Joel Burghardt 20. Juli 2022 4 Minuten Lesezeit

In den diversen WordPress Gruppen kommt immer wieder die Frage eines möglichen Schutzes einer WordPress-Installation auf. Während wir zum Thema WordPress Security bereits einiges geschrieben haben, gehen wir heute auf Wordfence detaillierter ein und beschreiben warum NinjaFirewall die bessere Alternative darstellt.

Geschützt: Wordfence vs NinjaFirewall Wordfence vs Ninjafirewall
Eine Firewall alleine reicht nicht

Schreibrechte, regelmäßige Updates, Benutzerrechte, getrennte Konten bei dem Webhoster (wie z.B. All-Inkl) und vieles Mehr spielt hier ebenso eine Rolle.

Kritik an Wordfence – vor allem in der Freeversion

Wordfence selbst schreibt in seiner englischsprachigen Hilfeseite zur Freeversion folgendes:

Wordfence vs NinjaFirewall Wordfence erst nach Tagen Signaturen
Erst 30 Tage verzögert kommt jedes Wordfence-Regel-Update bei den Free-Nutzern an.

Wordfence Premium users received a new firewall rule on March 16, 2020 to protect against exploits targeting both the original vulnerability and the newly discovered flaws. Free Wordfence users received this rule on April 15, 2020.

https://www.wordfence.com/blog/2020/04/high-severity-vulnerabilities-patched-in-learnpress/

Eigenschaften, die gegen Wordfence sprechen

Warum ist Wordfence datenschutzrechtlich relevant?

e-recht24.de schreibt dazu:

Um Brute-Force- und DDoS-Angriffe zu erkennen, speichert Wordfence die IP-Adressen der User. Dafür setzt es 3 verschiedene First-Party-Cookies. Unbedenklich eingestufte IP-Adressen setzt die Software auf eine White List. Bedenkliche IP-Adressen landen auf einer Blacklist. Wordfence versendet die gesammelten Daten an seine Server in den USA.

Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

https://www.e-recht24.de/dsg/12759-wordfence.html
Wir raten alleine schon deshalb vom Einsatz ab

Bei den Wordfence-Posts kann man gut sehen, dass Wordfence sofort bei Seitenbesuch die kompletten IP-Adressen (es gibt einen wfsync Aufruf pro Webseitenaufruf) verarbeitet und in die USA übersendet.

Gibt es weitere Kritik zu Wordfence?

Ja, Damian Strobel schrieb schon 2019 einen Artikel über Wordfence mit einem ausführlichen Sicherheitstest. Sein Fazit:

Ich hab in wenigen Stunden simple Angriffsmethoden auf eine produktive WordPress Seite mit Wordfence getestet. Primitive Angriffe werden gut abgewehrt. Sobald die Lücke etwas komplexer ist, scheitert Wordfence. Sich nur auf Wordfence zu verlassen – vor allem als Unternehmen – ist schon durchaus riskant. In meiner täglichen Arbeit begegnen mir eben diese Fälle, in denen man den Verantwortlichen eingeredet hat, dass Wordfence das Gelbe vom Ei ist und die dann bitter merken, dass dem eben nicht so ist.

Zusätzlich hab ich hier eine (!) Methode gezeigt, wie man den Scanner von Wordfence austricksen kann. Das habe ich gemacht, weil viele denken, dass Wordfence mit einem Scan alle Backdoors und Malware findet und man dann sicher ist.

[..] Ich hab die gleichen Angriffe auf Ninja Firewall durchgeführt und konnte feststellen, dass über alle genannten Wege die Angriffe erfolgreich blockiert wurden. [..] Wenn ich etwas empfehlen soll, dann würde ich jetzt ganz klar „Ninja Firewall“ empfehle. Da hat man auf jeden Fall mehr von.

https://www.damianstrobel.de/content/schuetzen-wordfence-ithemes-security-meine-wordpress-seite-so-gut-wie-alle-behaupten-nein

Das ist bei NinjaFirewall nicht der Fall!

Die NinjaFirewall arbeitet im Full WAF Mode generell wesentlich effizienter und besser.
Wir und andere arbeiten auf sehr viele Webseiten mit NinjaFirewall. Diese arbeitet soweit recht zuverlässig und lässt sich einfach per .htninja und PHP-Kenntnissen erweitern.

Wie kann man Wordfence deinstallieren?

Da viele Einträge in der Datenbank sowie einige Dateien auf dem Webserver nach der Deinstallation und Entfernung von Wordfence vorhanden bleiben, empfehlen wir die Nutzung vom Wordfence Assistant zur Bereinigung. Danach sind noch ein paar Dateileichen auf dem FTP vorhanden, aber der Großteil ist gelöscht.

Wirkt sich eine Firewall auf die Performance aus?

Wordfence wirkte sich bislang stärker auf die Performance aus, als ein schlankes effizientes NinjaFirewall. Performance kostet zwar jede Sicherheitslösung, Wordfence macht aber bis zu 7 Datenbankabfragen pro Aufruf, was eine Menge ist.

Wie sollte ich die NinjaFirewall installieren und konfigurieren?

Dazu hat Daniel Ruf eine PDF mit Bildanleitung auf GitHub veröffentlicht. Eine entsprechende Konfiguration kann dort ebenso heruntergeladen werden.

Fazit:

Lies Dir die Anleitung zu NinjaFirewall durch, lade die Konfiguration in das Plugin und richte danach die Login Protection der NinjaFirewall ein. Dein WordPress sollte mit NinjaFirewall laufen, nicht mit Wordfence. Solltest Du noch keine Firewall nutzen, dann starte damit heute.

Du hast noch Fragen zur NinjaFirewall?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Wir teilen unser Wissen insbesondere bei den Themen

GutenbergMarketingPagespeedSEOWebentwicklungWordPress