Schutz Hacker

WordPress Plugin Wordfence – ein Zaun gegen Hacker

WordPress ist einfach, zu bedienen, schnell installiert, durch Plug-ins anpassbar und Themes gibt es auch noch in Hülle und Fülle. Aber: WordPress ist auch anfällig gegen Malware. Seit es sich von einer Blogging-Software zum meist eingesetzten CMS entwickelt hat, wird es auch für Angreifer immer interessanter. Bekommt ein Angreifer Zugriff auf die WordPress Skripte, kann er alles mögliche damit anstellen. Daher sollte sich jeder, der WordPress nutzt Gedanken machen, wie er sich vor Hackerangriffen schützen will.

In erster Linie geht es dabei natürlich um die Sicherheit der eigenen Daten. Doch sollen letztendlich auch alle anderen Besucher und Abonnenten vor manipulierten Seiten geschützt werden. Angriffe passieren meist, ohne dass der Admin ihn sofort bemerkt und so kann es passieren, dass die eigene Seite plötzlich im Sinne der Hacker arbeitet.

Um dies zu vermeiden, spielen neben allgemeinen Sicherheitsvorkehrungen, wie die richtige Auswahl von Benutzername und Passwort auch sogenannte Sicherheits-Plugins eine immer größere Rolle.

Wordfence als Sicherheitsplugin

Eines der bekanntesten und effizientesten Sicherheitsplugins ist Wordfence. Es ist als Gratis- und Lizenzversion erhältlich und lässt sich ganz einfach über das WordPress Plugin Portal downloaden.

Bereits in der kostenlosen Grundversion deckt Wordfence alle relevanten Bereich bezüglich Sicherheit ab. Dabei vereint es etliche Versionen von anderen Plugins in einer Oberfläche.

Zudem bietet es neben einem automatischen Schutz vor Angriffen auch die Möglichkeit zur individuellen Sperrung von IP’s und Netzwerken.

So schützt Wordfence

Zuerst scann Wordfence alle Dateien auf verdächtige Veränderungen. Dafür nutzt es eine eigene Datenbank, die jede bekannte Malware enthält. Im Anschluss erhält man eine Liste mit allen möglichen Gefahren. Auch wenn Veränderungen in Dateien natürlich nicht immer gleichbedeutend mit einer Schadsoftware sein müssen, so ist es dennoch eine hervorragende Methode um einen Schadcode festzustellen. Ob es sich allerdings wirklich um eine Sicherheitslücke oder einen veränderten Code handelt, oder einfach nur um eine ganz normale Änderung, bzw. ein vertrauenswürdiges Plugin, muss noch mal im Einzelfall entschieden werden.

Wurde die deutsche Version von WordPress installiert, wird bei jedem Scan die Meldung auftauchen, dass durch die Sprachübersetzung ins Deutsche Veränderungen zur Originalversion existieren. Durch eine entsprechende Einstellung lassen sich solche Meldungen dauerhaft bis auf Widerruf ignorieren.

Wordfence überwacht zudem alle URLs, die in Artikel oder Kommentaren auftauchen. So soll verhindert werden, dass sich Links einschleichen, die auf Seiten mit Schadsoftware verweisen.

Ebenfalls praktisch ist die Funktion, ungewollten Blogbesuchern den Zugang zu verweigern, indem man ihre IP sperrt. Das kann vorübergehend geschehen oder auch dauerhaft.

Integrierte Firewall

Wordfence

Eine integrierte Firewall schützt gegen sogenannte „Fake-Bots“. Diese geben sich gegenüber dem Webserver als Suchmaschinen-Bot aus, um so Zugang auf die eigenen Daten zu erhalten. Wordfence erkennt diese jedoch und blockiert ihren Zugriff sofort für einen zuvor festgelegten Zeitraum. Dabei unterscheidet Wordfence ganz genau zwischen den echten Webcrawlern, die ja gewünscht sind (z. B. Google Robot) und den gefakten Bots.

