Wordfence – Vernünftige Sicherheit für WordPress

Sicherheit ist so ein Thema, das im WordPress Core grob vernachlässigt wird. Ohne entsprechende Plugins läuft da nichts. Dies betrifft sowohl Brute Force Attacken auf das Login, als auch Kommentar-Spam. Mit viel Fleiß könnte man sich zumindest manuell um den Spam kümmern, aber gegen Brute Force kann man nichts machen (wenn man es dann überhaupt mitbekommt). Akismet ist in der Regel das erste was ich nach der Installation lösche, danach habe ich in der Regel die Antispam Bee, Limit Login Attempts und WP Antivirus installiert.

Allen diesen Lösungen ist gemeinsam, das sie erst im Nachhinein eine Entscheidung treffen. Also zu einem Zeitpunkt an dem WordPress einen entsprechenden Hook zum Eingreifen anbietet. Seit geraumer Zeit setze ich aus diesem Grund Wordfence ein, das sich grundlegend von allen bekannten Sicherheitslösungen unterscheidet, indem es eine Firewall VOR WordPress setzt. Hierzu muss ein Skript entweder in die .htaccess oder in die index.php von WordPress eingebunden werden. In der Regel geht das automatisch, je nach Hoster muss man allerdings auch manuell eingreifen.

Was macht Wordfence jetzt so besonders? Es telefoniert nachhause! Was sich eigentlich schlimm anhört (und dank Akismet eh jeder macht) ist in diesem Fall höchst sinnvoll da alle WordFence untereinander vernetzt sind. Passiert irgendwo was Dummes block Wordfence, obwohl der Angriff ganz woanders stattgefunden hat.

IP Blacklist aus dem Threat Defense Feed
IP Blacklist aus dem Threat Defense Feed

Dummerweise funktioniert WordFence in der Pro-Version für 99$ im Jahr bzgl. Kommentar-Spam erst so richtig gut. In der Regel installiere ich deswegen die Antspam Bee weiterhin parallel. Limit Login Attempts und Antivirus lasse ich dafür weg. Und wer nicht glaubt das sich in Sachen WordPress und Brute Force wirklich was bewegt, hier eine kleine Grafik von meinem Dashbaord:

Wordfence Attacks Blocked
Wordfence Attacks Blocked

Das Plugin hat ziemlich viele Einstellungen, in der Regel lasse ich alles auf Default stehen. Ihr könnt viele Werte ändern, und wenn ihr euch unsicher seit lasst einfach die Finger davon. Man kann auch Sicherheitsplugins so konfigurieren, das sie nicht mehr sicher sind ;) Wenn ihr überhaupt noch nichts in dieser Richtung am Start habe, gebt Gas!

Ähnliche Beiträge

Und WordPress ist doch optimierbar! Mit der Einführung der „Website-Leistung“ in den Google Webmaster-Tools startete unter den Bloggern ein Wettbewerb um die schnellste Seite. Zumal die ...
Font Awesome in den Advanced Custom Fields von Wor... Gab es ein Leben vor Font Awesome? Es gibt kaum eine Seite die den Webfont nicht benutzt. Genau sowenig gibt es noch eine WordPress-Seite die ohne die...
Foobars für WordPress Als ich letztens das Template Gewinnspiel durchgeführt habe ist mir einmal mehr klar geworden, dass Gewinnspiele in dieser Form in WordPress nicht son...
Die XML-RPC Schnittstelle von WordPress WordPress besitzt seit dem Anbeginn aller Tage eine XML-RPC-Schnittstelle, die nicht immer den aktuellsten Sicherheits-Szenarien entsprach. Es war nie...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.