Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

Security Plugins für WordPress #4: NinjaFirewall

Security Plugins für WordPress #4 NinjaFirewall

Weitere Artikel der Serie

Security Plugins für WordPress: #1 Sicherheit ist wichtig
Security Plugins für WordPress: #2 Wordfence Security
Security Plugins für WordPress: #3 iThemes Security
Security Plugins für WordPress: #4 NinjaFirewall
Security Plugins für WordPress: #5 Sucuri Security
Security Plugins für WordPress: #6 All In One WP Security
Security Plugins für WordPress: #7 VaultPress

Geheimtipp der Security Plugins

Mit dem WordPress Plugin NinjaFirewall kommen wir nun zu meinem absoluten Liebling der Security Plugins. Obwohl NinjaFirewall im Vergleich noch recht unbekannt ist, entwickelt es sich derzeit zu einer Art Geheimtipp. Die Firewall für WordPress ist nämlich äußerst effektiv, extrem performant geschrieben und dabei auch noch beeindruckend effizient. Außerdem ist die Erweiterung trotz allem sehr schlank gehalten und deshalb läuft das NinjaFirewall Plugin auch spürbar besser als die große Konkurrenz. Warum NinjaFirewall mein Liebling unter den Security Plugins ist, warum es ein Geheimtipp ist und warum ihr die Erweiterung unbedingt mal ausprobieren solltet, erkläre ich euch im folgenden Test mal ein wenig genauer.

Firewall für WordPress

Im Vergleich mit allen anderen Security Plugins von WordPress, nimmt sich NinjaFirewall schon einmal deutlich ernster. Das Ganze ist kein Scanner oder ein für Anfänger optimiertes Plugin, sondern eine echte Firewall, die sich direkt vor WordPress setzt und an der alle Zugriffe erst einmal vorbei müssen. Bevor die Nutzer also zur eigentlichen WordPress-Seite gelangen, werden sie erst einmal durchleuchtet und überprüft, was natürlich vor allem auch für Bots und Crawler gilt. Kurz nach der Aktivierung blockt NinjaFirewall nämlich bereits eine Menge aggressiver Zugriffe, die zwar nicht unbedingt die Sicherheit betreffen, aber eben überflüssig sind und auf die Performance des Servers gehen. Beispielsweise eben die Bots und Crawler, die alle paar Minuten vorbeikommen. Ruck zuck ist die Log-Datei von NinjaFirewall also gefüllt mit blockierten Zugriffen, die niemand auf seiner Website haben möchte und die wohl auch niemand braucht. Der erste Schritt ist damit getan.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 1

Anfänger verstehen in den Optionen von NinjaFirewall vermutlich nur Bahnhof, brauchen eigentlich aber auch rein gar nichts ändern, weil die Standardeinstellungen bereits sehr durchdacht sind.

Für Anfänger und Profis

Im weiteren Test zeigt sich dann, dass NinjaFirewall durchaus auch für Anfänger geeignet ist, auch wenn das erst einmal ganz anders wirkt. Die Standardeinstellungen sind nämlich ziemlich perfekt, eigentlich ist gar keine Änderung mehr notwendig, es sei denn ihr kennt euch aus und habt einige Spezialfälle im Code. Wer sich nicht auskennt, aktiviert NinjaFirewall einfach, lässt alles wie es ist und schaut zwischendurch mal in das Log. Das füllt sich nämlich sehr schnell und neben den geblockten Bots und Crawlern, landen dort auch recht zügig die ersten gescheiterten Angriffe. Darunter Attacken auf die “admin-ajax.php” oder auch versuchte Datei-Uploads, die NinjaFirewall blocken konnte. Die einzelnen Zugriffe werden alle schriftlich festgehalten, der Eintrag wird in eine Gefahrenstufe sortiert (Low, Medium, High und Cirtical) und auch die angewandte Regel der Firewall wird ausgegeben und im Log gespeichert. Diese Regeln, die je nach Zugriff Verwendung finden, lassen sich in den Einstellungen auch löschen oder bearbeiten, sodass einzelne Verfahren noch angepasst werden können. Das ist zum Teil kompliziert und erfordert etwas Hintergrundwissen, doch wie gesagt: Anfänger brauchen im Grunde gar nichts umstellen. Wenn etwas schiefgeht oder zu unrecht geblockt wird, hilft der Blick in das Log, wobei dieser grundsätzlich nützlich ist, um potenzielle Ziele vielleicht auch noch anderweitig zu schützen oder gar komplett zu sperren, wenn die Angriffe zu stark werden.

Rundumschutz für WordPress

Die Einstellungen von NinjaFirewall liefern neben speziellen Regeln auch alles was sich Webmaster wünschen. Wie gesagt: Wer sich nicht auskennt lässt lieber alles auf den Standardeinstellungen, um nicht aus Versehen echte Nutzer mit der Firewall auszusperren. Wer sich etwas auskennt, kann dagegen das Verhalten von HTTP GET-Variablen, HTTP POST-Variablen, HTTP REQUEST-Variablen, der HTTP response headers und vieles mehr im Detail konfigurieren und festlegen. Außerdem lassen sich WordPress-typische Verzeichnisse sperren, selbst die XML-RPC API kann per Klick deaktiviert werden (darüber hatte ich auch schon geschrieben, unter anderem in Bezug auf DDoS-Attacken). Auch der Plugin- und Theme-Editor wird je nach Wunsch von NinjaFirewall einfach abgeschaltet. Warum das Sinn macht? Weil ihr normalerweise nicht ständig im Editor herumfummeln müsst, potenzielle Angreifer sich so aber direkten Zugriff verschaffen können, wie es bei WordPress zuletzt auch im Zuge schwersten Sicherheitslücke seit 5 Jahren vorgekommen ist. Dort gab es nämlich eine Variable, die es Angreifern ermöglichte über den Plugin- und Theme-Editor Änderungen an den Dateien vorzunehmen. NinjaFirewall lässt also keine Möglichkeiten offen und ist ein absolut gelungener Rundumschutz für WordPress. Eine echte und sehr effektive Firewall eben, keine 0815-Sammlung von Security Tweaks.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 2

Eine kleine Statistik auf dem Dashboard zeigt, was NinjaFirewall in letzter Zeit blockiert hat. Die Zugriffe werden dabei gleich in Gefahrenstufen sortiert.

