URL, IP-Adressen, E-Mail-Adressen, Benutzernamen, Beitragsinhalte, Dateiinhalte, Datenbankinhalte.

Datenschutzhinweis

Vollständige Datenschutzerklärung: https://bastora.de/datenschutz.php Verantwortliche Stelle laut Impressum: https://bastora.de/impressum.php

Gratisen planes de pago
Comenzar
Al instalarlo, aceptas las condiciones del servicio de WordPress.com y las condiciones de los plugins de terceros.
Probado hasta
WordPress 7.0
Te puedes descargar este plugin para utilizarlo en tu sitio de .
Descargar