Weitere tolle Features von Wordfence sind beispielsweise die Überprüfung auf mögliche Backdoors und Trojaner, das Scannen von Dateien außerhalb der eigentlichen WordPress-Installation oder auch die Überprüfung auf Sicherheit der verwendeten Passwörter. Gibt man seine E-Mail Adresse an, wird man zudem bei auftauchenden Problemen sofort informiert.

Ebenso überzeugend ist die hauseigene Falcon Cache-Engine. Hier punktet Wordfence vor allem mit kurzen Ordernamen, um den Cache noch einmal deutlich zu beschleunigen und die Verzeichnisse möglichst flach anzulegen, was in schnelleren Zugriffszeiten resultiert.

Login Sicherheit

Zur Erhöhung der Login Sicherheit war bisher das Plugin Limit Login Attempt (LLA) erforderlich. Mit Wordfence entfällt dieses. Die Einstellungen sind denen von LLA sehr ähnlich.

Es lässt sich sowohl die maximale Anzahl an Login-Versuchen, wie auch die Dauer der Sperrzeit nach Erreichen der zulässigen Fehlversuche festlegen. Auch die Passwortanforderung lässt sich unter diesem Punkt limitieren. Wordfence setzt hier noch einen sehr interessanten Punkt obendrauf: verwendet jemand den falschen Log-in-Namen, wird dieser sofort für weitere Log-in-Versuche gesperrt.

Um eine irrtümliche Blockierung zu vermeiden, kann die jeweilige IP auch auf eine sogenannte White List eingetragen werden, um den Zugang zu WordPress über ein privates Netzwerk zu erlauben.

Wordfence Einstellungen

Damit Wordfence bei einer Hackerattacke auch wirklich funktioniert, sollten die voreingestellten Grundeinstellungen leicht angepasst werden. Die Einstellungen sind wirklich einfach vorzunehmen:

  1. Gib unter „Where to email alerts“ eine E-Mail-Adresse an, die zweckmäßigerweise nicht auf dem attackierten Server liegt, da die E-Mails dann natürlich nicht zuverlässig ankommen.
  2. Lock out after how many login failures: gib hier 2 ein
  3. Lock out after how many forgot password attempts: gib hier ebenfalls 2 ein
  4. Count failures over what time period: 10 Minuten sind hier in Ordnung
  5. Amount of time a user is locked out: wenn sich jemand am Login versucht, soll er das kein zweites Mal tun können. Gib hier ruhig die höchstmögliche Zeitdauer von 60 Tagen ein.

Im Unterschied zur Gratisversion bietet die Lizenzversion Länder komplett blockiert werden. Reisende aus Deutschland könnten in diesem Fall dann aber ebenfalls nicht mehr auf die Website zugreifen. Zudem lassen sich die Anzahl der Scans pro Tag, sowie ein Zeitfenster für die Scans einstellen. In der Gratisversion wird der Scan nur einmal täglich automatisch durchgeführt. Im Normalfall genügt die Gratislösung vollauf.

Fazit

Wordfence hat sich innerhalb kürzester Zeit als eine der beliebtesten Erweiterungen für WordPress etabliert und verzeichnet bereits Millionen von Downloads.

Zu Beginn sollte man sich jedoch etwas Zeit nehmen um alle Optionen genauer unter die Lupe nehmen und die Einstellungen entsprechend seinen Wünschen vornehmen zu können. Die Standardeinstellungen sind bereits sehr gut und wenn man nicht zu sehr in die Materie eindringen will, kann man es auch ruhig dabei belassen.

Insgesamt ist Wordfence absolut einen Test wert und ist ein sehr gutes Tool um Ungemach von der eigenen Seite fernzuhalten. Ein recht hoher Sicherheitsstandard wird kombiniert mit einer einfachen Bedienung. Um die volle Funktionalität zu erhalten, kann wie bereits erwähnt für kleines Geld die Vollversion erworben werden. Jedoch bietet bereits die kostenlose Version schon ausreichend Features um den eigenen Blog ausreichend zu schützen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert