Zwölf Angriffssensoren, 4-Faktor-2FA und ein Echtzeit-Netzwerk zur Erkennung von Community-Bedrohungen. Schützen Sie drei Websites für 14,90 € pro Monat – das sind nur 4,97 € pro Domain, und die Kosten pro Website sinken weiter, je mehr Sie hinzufügen. Open-Source-Kern, in der EU gehosteter Relay-Server, keine Kosten für den Schutz selbst.
Möchtest du die kostenlose Version lieber selbst hosten? Lade Hive auf GitHub herunter – voller Schutz vor Ort, keine Anmeldung erforderlich.
Für jeden Angriffsvektor, der eine WordPress-Website trifft, gibt es einen eigenen Sensor mit einstellbaren Schwellenwerten. Keiner davon benötigt das Community-Netzwerk – sie alle arbeiten im Local-Shield-Modus.
| Sensor | Standardschwellenwert | Was es auffängt |
|---|---|---|
| Fehlgeschlagene Anmeldungen | 5 / 15 min | Brute-Force-Schutz für wp-login, REST und XML-RPC. |
| Passwort-Spray | 5 verschiedene Benutzernamen / 10 Min. | Hash-basierte Erkennung von Angreifern, die verschiedene Benutzernamen ausprobieren. |
| Kommentarspam | 5 / 60 min | Automatische Erkennung von Spam in Kommentarformularen. |
| Missbrauch von XML-RPC | 10 / 60 min | System.Multicall-Amplifikation + wiederholte wp.getUsers werden separat erfasst. |
| Missbrauch von App-Passwörtern | 5 / 15 min | Versuche, REST/XML-RPC-Sicherheitsmaßnahmen zu umgehen, um an Anwendungskennwörter zu gelangen. |
| REST-API-Ratenbegrenzung | 240 global / 20 empfindlich / 5 Min. | Öffentliche REST-Flood-Schwachstelle mit Umgehung der Benutzerauthentifizierung. |
| Benutzerauflistung | Erste Sondenblöcke | ?author=, /wp-json/wp/v2/users, oEmbed-Offenlegung. |
| Scanner / 404 | 12 / 2 Min. + sofort bei bekannter Fehlerquelle | .env, wp-config.bak, /.git/, Plugin-Pfade. |
| Geografische Anomalie | Erstes Vorkommen | Ein neues Land oder ein neuer Kontinent löst eine neue 2FA-Abfrage aus. |
| Passwortrichtlinie | Konfigurierbar | Länge, Zeichenklassen, optionale HIBP-K-Anonymitätsprüfung. |
| WooCommerce-Anmeldung | 5 / 15 Min. (separat) | Die Seiten „Mein Konto“ und „Zur Kasse“ werden separat erfasst. |
| Endpunkte für die Einwilligung | Wird immer umgangen | Real Cookie Banner, Complianz, Borlabs, CookieYes – bereits integriert. |
Alle vier Methoden sind im Kern enthalten. TOTP, E-Mail und WebAuthn funktionieren in jedem Tarif, einschließlich des kostenlosen Tarifs; der SMS-Versand läuft über unseren verwalteten EU-Relay-Server (ab dem Professional-Tarif enthalten). Hinzu kommen 10 Einmal-Wiederherstellungscodes, Unterstützung für vertrauenswürdige Geräte (automatische Sperrung bei geografischen Anomalien) und ein Passwort-Reset-Gateway, das eine E-Mail-unabhängige 2FA erfordert, bevor ein neues Passwort akzeptiert wird.
Authentifizierungs-App
Zeitbasierte Codes, die auch offline funktionieren. Kompatibel mit Google Authenticator, Authy, 1Password und Microsoft Authenticator. Geheimnisse werden im Ruhezustand verschlüsselt. RFC 6238.
6-stelliger Code
Wechselt auf die lokale Einstellung wp_mail() Wechselt in Local Shield bei Pro+ zu einem verwalteten Relais, um eine garantierte Zustellung zu gewährleisten. Ratenbegrenzt, mit Hash-Speicher.
Verwaltete EU-Relaisstation
reportedIP (ab Professional-Tarif) – nur in der EU, im Rahmen einer unterzeichneten Datenschutzvereinbarung (DPA). Geografisch eingeschränkte Whitelist (29 Länder). Telefonnummern werden verschlüsselt.
Passwort / Hardware-Schlüssel
Phishing-resistent. Face ID, Touch ID, Windows Hello, YubiKey. RS256 + ES256, mit oder ohne Attestierung. Keine externen Abhängigkeiten.
