In den diversen WordPress Gruppen kommt immer wieder die Frage eines möglichen Schutzes einer WordPress-Installation auf. Während wir zum Thema WordPress Security bereits einiges geschrieben haben, gehen wir heute auf Wordfence detaillierter ein und beschreiben warum NinjaFirewall die bessere Alternative darstellt.
Schreibrechte, regelmäßige Updates, Benutzerrechte, getrennte Konten bei dem Webhoster (wie z.B. All-Inkl) und vieles Mehr spielt hier ebenso eine Rolle.
Der Vergleich
Wordfence
Vorteile:
- Bietet ein breites Spektrum an Funktionen wie Firewall, Malware-Scanner, Login-Sicherheit, Live-Verkehrsüberwachung und mehr.
- Bekannt für seine benutzerfreundliche Oberfläche und umfassende Sicherheitslösung, die auch von Personen mit wenig technischem Wissen einfach zu verwenden ist.
Nachteile:
- Verzögerte Updates: In der kostenlosen Version werden Sicherheitsupdates und Signaturen 30 Tage nach Identifizierung der Schwachstelle veröffentlicht. Dies kann die Benutzer für eine gewisse Zeit verletzlich machen.
- Datenbankgröße: Wordfence kann unnötig die Größe der Datenbank der Website erhöhen, was den Server potenziell verlangsamen kann.
- Schwierigkeit bei der Entfernung: Einige Benutzer berichten von Schwierigkeiten, Wordfence von ihrer Website zu entfernen. Es hinterlässt Daten auf dem Server und der Datenbank.
- Mögliche Sicherheitslücken: Aufgrund der großen Menge an Code könnte Wordfence potenzielle Programmierfehler haben, die zu Sicherheitslücken führen könnten.
- Datenschutzbedenken: Wordfence speichert IP-Adressen von Benutzern, um Brute-Force- und DDoS-Angriffe zu erkennen. Diese IP-Adressen, die als personenbezogene Daten gelten, werden an Server in den USA gesendet, was zu möglichen Datenschutzbedenken führt.
- Leistung: Wordfence kann die Leistung der Website beeinträchtigen, da es mehrere Datenbankabfragen pro Besuch durchführt.
NinjaFirewall
Vorteile:
- Leichtgewicht: NinjaFirewall ist leichter und berichten zufolge effizienter als Wordfence und hat weniger Auswirkungen auf die Leistung der Website.
- Angriffsblockierung: Es wurde gelobt, dass es erfolgreich komplexe Angriffe blockiert.
- Erweiterbar: Es kann mit PHP-Kenntnissen und der .htninja-Datei erweitert werden.
- Benachrichtigung: Gute E-Mail Benachrichtigung sowie im Dashboard Highlights von Sicherheitsupdates
Nachteile:
- Weniger bekannt: NinjaFirewall ist weniger bekannt als Wordfence, was einige Benutzer abschrecken könnte.
- Ansonsten sind uns keine Nachteile bekannt.
Kritik an Wordfence – vor allem in der Freeversion
Wordfence selbst schreibt in seiner englischsprachigen Hilfeseite zur Freeversion folgendes:
Wordfence Premium users received a new firewall rule on March 16, 2020 to protect against exploits targeting both the original vulnerability and the newly discovered flaws. Free Wordfence users received this rule on April 15, 2020.
https://www.wordfence.com/blog/2020/04/high-severity-vulnerabilities-patched-in-learnpress/
Eigenschaften, die gegen Wordfence sprechen
- Signaturen & Sicherheitsupdates werden erst 30-Tage nach Bekanntwerden der Lücke geschlossen. Nutzer hängen oft hilflos in der Luft.
- Wordfence müllt die Datenbank unnötig voll, was zu einem Anstieg der Datenbankgröße führen kann und ggf auch den Datenbankserver in die Knie zwingen kann.
