Wordfence für WordPress professionell einrichten

Wordfence für WordPress professionell einrichten

Sobald Ihr Server online erreichbar ist, versuchen permanent unzählige automatisierte Bots Schäden aller Art anzurichten. Wordfence Security ist mit über 3 Millionen Installationen die führende Sicherheitslösung für WordPress. Und sollten Sie es nicht installiert haben (oder kein annähernd äquivalentes anderes Paket), dann ist Ihre Website massiv in Gefahr. Oder bereits gehackt und infiziert.

Welche Wordfence Version nehmen?

Wordfence gibt es in einer kostenfreien Community Edition und einer aufpreispflichtigen Premium Version. Welche Version Sie benötigen, hängt von vielen Faktoren ab. Sie können grundsätzlich mit der Community Edition beginnen, diese sehr sauber konfigurieren, den Bedrohungsumfang analysieren, die Einstellungen laufend warten und erweitern. Und später entscheiden, ob noch umfangreicherer Schutz notwendig ist. 

Wenn Sie eine viel besuchte Website betreiben und viele Mitarbeiter im Unternehmen beschäftigen, sollten Sie die Premium Version im Budget unterbringen.

Kann Wordfence jeder einrichten?

Theoretisch kann man das Plug-in mit seinen Voreinstellungen installieren und laufen lassen, man verzichtet halt dadurch auf wesentliche Vorteile dieser Sicherheitslösung. Wordfence orientiert sich schon an ausgebildete IT Sicherheitstechniker, die mit projektbezogenen Feinjustierungen Wordfence dabei helfen, seine Arbeit zu verrichten. 

Was macht Wordfence?

Zu den wichtigsten Funktionen gehören unter anderem:

  • Regelmäßige Sicherheitsscans gegen Infizierungen aller Art
  • Eine Firewall, die anhand mehrerer Dutzend Regeln etwa die Ausführung von schadhaftem Code unterbinden soll
  • Wordfence blockiert je nach Einstellung ungültige Anmeldeversuche
  • Es bremst Bots, die in sehr kurzer Zeit hintereinander den Webserver mit Anfragen bombardieren
  • Es kann so konfiguriert werden, dass IP-Adressen mit bekannten Angriffsmethoden permanent gesperrt werden

Was sollte der Fachmann einrichten?

Jedes automatisierte Sicherheitssystem lebt davon, dass man ihm mitteilt, worauf es achten soll und wonach es suchen soll. Dazu gehört bei Wordfence (und ähnlichen Systemen) unter anderem:

  • Pflege von URL Listen mit Aufrufen, die von Angreifern auf bekannte Schwachstellen häufig genutzt werden. Wenn es sich um Plug-ins handelt, die bei Ihnen gar nicht installiert sind, können Sie solche Aufrufe sofort blocken.
  • Einen Honeypot legen. Wenn Sie der Betreiber von maxmustermann.com sind, dann sollte es die Benutzer maxmustermann und Administrator in Ihrer Installation nicht geben. Und jeder Anmeldeversuch unter diesen beiden Namen kann somit sofort blockiert werden.
  • Blockfilter anlegen. Es kehrt deutlich Ruhe am Server ein, wenn man die bekannt unsäglichen IP-Netzwerke, Referrer und vor allem User Agents als benutzerdefinierte Kriterien definiert. 

Reicht Wordfence als alleiniger Schutz aus?

Aus der Praxis gesprochen: heutzutage leider meistens nicht. Wordfence kann nur den Webserver und die WordPress Installation so gut wie möglich schützen, aber natürlich nicht verhindern, dass der Webserver und Wordfence mit Anfragen belastet werden.

Denial of Service (DoS) Angriffe und vor allem die besonders heiklen Distributed Denial of Service (DDoS) Attacken sollten Sie auf einer Ebene darunter abfangen und unterbinden.

Welche weiteren Möglichkeiten gibt es?

Grundsätzlich stellt sich immer die Frage, welche Möglichkeiten auf Betriebssystem- & Panel-Ebene in Ihrem Hosting Paket enthalten sind. Und wie viel Ihr Hosting Provider unternimmt, damit Verfügbarkeitsattacken erst gar nicht Ihren Server erreichen.

Wordfence lässt sich gut mit fail2ban kombinieren, wenn man versucht, das Risiko von DDoS Attacken zu minimieren. Über eine zusätzliche Firewall auf Betriebssystemebene sollte man ohnehin alles unterbinden, was nicht zwingend benötigt wird.

Fazit zu Wordfence

Vor allem im kommerziellen Bereich grenzt es an Fahrlässigkeit, WordPress ohne Wordfence (oder vergleichbares Produkt) zu verwenden. Sicherheitssysteme sollten von erfahrenen Technikern installiert, konfiguriert und regelmäßig gewartet werden. Vollständige Sicherheit kann es nicht geben, denn Angreifer sind den Verteidigern immer einen Schritt voraus. Und das Böse lauert immer und überall.