Ein gestohlener Briefkasten sollte nicht als Generalschlüssel für Ihre WordPress-Seite dienen. Hive schützt den Ablauf zur Passwortwiederherstellung mit derselben 2FA-Sperre wie den Login – und der Wiederherstellungskanal (E-Mail) wird von den zulässigen Methoden ausgeschlossen, da der Link zum Zurücksetzen des Passworts selbst per E-Mail versendet wird.
E-Mail-Adresse von der Zurücksetzung der 2FA ausgeschlossen
Ein kompromittiertes E-Mail-Konto kann nicht als zweiter Faktor dienen. Der Link zum Zurücksetzen und die 2FA-Bestätigung müssen über unterschiedliche Kanäle erfolgen – TOTP, Passkey, SMS oder ein Einmal-Wiederherstellungscode.
Zweistufiger WordPress-Hook
Zweimal ausgeführt – einmal beim Laden des Reset-Formulars, einmal bei password_reset. Ein direkter POST-Aufruf an das Reset-Formular ohne verifiziertes Token führt dazu, dass WP_Error sofort.
An Benutzer + Schlüssel + IP gebunden
Der Transient für den verifizierten Reset ist auf die Benutzer-ID, den gehashten Reset-Schlüssel und die gehashte Client-IP beschränkt. Er wird bei der ersten Verwendung verbraucht und läuft nach 10 Minuten ab.
Keine separate Brute-Force-Oberfläche
Fehlgeschlagene Versuche, die Passwort-Zurücksetzung durchzuführen, führen zu derselben IP-Drosselung, die bereits wp-login.php. Optionale Sperre für Konten, die nur über E-Mail-2FA verfügen – inklusive Benachrichtigung des Administrators.
Standardmäßig ist die Verbindung vollständig unterbrochen. Die Teilnahme am Community-Netzwerk ist freiwillig und niemals verpflichtend.
Alle 12 Sensoren und die gesamte 2FA-Suite laufen lokal auf Ihrem eigenen Server. Keine externen Aufrufe, keine Telemetrie, kein API-Schlüssel.
Standardmäßig nach der Installation. Kann jederzeit geändert werden.
IP-Reputationsabfragen vor der Autorisierung anhand der öffentlichen Datenbank. Erkennung koordinierter Angriffe über Tausende von Websites hinweg. Anonymisierte Berichte werden zurückgemeldet, sodass jeder Angriff das Netzwerk intelligenter macht.
Ein kostenloses Konto bei reportedip.de ist erforderlich. Für immer kostenlos.
Wir kümmern uns um die Details, damit Sie Ihre Entscheidung nicht vor einem Datenschutzbeauftragten rechtfertigen müssen.
Nur die IP-Adresse des Angreifers, ein Tag zur Bedrohungskategorie (failed_login, comment_spam, usw.) sowie einen Zeitstempel. Keine Benutzernamen, keine Kommentartexte, keine Anforderungsdaten, keine User-Agents. Das Netzwerk muss wissen dass eine IP-Adresse wurde angegriffen, nicht wie oder wer. Für die Weiterleitung von E-Mails und SMS werden ausschließlich in der EU ansässige Unterauftragsverarbeiter im Rahmen einer unterzeichneten Datenschutzvereinbarung eingesetzt.
Drei Schutzebenen, jeweils auf der entsprechenden Stufe – Fehlerverfolgung bei „Free“, themenbezogene Frontend-2FA bei „Professional“ und vollständige White-Label-Integration bei Business“.
Fehlgeschlagene Kundenanmeldungen bei /my-account/ und Missbrauch des Checkout-Formulars werden demselben Brute-Force-Zähler wie Versuche bei wp-login gutgeschrieben – bei jedem Tarif, einschließlich des kostenlosen Tarifs. Hooks: woocommerce_login_failed und woocommerce_checkout_login_form_failed_login.
Der zweite Faktor wird in Ihrem aktiven Theme dargestellt. Kein wp-login-Bouncer, kein Umweg über „Bei wp-admin anmelden, um zu verifizieren“. Kundenselbstbedienung über einen konfigurierbaren Setup-Slug (Standard reportedip-hive-2fa-setup) – niemals im Inneren /wp-admin/. Der Status des Warenkorbs und des Bezahlvorgangs bleibt auch nach der Weiterleitung erhalten; das Cookie für vertrauenswürdige Geräte wird mit dem wp-login-Ablauf geteilt.