- Das Entfernen von Wordfence stellt viele Nutzer vor großen Herausforderungen. Es lässt Daten auf dem Server und der Datenbank liegen.
- Wordfence selbst enthielt in der Vergangenheit einige Schwachstellen, die letzte in Version 7.1.12
- Benötigt eine DSGVO-Vereinbarung (IP-Adressen werden ggf nicht gekürzt gespeichert)
- Wordfence enthält extrem viel Code und somit potentiell mehr Programmierfehler = Sicherheitslücken
Warum ist Wordfence datenschutzrechtlich relevant?
e-recht24.de schreibt dazu:
Um Brute-Force- und DDoS-Angriffe zu erkennen, speichert Wordfence die IP-Adressen der User. Dafür setzt es 3 verschiedene First-Party-Cookies. Unbedenklich eingestufte IP-Adressen setzt die Software auf eine White List. Bedenkliche IP-Adressen landen auf einer Blacklist. Wordfence versendet die gesammelten Daten an seine Server in den USA.
https://www.e-recht24.de/dsg/12759-wordfence.html
Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten erfüllen.
Bei den Wordfence-Posts kann man gut sehen, dass Wordfence sofort bei Seitenbesuch die kompletten IP-Adressen (es gibt einen wfsync Aufruf pro Webseitenaufruf) verarbeitet und in die USA übersendet.
Gibt es weitere Kritik zu Wordfence?
Ja, Damian Strobel schrieb schon 2019 einen Artikel über Wordfence mit einem ausführlichen Sicherheitstest. Sein Fazit:
Wordfence getestet. Primitive Angriffe werden gut abgewehrt. Sobald die Lücke etwas komplexer ist, scheitert Wordfence. Sich nur auf Wordfence zu verlassen – vor allem als Unternehmen – ist schon durchaus riskant. In meiner täglichen Arbeit begegnen mir eben diese Fälle, in denen man den Verantwortlichen eingeredet hat, dass Wordfence das Gelbe vom Ei ist und die dann bitter merken, dass dem eben nicht so ist.
Zusätzlich hab ich hier eine (!) Methode gezeigt, wie man den Scanner von Wordfence austricksen kann. Das habe ich gemacht, weil viele denken, dass Wordfence mit einem Scan alle Backdoors und Malware findet und man dann sicher ist.
[..] Ich hab die gleichen Angriffe auf Ninja Firewall durchgeführt und konnte feststellen, dass über alle genannten Wege die Angriffe erfolgreich blockiert wurden. [..] Wenn ich etwas empfehlen soll, dann würde ich jetzt ganz klar „Ninja Firewall“ empfehle. Da hat man auf jeden Fall mehr von.
Ich hab in wenigen Stunden simple Angriffsmethoden auf eine produktive WordPress Seite mit
https://www.damianstrobel.de/content/schuetzen-wordfence-ithemes-security-meine-wordpress-seite-so-gut-wie-alle-behaupten-nein
Die NinjaFirewall arbeitet im Full WAF Mode generell wesentlich effizienter und besser.
Wir und andere arbeiten auf sehr viele Webseiten mit NinjaFirewall. Diese arbeitet soweit recht zuverlässig und lässt sich einfach per .htninja und PHP-Kenntnissen erweitern.
Wie kann man Wordfence deinstallieren?
Da viele Einträge in der Datenbank sowie einige Dateien auf dem Webserver nach der Deinstallation und Entfernung von Wordfence vorhanden bleiben, empfehlen wir die Nutzung vom Wordfence Assistant zur Bereinigung. Danach sind noch ein paar Dateileichen auf dem FTP vorhanden, aber der Großteil ist gelöscht.
Wirkt sich eine Firewall auf die Performance aus?
Wordfence wirkte sich bislang stärker auf die Performance aus, als ein schlankes effizientes NinjaFirewall. Performance kostet zwar jede Sicherheitslösung, Wordfence macht aber bis zu 7 Datenbankabfragen pro Aufruf, was eine Menge ist.
