WordPress Sicherheit
Wie du deine Webseite mit der Ninja Firewall absicherst
Ich war lange Zeit ein großer Fan vom Sicherheitsplugin WP Cerber.
Leider wird es nicht mehr weiterentwickelt und bei WordPress auch gar nicht mehr angeboten. Bei einigen Webseiten hat es sogar regelrecht Probleme gemacht und kryptische Fehlermeldungen verursacht.
Wenn du auf deiner Webseite dieses Plugin verwendest, empfehle ich dir den Umstieg auf die NinjaFirewall.
Die NinjaFirewall kann gleichzeitig mehr und weniger als der Cerber.
Sie ist eine viel leistungsfähigere Firewall (Experten sagen: DIE leistungsfähigste Firewall im WordPress-Kontext, die es derzeit gibt) als der Cerber.
Je nach Webseite kann es aber sein, dass du zusätzlich ein Anti-Spam-Plugin brauchst. Dafür gibt es z.B. das kostenlose Plugin WP Armour, das Spammer in eine Falle (den „Honeypot“) lockt. Du kannst es ohne weitere Einstellungen verwenden.
Auf meiner Webseite war dieser Schutz aber zu wenig. Deshalb verwende ich die professionelle, aber sehr kostengünstige Lösung von CleanTalk AntiSpam.
Warum ich Wordfence nicht verwende
Das Sicherheitsplugin Wordfence wird häufig als Non-Plus-Ultra empfohlen.
Leider wurde die kostenlose Version des Plugins derartig abgespeckt, dass nur mehr mit 30 Tagen Verzögerung die Firewall-Regeln eingespielt werden. Das ist mir persönlich eine zu lange Zeit und zu unsicher.
Schritt 1: NinjaFirewall installieren
Aktiviere automatische Aktualisierungen
Nach der Aktivierung des Plugins gehst du auf die Plugin-Übersichts-Seite und stellst ein, dass dieses Plugin automatisch aktualisiert werden soll.
Schritt 2: NinjaFirewall Grundeinstellungen
Klicke im Dashboard nun links unten auf NinjaFirewall und beschäftige dich ein wenig mit den dort möglichen Einstellungen.
Activate Full WAF Mode
Versuche als erstes, den Full WAF Mode zu aktivieren. Dies wird leider nicht bei allen Hostern funktionieren – aber versuch es trotzdem.
Solltest du also in einem Unterordner weitere Inhalte oder eine zweite WordPress-Installation haben, dann musst du diese Unterordner entweder ausschließen oder zumindest sehr genau prüfen, ob alles noch funktioniert und zugänglich ist.
Sollte es Probleme bei der Aktivierung geben, wirst du im nächsten Schritt sofort darauf hingewiesen.
Danach wirst du aufgefordert, 5 Minuten zu warten.
Schritt 3: konkrete Einstellungen
Du kannst die NinjaFirewall „out of the box“ verwenden. Ich empfehle dir trotzdem, die nachfolgenden Punkte für dich kurz durchzudenken und ggf. einzustellen:
Firewall Options
Stell unbedingt das Feld „IP Anonymization“ auf YES.
Nur so kannst du die NinjaFirewall DSGVO konform verwenden.
Firewall Policies
Uploads:
File Upload: Disallow
Mit dieser Einstellung können nur Administratoren Dateien hochladen.
Permissions:
Block user accounts creation: yes
Das ist natürlich nur sinnvoll, wenn du keinen Shop oder Kundenbereich hast.
Block attempts to publish…: yes
WordPress AJAX:
yes
Protect against username enumeration:
alle Kästchen yes
Event Notification
NinjaFirewall sendet dir ein Mail, wenn verschiedene Aktionen auf deiner Webseite ausgeführt werden.
Entscheide selbst, worüber und wie häufig du informiert werden möchtest.
Login Protection
Ich habe bei meinen Projekten auch die Login Protection aktiviert. Du findest sie als eigenen Menüpunkt links.
Für den Fall, dass die Webseite „unter Beschuss“ ist, musst du vor der Eingabe deiner Login-Daten ein Captcha-Feld ausfüllen.
Meine Einstellungen siehst du im beiliegenden Bild.
Schritt 4: ini-Dateien sperren
Damit die .ini-Dateien, die von der NinjaFirewall erzeugt werden auch abgesichert sind, füge folgenden Code in die .htaccess-Datei ein:
# Zugriff auf die ini-Dateien sperren, die von NinjaFirewall erzeugt werden
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule \\.ini$ – [F,L]
</IfModule>
htaccess mit dem Plugin AIOSEO bearbeiten
Da ich bei fast allen Webseiten das Plugin „All in one SEO – AIOSEO“ in Verwendung habe, kann ich direkt dort die htaccess-Datei bearbeiten.
Diese Option haben aber auch viele andere SEO Plugins.
Schritt 5: Event Notifications
Wenn du die Zahl der Info-Mails von der NinjaFirewall etwas eindämmen möchtest, dann wirf einen Blick in den Menüpunkt Event Notifications. Du kannst hier auch die Mailadresse gesondert angeben, an die Notifications gesendet werden sollen.
Praxis-Tipps:
- Aktiviere die NinjaFirewall erst, wenn du mit deiner Webseite fertig bist und sie online stellst!
- Teste NACH der Aktivierung alle Funktionen, wie z.B. Formulare, Zahlungsfunktionen, etc. durch.
- Achte darauf, dass du beim Testen abgemeldet bist.
- Wenn du ganz sicher gehen möchtest, aktiviere für einige Stunden oder Tage den DEBUG-Modus. In diesem Modus wird die Webseite nicht aktiv geschützt – du kannst aber in den Log-Dateien die Arbeit der NinjaFirewall verfolgen und eventuelle „false positive“ eliminieren.
Du findest den Debug-Modus in den Firewall Options. - Nimm die NinjaFirewall in deine Datenschutzerklärung auf. Wenn du eine Textvorlage brauchst, kannst du gerne in meiner Datenschutzerklärung stöbern.
- Wenn du mehr über die Möglichkeiten der NinjaFirewall wissen möchtest, dann lies hier weiter.
Hi, ich bin Astrid.
Ich bin spezialisiert auf WordPress und Divi und helfe dir, die DSGVO mit Hausverstand umzusetzen.
Melde dich zum Newsletter an!
Melde dich zu meinem Newsletter an, wenn du in puncto WordPress, Content, Technik und Datenschutz informiert bleiben möchtest.
