WordPress Sicherheit

Wie du deine Webseite mit der Ninja Firewall absicherst

Ich war lange Zeit ein großer Fan vom Sicherheitsplugin WP Cerber.

Leider wird es nicht mehr weiterentwickelt und bei WordPress auch gar nicht mehr angeboten. Bei einigen Webseiten hat es sogar regelrecht Probleme gemacht und kryptische Fehlermeldungen verursacht.

Wenn du auf deiner Webseite dieses Plugin verwendest, empfehle ich dir den Umstieg auf die NinjaFirewall.
Die NinjaFirewall kann gleichzeitig mehr und weniger als der Cerber.
Sie ist eine viel leistungsfähigere Firewall (Experten sagen: DIE leistungsfähigste Firewall im WordPress-Kontext, die es derzeit gibt) als der Cerber.

Je nach Webseite kann es aber sein, dass du zusätzlich ein Anti-Spam-Plugin brauchst. Dafür empfehle ich dir WP Armour, das Spammer in eine Falle (den “Honeypot”) lockt. Du kannst es ohne weitere Einstellungen verwenden.

Warum ich Wordfence nicht verwende

Das Sicherheitsplugin Wordfence wird häufig als Non-Plus-Ultra empfohlen.

Leider wurde die kostenlose Version des Plugins derartig abgespeckt, dass nur mehr mit 30 Tagen Verzögerung die Firewall-Regeln eingespielt werden. Das ist mir persönlich eine zu lange Zeit und zu unsicher.

Schritt 1: NinjaFirewall installieren

Installiere die NinjaFirewall und aktiviere das Plugin. Du findest dann einen eigenen Eintrag links unten in der WordPress Menüleiste.

Aktiviere automatische Aktualisierungen

Nach der Aktivierung des Plugins gehst du auf die Plugin-Übersichts-Seite und stellst ein, dass dieses Plugin automatisch aktualisiert werden soll.

NinjaFirewall_Activate Full WAF Mode

Schritt 2: NinjaFirewall Grundeinstellungen

Klicke im Dashboard nun links unten auf NinjaFirewall und beschäftige dich ein wenig mit den dort möglichen Einstellungen.

Activate Full WAF Mode

Versuche als erstes, den Full WAF Mode zu aktivieren. Dies wird leider nicht bei allen Hostern funktionieren – aber versuch es trotzdem.

NinjaFirewall_Activate Full WAF Mode
Bei Klick auf den Button “Activate Full WAF Mode” erscheint ein Fenster, auf dem du u.a. darüber informiert wirst, welche Unterordner deiner Webseite die NinjaFirewall schützt.

Solltest du also in einem Unterordner weitere Inhalte oder eine zweite WordPress-Installation haben, dann musst du diese Unterordner entweder ausschließen oder zumindest sehr genau prüfen, ob alles noch funktioniert und zugänglich ist.

NinjaFirewall_Activate Full WAF Mode Infoscreen
Klicke auf Finish Installation.

Sollte es Probleme bei der Aktivierung geben, wirst du im nächsten Schritt sofort darauf hingewiesen.

Danach wirst du aufgefordert, 5 Minuten zu warten.

Schritt 3: konkrete Einstellungen 

Du kannst die NinjaFirewall “out of the box” verwenden. Ich empfehle dir trotzdem, die nachfolgenden Punkte für dich kurz durchzudenken und ggf. einzustellen:

Firewall Options

Stell unbedingt das Feld “IP Anonymization” auf YES.

Nur so kannst du die NinjaFirewall DSGVO konform verwenden.

NinjaFirewall-Loginprotection

Firewall Policies

Uploads: 
File Upload: Disallow

Permissions:
Block user accounts creation: yes
Block attempts to publish…: yes

WordPress AJAX: 
yes

Protect againt username enumeration: 
alle Kästchen yes

Event Notification

NinjaFirewall sendet dir ein Mail, wenn verschiedene Aktionen auf deiner Webseite ausgeführt werden.
Entscheide selbst, worüber und wie häufig du informiert werden möchtest.

Login Protection

Ich habe bei meinen Projekten auch die Login Protection aktiviert.

Für den Fall, dass die Webseite “unter Beschuss” ist, musst du vor der Eingabe deiner Login-Daten ein Captcha-Feld ausfüllen.

Meine Einstellungen siehst du im beiliegenden Bild.

NinjaFirewall-Loginprotection

Schritt 4: ini-Dateien sperren

Damit die .ini-Dateien, die von der NinjaFirewall erzeugt werden auch abgesichert sind, füge folgenden Code in die .htaccess-Datei ein:

# Zugriff auf die ini-Dateien sperren, die von NinjaFirewall erzeugt werden
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule \\.ini$ – [F,L]
</IfModule>

htaccess mit dem Plugin AIOSEO bearbeiten

Da ich bei fast allen Webseiten das Plugin “All in one SEO – AIOSEO” in Verwendung habe, kann ich direkt dort die htaccess-Datei bearbeiten.

NinjaFirewall-in-AIOSEO-htaccess-bearbeiten

Praxis-Tipps:

  • Aktiviere die NinjaFirewall erst, wenn du mit deiner Webseite fertig bist und sie online stellst!
  • Teste NACH der Aktivierung alle Funktionen, wie z.B. Formulare, Zahlungsfunktionen, etc. durch.
  • Achte darauf, dass du beim Testen abgemeldet bist.
  • Wenn du ganz sicher gehen möchtest, aktiviere für einige Stunden oder Tage den DEBUG-Modus. In diesem Modus wird die Webseite nicht aktiv geschützt – du kannst aber in den Log-Dateien die Arbeit der NinjaFirewall verfolgen und eventuelle “false positive” eliminieren.
    Du findest den Debug-Modus in den Firewall Options.
  • Nimm die NinjaFirewall in deine Datenschutzerklärung auf. Wenn du eine Textvorlage brauchst, kannst du gerne in meiner Datenschutzerklärung stöbern.

Hi, ich bin Astrid.

Ich bin spezialisiert auf WordPress und Divi und helfe dir, die DSGVO mit Hausverstand umzusetzen.

Melde dich zum Newsletter an!

Melde dich zu meinem Newsletter an, wenn du in puncto WordPress, Content, Technik und Datenschutz informiert bleiben möchtest.