Weitere Vorteile der NinjaFirewall
NinjaFirewall updatet seine Erkennung direkt und ohne 30 Tage Verzögerung. Zudem informiert es per E-Mail über die aufgetretene Sicherheitslücke und warnt im Dashboard mit einem klaren Hinweis.
Wir nutzen Ninjafirewall jetzt auf 200+ Websites ohne größere Probleme. Probleme machen meist Einstellungen, die man vornimmt ohne erweiterte Kenntnisse. Es können z.B. Probleme mit Autorenprofilen aufkommen, wenn man diese in den Einstellungen sperrt. Ansonsten haben wir keine Probleme mit gehackten Kunden oder unseren Seiten, da die Firewall sehr zuverlässig warnt.
Im Verlauf des letzten Jahres haben wir eine umfangreiche Gruppe von WordPress-Sicherheitsplugins in zwölf separaten Tests untersucht, um ihre Effektivität gegen reale Schwachstellen, die in anderen Plugins existieren, zu bewerten. Dabei konnte NinjaFirewall in 50% der Fälle einen signifikanten Schutzgrad erzielen, während Wordfence Security lediglich in einem Drittel der Fälle schützend eingriff.
Darüber hinaus implementierten wir automatisierte Tests, um zu ermitteln, ob WordPress Firewall-Plugins denselben Angriffen standhalten können, gegen die unser eigenes Firewall-Plugin schützt. In diesen Tests zeigte NinjaFirewall einen Schutzgrad von 36,9% gegenüber den Angriffen, während Wordfence Security nur 20% erreichte.
Auch wenn ein Schutzanteil von einem Drittel auf den ersten Blick nicht überzeugend erscheint, bedeutet dies in der Praxis einen wirksamen Schutz vor einer Vielzahl von Angriffen. Allerdings ist die Effektivität gegen fortgeschrittene Hacking-Versuche geringer.
Während es scheint, dass wir die einzigen sind, die den tatsächlichen Sicherheitsumfang von WordPress Sicherheitsplugins bewerten, legen viele Nutzer Wert auf die Performance ihrer Websites. Hier wurde Wordfence Security mehrfach als Verursacher signifikanter Performance-Einbußen identifiziert. Unsere Testergebnisse belegen, dass NinjaFirewall einen besseren Schutz bietet, ohne dabei die Performance negativ zu beeinflussen oder den Speicherbedarf in dem Maße zu erhöhen wie Wordfence Security.
Für Nutzer, die auf der Suche nach einem kostenfreien WordPress Firewall-Plugin sind, empfiehlt sich NinjaFirewall nicht nur gegenüber Wordfence Security, sondern im Vergleich zu allen anderen kostenfreien Plugins. Unsere Tests belegen, dass NinjaFirewall einen sehr guten Schutz bietet, ohne zusätzliche Kosten zu verursachen.
https://www.pluginvulnerabilities.com/2022/10/31/ninjafirewall-vs-wordfence-security/
Wie sollte ich die NinjaFirewall installieren und konfigurieren?
Dazu hat Daniel Ruf eine PDF mit Bildanleitung veröffentlicht. Eine entsprechende Konfiguration kann dort ebenso heruntergeladen werden.
Lies Dir die Anleitung zu NinjaFirewall durch, lade die Konfiguration in das Plugin und richte danach die Login Protection der NinjaFirewall ein. Dein WordPress sollte mit NinjaFirewall laufen, nicht mit Wordfence. Solltest Du noch keine Firewall nutzen, dann starte damit heute.
Du hast noch Fragen zur NinjaFirewall?
Hallo,
danke für den tollen Beitrag. Der Link zu dem PDF mit der Anleitung etc. führt leider zu 404.
LG
Michél
Hallo Michél,
ist ersetzt – danke Dir 🙂
Besten Dank