Vorbildlich umgesetzt und effektiv

Neben der recht starken und umfangreichen Firewall, liefert NinjaFirewall natürlich auch noch ein paar Extras mit. So überprüft der File Guard beispielsweise die Ausführung von Dateien, während der File Check ein Abbild aller aktuellen Daten anlegt, um später eventuelle Änderungen festzustellen. Damit ist WordPress quasi Kugelsicher, auch weil der File Guard eine Echtzeit-Erkennung ist und externe Zugriffe direkt blockiert. Davon abgesehen gibt es den üblichen Brute-Force-Schutz beim Login, sowie die Möglichkeit, dass NinjaFirewall bei Änderungen eine E-Mail an euch schickt. Beispielsweise wenn ein Plugin installiert oder deaktiviert wird, wenn Admins sich einloggen, oder wenn WordPress ein automatisches Update vollzieht. So bleibt ihr immer auf dem Laufenden und NinjaFirewall protokoliert blockiertes ja sowieso in der monatlichen Log-Datei, weshalb ihr auch immer noch einmal kontrollieren könnt, ob ein Zugriff eventuell zu unrecht geblockt wurde. Die Statistik gewährt euch außerdem einen Überblick darüber, welche Art von Attacken, wie oft im Monat vorgekommen sind. Alles absolut vorbildlich umgesetzt und dabei auch äußerst effektiv.

NinjaFirewall WP+ Edition

Natürlich ist so ein umfangreiches Plugin nicht einfach aus gutem Wille programmiert worden. Die NinjaFirewall gibt es nicht nur für WordPress, sondern auch als Standalone für andere Anwendungen. Außerdem kann eine erweiterte Lizenz bestellt werden, die sich NinjaFirewall WP+ Edition nennt und mit ca. 30 Dollar pro Jahr und Domain wohl mit das günstige Angebot auf dem Markt ist. Zu den Features der WP+ Edition zählen dann unter anderem die Verwendung vom Shared Memory des Server (was die Performance erhöht), es können IP’s oder ganze Länder ausgesperrt werden, es gibt weitere Einstellungen bei Bots und Regeln, eine Funktion für Antispam innerhalb der Kommentare wird freigeschaltet und einiges mehr. Außerdem können HTML-Seiten vor der Auslieferung erst einmal gescannt werden und es gibt noch ein paar andere Annehmlichkeiten. Alles super, doch schon in der kostenlosen Variante erledigt NinjaFirewall seinen Job wirklich nahezu perfekt. Die WP+ Edition bringt einfach nur ein paar weitere Zusätze mit, zum absolut fairen Preis, wie ich finde. Da kann die Konkurrenz kaum mithalten.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 3

Die erstaunlich günstige Premium-Version von NinjaFirewall, bringt vor allem mehr Möglichkeiten mit, die der normale Nutzer aber nicht unbedingt benötigt.

Fazit zu NinjaFirewall

Auch wenn wir das Ende der Artikelserie noch nicht erreicht haben, so ist NinjaFirewall für mich dennoch bereits jetzt einer der Sieger. Das WordPress Plugin arbeitet extrem stabil, ist in Sachen Performance ein absoluter Traum, brachte mir im Test sogar spürbare Verbesserungen ein, entlastete also den Server, weil es Angriffe und unsinnige Zugriffe einfach blockierte und aussperrte. Das alles war in der kostenlosen Version bereits nahezu perfekt umgesetzt, wurde mit der WP+ Edition einfach noch einmal dezent umfangreicher und mit mehr Möglichkeiten ausgestattet. Dabei sei aber ganz klar gesagt, dass schon die kostenlose Version quasi für alle einen großen Mehrwert mitbringt, weshalb man als Anwender eben auch sehr gerne für die erweiterte Fassung bezahlt, da man nicht das Gefühl hat über den Tisch gezogen bzw. nur mit einer Demo geködert zu werden. NinjaFirewall ist wie es ist deshalb auch fantastisch und wer das zu würdigen weiß oder noch ein paar Einstellungen mehr braucht, der zahlt eben die 30 Dollar im Jahr. Für mich die kostengünstigste und dennoch beste Methode, WordPress mit einer echten und leistungsstarken Firewall auszustatten. Mein Tipp: Installiert die Erweiterung, lasst sie ein, zwei Wochen aktiv, kontrolliert das Log und entscheidet dann selbst, ob ihr NinjaFirewall weiterhin nutzen möchtet oder die Erweiterung wieder deinstalliert. Im Gegensatz zu den meisten anderen Security Plugins ist NinjaFirewall jedenfalls kein nerviger Ballast, sondern wirklich mal eine sinnvolle Erweiterung, die auch wirklich für mehr Sicherheit und Performance sorgt, statt alles nur lahmzulegen und weitere Sicherheitslücken zu öffnen, wie es bei manch anderem Plugin der Fall ist. Wenn ihr mich also ganz direkt nach einem Security Plugin fragt, bekommt ihr NinjaFirewall empfohlen.

Links

NinjaFirewall bei WordPress.org
NinjaFirewall Website



Wordpress Performance eBook