Und dann war ja doch Thorsten Landsiedels Blog Beitrag auf den ich noch eine Antwort schuldig bin: http://torstenlandsiedel.de/2016/12/16/warum-ich-keine-all-in-one-sicherheitsplugins-mag/
Angefangen hatte alles mit einem Tweet:
Oha. Wenn so eine krasse Aussage von Thorsten kommt, dann werde ich hellhörig. Auf dem WP-Camp Berlin 2012 hatte Er einen (damals durch aus kontrovers diskutierten) Vortrag zum Thema WordPress Sicherheit gehalten und mich mit damit angefixt. Sicherheit und Administraton war bis dahin schon mein Tagesgeschäft auf der Mac Seite. Das WordPress gleichermaßen einen Pflegebedarf hat, war mir bis dahin nicht in den Sinn gekommen.
Schön, dass er deshalb meiner Bitte nach etwas mehr Ausführlichkeit nachkam.
Nach aufmerksamer Lektüre des Blogbeitrags bleibt von der pauschalen Kritik an iThemes Security allerdings nicht viel übrig. Grundsätzlich richtig ist allerdings: “Das beste Werkzeug ist ein Tand in eines tumben Toren Hand.” Ich habe es die Tage unlängst selbst wieder erlebt: nur mal eben das PlugIn installieren hilft halt nichts. Und willkürlich ein paar Haken reinsetzen leider auch nichts.
Was ich dennoch an solchen Security Suites wie z.B. dem von iThemes mag:
- Ein komplettes Paket, das viele potentielle Lücken adressiert wird von der Performance nicht schlechter sein, als viele kleine, die jeweils für sich ein einzelnes Thema bedienen.
- Wer sich in Sicherheit gründlich einarbeitet, kann jede Absicherung die iThemes Security bietet auch auf andere, direktere Art realisieren. Insbesondere für die zahlreichen Einträge in der .htaccess braucht es nicht zwingend ein PlugIn. Aber “for the rest of us” ist es einfach, hilfreich und vor allem transparent es mit wenigen Klicks zu konfigurieren.
- Ein Security PlugIn ist ein Security PlugIn ist ein Security PlugIn. Und Backup ist ein anderes Thema. Ebenso wie Spamabwehr. Die Tatsache das rudimentäre Funktionen dafür auch in iThemes Security stecken, heißt nicht, das man sie nutzen muss. Am ehesten kann man hier noch als Entschuldigung gelten lassen: besser als gar nichts.
Den Kern der Kritik in Thorstens Blogbeitrag “ohne gesundes Wissen hilft kein PlugIn” teile ich uneingeschränkt. Das gilt für Security und Administraton ebenso, wie für SEO, Performance oder Content Marketing. Nur ein PlugIn zu installieren ist and der Stelle ebenso gut, worauf Wunderheilungen zu hoffen.
Den Rant auf Twitter, der alles ins Rollen brachte sehe ich schon durch seinen eigenen ausführlichen Beitrag als relativiert an.