In den diversen WordPress Gruppen kommt immer wieder die Frage eines möglichen Schutzes einer WordPress-Installation auf. Während wir zum Thema WordPress Security bereits einiges geschrieben haben, gehen wir heute auf Wordfence detaillierter ein und beschreiben warum NinjaFirewall die bessere Alternative darstellt.
Schreibrechte, regelmäßige Updates, Benutzerrechte, getrennte Konten bei dem Webhoster (wie z.B. All-Inkl) und vieles Mehr spielt hier ebenso eine Rolle.
Kritik an Wordfence – vor allem in der Freeversion
Wordfence selbst schreibt in seiner englischsprachigen Hilfeseite zur Freeversion folgendes:
Wordfence Premium users received a new firewall rule on March 16, 2020 to protect against exploits targeting both the original vulnerability and the newly discovered flaws. Free Wordfence users received this rule on April 15, 2020.
https://www.wordfence.com/blog/2020/04/high-severity-vulnerabilities-patched-in-learnpress/
Eigenschaften, die gegen Wordfence sprechen
- Signaturen & Sicherheitsupdates werden erst 30-Tage nach Bekanntwerden der Lücke geschlossen. Nutzer hängen oft hilflos in der Luft.
- Wordfence müllt die Datenbank unnötig voll, was zu einem Anstieg der Datenbankgröße führen kann und ggf auch den Datenbankserver in die Knie zwingen kann.
- Das Entfernen von Wordfence stellt viele Nutzer vor großen Herausforderungen. Es lässt Daten auf dem Server und der Datenbank liegen.
- Wordfence selbst enthielt in der Vergangenheit einige Schwachstellen, die letzte in Version 7.1.12
- Benötigt eine DSGVO-Vereinbarung (IP-Adressen werden ggf nicht gekürzt gespeichert)
- Wordfence enthält extrem viel Code und somit potentiell mehr Programmierfehler = Sicherheitslücken
Warum ist Wordfence datenschutzrechtlich relevant?
e-recht24.de schreibt dazu:
Um Brute-Force- und DDoS-Angriffe zu erkennen, speichert Wordfence die IP-Adressen der User. Dafür setzt es 3 verschiedene First-Party-Cookies. Unbedenklich eingestufte IP-Adressen setzt die Software auf eine White List. Bedenkliche IP-Adressen landen auf einer Blacklist. Wordfence versendet die gesammelten Daten an seine Server in den USA.
https://www.e-recht24.de/dsg/12759-wordfence.html
Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten erfüllen.
Bei den Wordfence-Posts kann man gut sehen, dass Wordfence sofort bei Seitenbesuch die kompletten IP-Adressen (es gibt einen wfsync Aufruf pro Webseitenaufruf) verarbeitet und in die USA übersendet.
Gibt es weitere Kritik zu Wordfence?
Ja, Damian Strobel schrieb schon 2019 einen Artikel über Wordfence mit einem ausführlichen Sicherheitstest. Sein Fazit:
Ich hab in wenigen Stunden simple Angriffsmethoden auf eine produktive WordPress Seite mit Wordfence getestet. Primitive Angriffe werden gut abgewehrt. Sobald die Lücke etwas komplexer ist, scheitert Wordfence. Sich nur auf Wordfence zu verlassen – vor allem als Unternehmen – ist schon durchaus riskant. In meiner täglichen Arbeit begegnen mir eben diese Fälle, in denen man den Verantwortlichen eingeredet hat, dass Wordfence das Gelbe vom Ei ist und die dann bitter merken, dass dem eben nicht so ist.
https://www.damianstrobel.de/content/schuetzen-wordfence-ithemes-security-meine-wordpress-seite-so-gut-wie-alle-behaupten-nein
Zusätzlich hab ich hier eine (!) Methode gezeigt, wie man den Scanner von Wordfence austricksen kann. Das habe ich gemacht, weil viele denken, dass Wordfence mit einem Scan alle Backdoors und Malware findet und man dann sicher ist.
[..] Ich hab die gleichen Angriffe auf Ninja Firewall durchgeführt und konnte feststellen, dass über alle genannten Wege die Angriffe erfolgreich blockiert wurden. [..] Wenn ich etwas empfehlen soll, dann würde ich jetzt ganz klar „Ninja Firewall“ empfehle. Da hat man auf jeden Fall mehr von.
Die NinjaFirewall arbeitet im Full WAF Mode generell wesentlich effizienter und besser.
Wir und andere arbeiten auf sehr viele Webseiten mit NinjaFirewall. Diese arbeitet soweit recht zuverlässig und lässt sich einfach per .htninja und PHP-Kenntnissen erweitern.
Wie kann man Wordfence deinstallieren?
Da viele Einträge in der Datenbank sowie einige Dateien auf dem Webserver nach der Deinstallation und Entfernung von Wordfence vorhanden bleiben, empfehlen wir die Nutzung vom Wordfence Assistant zur Bereinigung. Danach sind noch ein paar Dateileichen auf dem FTP vorhanden, aber der Großteil ist gelöscht.
Wirkt sich eine Firewall auf die Performance aus?
Wordfence wirkte sich bislang stärker auf die Performance aus, als ein schlankes effizientes NinjaFirewall. Performance kostet zwar jede Sicherheitslösung, Wordfence macht aber bis zu 7 Datenbankabfragen pro Aufruf, was eine Menge ist.
Wie sollte ich die NinjaFirewall installieren und konfigurieren?
Dazu hat Daniel Ruf eine PDF mit Bildanleitung auf GitHub veröffentlicht. Eine entsprechende Konfiguration kann dort ebenso heruntergeladen werden.
Lies Dir die Anleitung zu NinjaFirewall durch, lade die Konfiguration in das Plugin und richte danach die Login Protection der NinjaFirewall ein. Dein WordPress sollte mit NinjaFirewall laufen, nicht mit Wordfence. Solltest Du noch keine Firewall nutzen, dann starte damit heute.
Du hast noch Fragen zur NinjaFirewall?
