WordFence optimal konfigurieren, für mehr Sicherheit mit WordPress - Guru 2.0
WordFence optimal konfigurieren, für mehr Sicherheit mit WordPress

WordFence optimal konfigurieren, für mehr Sicherheit mit WordPress

Letztes Wochenende durfte ich einen Stegreif-Vortrag zu WordPress-Security bei der Salzburger Blogger Convention Salt and the City 2016 halten. Und da war das Thema Sicherheit doch von einigem Interesse und die Frage Du willst mehr Sicherheit mit deiner WordPress-Seite? haben eigentlich alle mit Ja beantwortet. 100% wirst du so oder so nicht schaffen, aber du kannst damit anfangen eine Security-Plugin zu installieren. Und da bietet sich eines der großen geradezu an. Natürlich gibt es noch zahlreiche andere aber ich mag einfach WordFence Security. Installiert ist es ja mit Klicki-di-Klick innerhalb von Minuten, aber was dann? Einfach laufen lassen oder sich ein wenig mit den Einstellungen beschäftigen?

Was kann WordFence oder warum wird die Sicherheit mit WordPress besser?

Für alle die das PlugIn noch nicht kennen, hier mal ein paar der Features. Vorweg noch: WordFence ist kostenlos nur der Support selbst kostet etwas.

  • Allgemeine Features
    • Vergleichen der WordPress-Dateien mit jenen auf der Originalseite
    • Vergleichen der PlugIn-Dateien mit denen auf der WordPress.org-Seite
    • Dateien (auch außerhalb der WordPress-Installation) auf Malware prüfen
    • Seiten auf den HeartBleed-Sicherheitslücke prüfen
    • Passwörter auf ihre Stärke überprüfen
    • DNS auf Änderungen überprüfen
    • Speicherplatz prüfen um DDoS-Attacken zu verhindern
    • Veraltet PlugIns, Themen oder WordPress-Dateien finden
  • Brute-Force Attacken
    • Benutzer-Sperre nach eine bestimmten Anzahl an Fehlversuchen
    • Sofortige Sperre bei falschen/ungültigen Benutzernamen
  • Firewall
    • Sofortige Sperre von falschen Google-Crawlern
    • Blocken von sehr häufigen Seitenzugriffen
    • Sperre von zu vielen Aufrufen der 404-Seite

Die kostenlose Version von WordFence verbessert deine Sicherheit mit WordPress bereits um einiges. Als Standard werden, nach der Installation, bereits alle Dateien und Datenbank-Tabellen auf Probleme gescannt und du mit einem eMail gewarnt falls etwas nicht stimmt. Nach einem Upgrade zur Premium-Version bekommst du eine Zwei-Schritt-Anmeldung (mit deinem Mobiltelefon) und auch die Möglichkeit ganze Länder zu blockieren. Dies ist sicher ein sehr effektiver Weg, Hacker bereits am Weg zur Übernahme der Seite abzufangen. Aber bis jetzt hatte ich noch nie die Anforderung und kam gut mit der kostenlosen Version durch.

Die Einstellungen von WordFence festlegen

Nach der Installation passt es eigentlich für die Mehrzahl der WordPress-Installation, aber trotz allem können/müssen wir noch ein wenig an den Schrauben drehen.

Grundeinstellungen (Basic Options)

Basic Options von WordFence

Basic Options von WordFence

Dies sind die Einstellungen, welche du auf jeden Fall durchführen musst.

  • Gleich nach der Installation gehst du in der Seitenleiste auf WordFence und dort auf den Menüpunkt Options. In den Basic Options gibst du unter Where to email alerts: deine eMail-Adresse ein. Damit erhältst du ab jetzt alle Warnungen von WordFence in dein Postfach. Vergiss aber nicht auf Save Changes zu klicken, um die Änderung zu übernehmen.
  • Nun kannst du die Option Enable Live Traffic View deaktivieren. Du siehst damit zwar wer alles gerade auf deinem Blog herumgeistert, aber bei Seiten mit vielen Besuchern, verlangsamt diese Option die Seite spürbar. Daher nur einschalten falls du wirklich etwas wissen musst.
  • Nun ändern wir noch die letzte Option How does Wordfence get IPs:. Diese stellen wir auf Use PHP’s built in REMOTE_ADDR… um. Damit haben wir eine sichere und auch einigermaßen schnelle Variante um “Schädlinge” zu erkennen.

Erweiterte Einstellungen (Advanced Options)

eMail Alerts von WordFence

eMail Alerts von WordFence

Nun können wir noch an den nächsten Optionen drehen. Bei den eMail-Alerts solltest du alles aktiviert lassen. Natürlich bekommst du unter Umständen viele eMails (je nachdem wie beliebt deine Seite bei den “bösen Jungs” ist). Aber besser informiert sein und die eMails löschen, als uninformiert wo rein stolpern.

Die folgende eMail-Summary aktivierst du natürlich und lässt dir alle 2 Wochen eine Zusammenfassung senden. Und ein paar Verzeichnisse darfst du von der Prüfung ruhig ausnehmen: wp-content/cache,wp-content/wfcache,wp-content/plugins/wordfence/tmp
Aber das Widget für das DashBoard solltest du aktivieren und dort natürlich auch anzeigen. Damit hast du nach dem Login gleich einen Überblick.

Wie soll WordFence die Scans durchführen?

Wie soll WordFence die Scans durchführen?

Da wir den Live-Traffic ja deaktiviert haben, brauchen wir hier auch nichts einstellen und können gleich zum nächsten Punkt weiterschauen.