White-Label-Onboarding-Assistent, themenbezogene E-Mail-Vorlagen und Überprüfung von Abonnements/Mitgliedschaften. Agenturen vertreiben Hive unter ihrer eigenen Marke – Kunden sehenReportedIPerst auf der Seite für Support-Eskalationen.
Die meisten Sicherheits-Plugins werden pro Website lizenziert. Hive wird pro Tarif lizenziert – je mehr Websites Sie betreiben, desto günstiger wird der Preis pro Website. Alle Preise verstehen sich inklusive 19 % MwSt.
| Plan | Preis | Websites | € / Domain | Highlights |
|---|---|---|---|---|
| Kostenlos | 0€ | 1 | 0€ | Alle 12 Sensoren + 2FA, Local Shield |
| Professionell | 14,90 €/Monat | 3 | 4.97€ | Verwalteter E-Mail-/SMS-Relay, Hardening-Modus |
| Business | 39 € pro Monat | 15 | 2.60€ | White-Label, vollständige WP-CLI-Unterstützung, DSGVO-konformer Export |
| Unternehmen | ab 99 €/Monat | unbegrenzt | — | Maßgeschneiderte AVV, individuelles Onboarding |
Jeder Sensor und jede 2FA-Methode ist im Open-Source-Kern integriert und bleibt kostenlos. Kostenpflichtige Tarife umfassen die verwaltete E-Mail-/SMS-Zustellung, Lizenzen für mehrere Standorte und höhere API-Kontingente – niemals jedoch die Sicherheit selbst. Der Relay-Dienst läuft auf Sub-Prozessoren, die ausschließlich in der EU angesiedelt sind und einer unterzeichneten DPA unterliegen. Bei jährlicher Abrechnung sparen Sie 17 % (149 €/Jahr für den Professional-Tarif, 389 €/Jahr Business).
Der Schutz ist in allen Tarifen identisch. Die kostenpflichtigen Tarife bieten zusätzlich verwaltete E-Mail-/SMS-Weiterleitung, Lizenzen für mehrere Standorte und höhere API-Kontingente – niemals jedoch den Schutz selbst. Alle Preise verstehen sich inkl. 19 % MwSt.
Das Hive-Plugin ist dauerhaft kostenlos und Open Source. Die kostenpflichtigen Tarife bieten zusätzlich verwaltete 2FA-E-Mail- und SMS-Weiterleitung, die Verwaltung mehrerer Websites sowie höhere API-Kontingente.
Lokaler Schutz, dauerhaft kostenlos
Einzelentwickler und kleine Websites
14-tägige Geld-zurück-Garantie. Jederzeit kündbar.
Agenturen, WooCommerce, White-Label
14-tägige Geld-zurück-Garantie. Jederzeit kündbar.
Enthält die Stufen „Contributor“ und „Enterprise“ sowie die vollständige Vergleichstabelle der Funktionen.
Entwickelt für Freiberufler und Agenturen, die mehr als eine WordPress-Website betreuen.
Kein Composer, kein Build-Schritt, keine externen Abhängigkeiten. Der Einrichtungsassistent führt Sie durch alle Schritte.
Laden Sie die neueste ZIP-Datei von GitHub Releases herunter. Alle Tarife – vom kostenlosen bis Business – basieren auf derselben Version.
Im WP-Admin-Bereich: Plugins → Neu hinzufügen → Plugin hochladen. Wähle die ZIP-Datei aus und aktiviere das Plugin. Der 9-stufige Einrichtungsassistent wird automatisch gestartet.
Wähle „Local Shield“ oder „Community Network“. Aktiviere die 2FA-Rollen. Fertig. Automatische Updates über den GitHub Plugin Update Checker (PUC v5.6+).
Dies betrifft speziell das WordPress-Plugin. Bei plattformübergreifenden Fragen lesen Sie bitte die allgemeinen FAQ.
Ja. Hive wird netzwerkweit aktiviert und erfasst Angriffe auf Einzelstandorten, wobei optional eine globale Blockliste im gesamten Netzwerk gemeinsam genutzt werden kann. Die Mehrstandortlizenz (Hive Pro = 3 Standorte, Business 15 Standorte) legt fest, wie viele unabhängige Standorte den verwalteten E-Mail-/SMS-Relay nutzen können.
