Mehr Sicherheit mit Wordfence, Lupe mit Logo

WordPress: Mehr Sicherheit mit Wordfence

Wenn Sie unsere Tipps für mehr Sicherheit in Ihrer WordPress-Installation beachtet haben, sind Sie bereits gegen einen Großteil böswilliger Attacken auf Ihre Seite geschützt. Als Administrator wollen Sie aber möglicherweise noch für ein zusätzliches Plus an Sicherheit und Kontrolle sorgen, denn eine Garantie, dass alle Redakteure sichere Passwörter verwenden oder dass trotz sorgfältiger Auswahl nicht doch bald eine Sicherheitslücke in einem installierten Plugin ausgenutzt wird, gibt es leider nicht.

Das Security-Plugin Wordfence, welches mit über 14 Mio. Downloads zu einem der beliebtesten seiner Art gehört, enthält mehrere Module, die für zusätzliche Sicherheit sorgen können, darunter die integrierte Firewall, einen File-Scanner, um Änderungen an den WordPress-Core-Files feststellen zu können, sowie Live-Traffic-Funktionalität. Die Firma Wordfence veröffentlicht zudem regelmäßig Updates, sodass davon ausgegangen werden kann, dass das Plugin nicht eines Tages selbst zur Sicherheitslücke wird.

Bereits die kostenlose Version von Wordfence bietet einen umfassenden Schutz, es existiert jedoch auch noch eine Premium-Version, die zusätzliche Extras für den Anwender bereithält.

Integrierte Firewall

Mit Hilfe der Firewall lässt sich die Ausführung von Schadcode teilweise verhindern. So werden beispielsweise SQL Injections, Cross Site Scripting (XSS) oder schädliche Uploads erkannt. Eine Liste aktueller Bedrohungen wird dabei über den „Threat Defense Feed“ bezogen. Allerdings wird dieser für Nutzer der freien Version um 30 Tage verzögert ausgeliefert.

Geänderte Core-Files erkennen

Der Wordfence Scan vergleicht den Quellcode der originalen WordPress-Core-Files mit den Dateien der eigenen Installation und stellt so Änderungen fest. Kompromittierte Dateien können so leicht erkannt und bei Bedarf wieder in den Ursprungszustand zurück versetzt werden. Dabei ist zu beachten, dass auch falsch positive Meldungen vorkommen können, z.B. wenn das deutsche statt dem englischen Sprachpaket installiert ist. Diese Dateien lassen sich aber einfach per Mausklick ignorieren.

Wordfence am Scannen

Wordfence scannt…

In der Premium-Version lässt sich der Scanner außerdem zu manuell festgelegten Zeiten starten, was gerade bei viel besuchten Seiten mit reichlich Traffic zu bestimmten Uhrzeiten Performance-Vorteile bringen kann.

Ausführungsplan für den Wordfence Scan

Ausführungsplan für den Wordfence Scan

Traffic live mitverfolgen

Über Wordfence lässt sich außerdem der Traffic einer Seite, sortiert nach Datum und gefiltert nach Land oder Art des Nutzers (Mensch, Bot, Crawler), mitverfolgen. Unerwünschte IP-Adressen können vom Besuch der Seite abgehalten oder am Login gehindert werden, in der Premium-Version können auch ganze Länder blockiert werden.

Zudem können auch Regeln definiert werden, um z.B. ganze Domains, Browser oder IP-Bereiche auszuschließen.

Weitere Funktionen

Daneben bietet Wordfence eine Reihe weiterer, nützlicher Funktionen, z.B.:

  • Spamfilter
  • Benachrichtigungen bei Problemen
  • Performance-Optimierung mittels Caching-Engine
  • Premium: Prüfen, ob IP der Seite Spam generiert oder als Spamverteiler gelistet ist
  • Premium: Benachrichtigung an Nutzer unsicherer Passwörter
  • Premium: Zwei-Faktor-Authentifizierung mittels Mobiltelefon

Fazit

Wordfence bietet bereits in der freien Version umfassenden Schutz, um gegen typische Angriffe auf WordPress-Installationen gewappnet zu sein. Wer viel Traffic auf seiner Seite hat, sollte auch über ein Upgrade auf die Premium-Version nachdenken.

Natürlich darf man sich mit der Installation eines Security-Plugins nicht in falscher Sicherheit wiegen. Doch wer Wordfence installiert und dazu noch ein paar simple Regeln beachtet hat, schläft bereits deutlich erholsamer.

Benötigen Sie Unterstützung bei der Installation oder haben Sie ein Sicherheitsproblem – wir unterstützen Sie.

TYPO3 Verstärkung gesucht! Bewirb dich jetzt.

Kommentar hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.