Scans für mehr Sicherheit mit WordPress

Um die Scans to include machst du dir keine Sorgen. Die sicherste Einstellung ist natürlich alles zu aktivieren. Ich habe mit den Einstellungen im nebenstehenden Bild gute Erfahrungen gemacht. Ich habe halt keine Dateien außerhalb meiner Installation und auch keine ausführbaren Grafiken.

Einstellungen der Firewall für mehr Sicherheit mit WordPress

Einstellungen der Firewall für mehr Sicherheit mit WordPress

Bei den Einstellungen der Firewall wird es jetzt komplizierter. Mit den Standardeinstellungen bist du schon auf der sicheren Seite. Aber natürlich kannst du strenger werden um noch zusätzliche Sicherheit mit WordPress zu erhalten. Dann besteht einfach die Gefahr, dass manche Suchmaschinen oder Besucher deine Seite nicht mehr sehen können. Oder du kannst lockerer werden. Dann kann es sein, dass du die Tür für einen Angreifer öffnest. Daher können meine Einstellungen, mit denen ich sehr gut fahre, nur ein Vorschlag für dich sein.

Ich bete jetzt nicht jede einzelne Einstellung und jeden Wert der Rate Limiting Rules hier auf. Am besten klickst du auf den Screenshot, damit du siehst wie ich es verwende. Aber es gibt auch ein paar einfache Regeln:

  • Wenn deine LeserInnen viele Tabs auf einmal aufmachen oder viel zwischen den Seiten hin und her springen, dann musst du die Werte für human visitors hoch setzen.
  • Wenn nicht Google Crawler (Baidu oder Yandex zum Beispiel) gerne deine Seite besuchen, solltest du das Limit für Crawler hoch setzen.
  • Wirst du gerade attackiert und du willst deine Seite stark schützen, setzte die Werte für diese Zeit sehr niedrig.
  • Generell solltest du fake Google crawlers nicht blockieren, außer du hast ein Problem mit Content-Diebstahl.

Welche Anmeldeoptionen soll ich bei WordFence einstellen?

Mehr Sicherheit mit WordPress durch eine gesicherte Anmeldung

Mehr Sicherheit mit WordPress durch eine gesicherte Anmeldung

Und jetzt sichern wir die Anmeldung noch mit den Login Security Options ab. Das wir starke Passwörter erzwingen ist heute bereits selbstverständlich. Ich habe die Sperre nach je 5 Fehlversuchen bei der Passworteingabe und auch beim Anfordern des Passworts eingestellt. Diese fünf Fehler werden innerhalb von 10 Minuten gezählt. Wird der Anwender gesperrt, dann dauert die Sperre genau 10 Minuten.

Das nicht vorhandene Benutzer (invalid usernames) gesperrt werden ist klar. Auch die Fehlermeldung (login errors) darf ein wenig verschleiert werden. Falls der admin User nicht existiert, darf er auch nicht als neuer Benutzer angelegt werden. Der beliebte Scan auf author wird auch verhindert. Und da mein Administrator auch nicht admin heißt, trage ich ihn in die Liste für Immediately block the IP of users ein.

Nun bleiben nur mehr die  Other Options zum betrachten. Denn die können wir wirklich so lassen wie es WordFence vorschlägt. Falls du eine statische IP-Adresse besitzt (die Wahrscheinlichkeit dazu ist sehr gering), kannst du diese bei Whitelisted IP addresses that bypass all rules: eintragen. Dann wird diese IP-Adresse nie gesperrt. Aber lass lieber die Finger davon.

Damit hast du alles eingestellt, was notwendig ist. Jetzt kannst du deinen ersten Scan durchführen. Klick einfach auf Scan im WordFence Menü.

Es wurden 6 Kommentare zu diesem Beitrag geschrieben.

  • Daniel

    Hallo Guru 20, danke für die gute Erklärung. Wordfence habe ich zwar drauf, aber ich wußte nie genau was ich da so richtig einstellen soll.
    VG, Daniel

  • Peter

    Hi,

    vielen Dank für den guten Artikel. Hatte das PlugIn bisher immer mit den Grundeinstellungen genutzt. Mit deinen Einstellungen fühlt sich WordPress direkt sicherer an 😉

    Eine kleine Frage hätte ich auch. Meine Seite ist noch neu und unbekannt und habe deshalb den Live Traffic noch nicht ausgeschaltet. Konnte damit heute diesen Besucher sehen:

    Lviv, Ukraine was blocked: Blocked by Wordfence Security Network at http://…….de/xmlrpc.php
    17.8.2016 10:03:56 (8 hours 28 mins ago) IP: 178.XXX.XXX.XXX [unblock] Hostname: 178-XXX-XXX-XXX-broadband.kyivstar.net

    Empfiehlst Du solche IPs direkt dauerhaft zu blocken, oder ist das egal weil WordFence hier jetzt schon diesen Zugriff geblockt hat?

    Danke für eine Antwort und schöne Grüße,
    Peter

    • Guru 2.0 Autor

      Hallo Peter,
      danke für das Lob!

      Ich blocke Adressen nur dauerhaft wenn sehr viele (über 100) Zugriffe innerhalb von kurzer Zeit (paar Minuten) erfolgen. Sonst überlasse ich alles dem PlugIn.

Blogheim.at Logo
Diese Website verwendet Cookies - nähere Informationen dazu finden Sie in unserer „Datenschutzerklärung“. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und unsere Webseite zu besuchen, oder klicken Sie auf „Cookie-Einstellungen“, um Ihre Cookies selbst zu verwalten.