Hive wird mit dem Plugin Update Checker (PUC v5.6+) ausgeliefert. Das Plugin überprüft alle 12 Stunden die GitHub-Releases. Wenn du einen neuen vX.Y.Z Sobald das Tag gesetzt ist, erstellt eine GitHub-Action die ZIP-Datei, und das WordPress-Dashboard zeigt das Update wie jedes andere Plugin von WordPress.org an.
Nein. Sensorzähler nutzen einen Objekt-Cache (Redis, sofern verfügbar) mit Zugriffszeiten im Millisekundenbereich. Antworten der Reputation-API werden lokal mit ETag-Unterstützung zwischengespeichert, um Credits zu sparen. Das Admin-Dashboard wird bei Bedarf geladen, niemals im Frontend.
Ja. Alle Plugin-Verwaltungs- und Anmeldeseiten werden automatisch vom Seiten-Cache ausgeschlossen. Die Überprüfung der Reputation erfolgt serverseitig, bevor WordPress die Seite rendert, sodass zwischengespeicherte Seiten unverändert ausgeliefert werden. Wir führen bei jeder neuen Version Tests mit WP Rocket durch.
Ja. Jede Listentabelle (Blockierte IPs, Whitelist, Protokolle, API-Warteschlange, 2FA-Raster) unterstützt den Export als CSV- und JSON-Datei über die Admin-Oberfläche. WP-CLI-Befehle decken dieselben Vorgänge zur Automatisierung ab (vollständiges WP-CLI bei Business).
Die auf dieser Seite dokumentierte Vollversion wird über GitHub Releases bereitgestellt und ist die komplette Sicherheitssuite: zwölf Sensoren, 2FA mit vier Methoden, Multisite, WooCommerce-Integration, stufenbasierte Preisgestaltung, verwalteter E-Mail-/SMS-Relay. Hive Light ist der fokussierte Brute-Force-Login-Schutz auf WordPress.org: keine 2FA, keine Stufen, kein Upselling. Wählen Sie eine Variante – installieren Sie niemals beide nebeneinander. Die Dokumentation zur Light Edition finden Sie unter /docs/wordpress-plugin-light/.
Die Richtlinien für Plugins auf WordPress.org verbieten Upselling, verwaltete kostenpflichtige Weiterleitungen und stufenbasierte Multi-Site-Lizenzen – allesamt Funktionen, auf die die Full Edition setzt. Anstatt die Full Edition zu beschneiden, um sie diesen Regeln anzupassen, veröffentlichen wir auf wp.org eine fokussierte Light Edition, damit Gelegenheitsnutzer Hive mit einem Klick über „Plugins → Neu hinzufügen“ installieren können. Beide Plugins haben dieselben Autoren, dasselbe Sicherheitsmodell und nutzen dieselbe zugrunde liegende Community Network API.
Ja. Deaktivieren Sie Hive Light, installieren Sie die ZIP-Datei der Vollversion von GitHub und aktivieren Sie sie anschließend. Beide Versionen verwenden dieselbe wp_reportedip_hive_* Tabellenpräfix; die Vollversion erweitert das Schema idempotent und behält Ihre bestehenden Versuche, gesperrten IP-Adressen, Whitelist und Warteschlange bei. Die Einstellungen sind größtenteils kompatibel – die Vollversion bietet viele neue Optionen, deren Standardwerte einfach denen der Vollversion entsprechen.
Der Schutz ist niemals kostenpflichtig: Alle zwölf Sensoren und alle vier 2FA-Methoden sind im Open-Source-Kern enthalten und in jedem Tarif dauerhaft kostenlos. Bezahlte Tarife (Professional 14,90 €/Monat, Business €/Monat) bieten zusätzliche Komfortfunktionen – verwaltete 2FA-E-Mail- und SMS-Zustellung, Lizenzen für mehrere Websites (3 oder 15 Domains pro Lizenz), höhere API-Kontingente, Hardening-Modus, White-Label und vollständiges WP-CLI. Alle Preise inkl. 19 % MwSt.
Die kostenlose Version können Sie unbegrenzt nutzen. Für die kostenpflichtigen Tarife gilt eine freiwillige 14-tägige Geld-zurück-Garantie (gemäß § 12 unserer AGB, ausgenommen bereits verbrauchte SMS- oder E-Mail-Paketguthaben), und Sie können jederzeit über das Dashboard kündigen.
Drei Websites für 14,90 € pro Monat – 4,97 € pro Domain. Verwaltete 2FA-Bereitstellung, Lizenzen für mehrere Websites und Hardening-Modus. 14-tägiges Geld-zurück-Garantie, jederzeit kündbar.
