Firewall in das Sicherheitskonzept einbinden

Firewall in das Sicherheitskonzept einbinden

Sobald Ihr neuer Server über eine IP-Adresse erreichbar ist, wird er auch bereits massenweise von Bots aus aller Welt angegriffen. Es ist also eine gute Idee, sofort eine Firewall einzurichten, nachdem das SSL Zertifikat erfolgreich implementiert wurde.

IPTABLES und die Bedienung

Firewall Lösungen am Server für WordPress Projekte basieren fast immer auf iptables, dessen Bedienung über Kommandozeile absoluten Linux Spezialisten vorbehalten ist. Wenn man ein Hosting Paket bucht, sollte man vorher sicherstellen:

  • Das Paket bietet überhaupt eine Firewall Lösung an.
  • Es gibt ein Administrator Panel, das die Konfiguration über eine grafische Benutzeroberfläche vereinfacht.

Dazu gehören Produkte wie Plesk, cPanel oder die Open Source Lösung Webmin. Wie einfach diese Lösung zu bedienen sind, darüber gibt es sehr unterschiedliche Meinungen.

Whitelisting für eigene permanente IP-Adresse

Obwohl die Konfiguration einer Firewall immer von einer Fachperson durchgeführt werden sollte, gehören Firewalls seit jeher zu gängigen Verfahren für Webmaster, um sich selbst auszusperren. Womit einer der ersten Schritte sein sollte, eine hochrangige Regel anzulegen, die einem selbst immer eine Hintertür offenlässt.

Wenn es nicht unbedingt erforderlich ist, sollte SSH komplett blockiert werden (oder zumindest auf die permanenten IP-Adressen beschränkt sein von jenen Personen, die mit der Betreuung beauftragt sind).

Alles zusperren, was nicht verwendet wird

Der nächste Schritt ist noch komplizierter und erfordert häufig ein Studium der Anleitung zur jeweiligen Umgebung. So kann eine Deaktivierung zu viel bedeuten, dass Sie Ihr Administrationspanel nur mehr eingeschränkt oder gar nicht mehr verwenden können. 

Reicht es, wenn die Firewall eingerichtet ist?

Nein, Sie konfigurieren die Firewall für das Zusammenspiel mit fail2ban und Wordfence. Schließlich müssen Sie bei jeder Firewall, sofern Sie nicht mit bereits erprobten Blocklisten von IP-Adressen arbeiten, zuerst einmal einen Zugriff auf z. B. den Webserver zulassen, um zu erkennen, ob das ein guter oder schlechter Zugriff ist.

Wenn Sie IP-Adressen zu großzügig aussperren, kann es sein, dass bestimmte Dienste oder Plug-ins nicht mehr funktionieren oder bestimmte menschliche Zugriffe Ihre Website nicht mehr erreichen. Außerdem ist eine herkömmliche Firewall nicht auf typische DDoS Angriffe vorbereitet.

Firewall gemeinsam mit fail2ban – alles sicher?

In Theorie ja, in der Praxis leider nicht ganz wirklich. Beide basieren auf iptables und können einander bei massiven Attacken in die Quere kommen. Eine sorgfältige Konfiguration beider Schutzmechanismen kann die Sicherheit deutlich erhöhen. Hundertprozentige Sicherheit gibt es leider nicht.

Improvisation beim Billig-Hoster

Vielleicht haben Sie, aus welchen Gründen auch immer, sich für ein Hosting Paket ohne Administrationspanel entschieden, das sie nur über die Kommandozeile warten können. Hier könnten Sie sich mit der Uncomplicated Firewall (Ufw) behelfen, die auch mit geringen Linux Kenntnissen einrichtbar ist.

Fazit zum Thema Firewall

Die Firewall gehört zu den ersten Schritten einer neuen Serverinstallation. Mit der einmaligen Installation ist es nicht getan, ihr Wirken bedarf Beobachtung, hartnäckige bösartige IP-Adressen & -Netzwerke sollten rasch blockiert werden. WordPress Betreiber kombinieren die Firewall idealerweise mit einer fail2ban Lösung und einer Wordfence Konfiguration.