Security Plugins für WordPress #4: NinjaFirewall

Inhaltsverzeichnis

Weitere Artikel der Serie

Security Plugins für WordPress: #1 Sicherheit ist wichtig
Security Plugins für WordPress: #2 Wordfence Security
Security Plugins für WordPress: #3 iThemes Security
Security Plugins für WordPress: #4 NinjaFirewall
Security Plugins für WordPress: #5 Sucuri Security
Security Plugins für WordPress: #6 All In One WP Security
Security Plugins für Wordpress: #7 VaultPress

Geheimtipp der Security Plugins

Mit dem Wordpress Plugin NinjaFirewall kommen wir nun zu meinem absoluten Liebling der Security Plugins. Obwohl NinjaFirewall im Vergleich noch recht unbekannt ist, entwickelt es sich derzeit zu einer Art Geheimtipp.

Die Firewall für Wordpress ist nämlich äußerst effektiv, extrem performant geschrieben und dabei auch noch beeindruckend effizient. Außerdem ist die Erweiterung trotz allem sehr schlank gehalten und deshalb läuft das NinjaFirewall Plugin auch spürbar besser als die große Konkurrenz.

Warum NinjaFirewall mein Liebling unter den Security Plugins ist, warum es ein Geheimtipp ist und warum ihr die Erweiterung unbedingt mal ausprobieren solltet, erkläre ich euch im folgenden Test mal ein wenig genauer.

Firewall für Wordpress

Im Vergleich mit allen anderen Security Plugins von Wordpress, nimmt sich NinjaFirewall schon einmal deutlich ernster. Das Ganze ist kein Scanner oder ein für Anfänger optimiertes Plugin, sondern eine echte Firewall, die sich direkt vor Wordpress setzt und an der alle Zugriffe erst einmal vorbei müssen.

Bevor die Nutzer also zur eigentlichen Wordpress-Seite gelangen, werden sie erst einmal durchleuchtet und überprüft, was natürlich vor allem auch für Bots und Crawler gilt. Kurz nach der Aktivierung blockt NinjaFirewall nämlich bereits eine Menge aggressiver Zugriffe, die zwar nicht unbedingt die Sicherheit betreffen, aber eben überflüssig sind und auf die Performance des Servers gehen. Beispielsweise eben die Bots und Crawler, die alle paar Minuten vorbeikommen.

Ruck zuck ist die Log-Datei von NinjaFirewall also gefüllt mit blockierten Zugriffen, die niemand auf seiner Website haben möchte und die wohl auch niemand braucht. Der erste Schritt ist damit getan.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 1
Anfänger verstehen in den Optionen von NinjaFirewall vermutlich nur Bahnhof, brauchen eigentlich aber auch rein gar nichts ändern, weil die Standardeinstellungen bereits sehr durchdacht sind.

Für Anfänger und Profis

Im weiteren Test zeigt sich dann, dass NinjaFirewall durchaus auch für Anfänger geeignet ist, auch wenn das erst einmal ganz anders wirkt. Die Standardeinstellungen sind nämlich ziemlich perfekt, eigentlich ist gar keine Änderung mehr notwendig, es sei denn ihr kennt euch aus und habt einige Spezialfälle im Code.

Wer sich nicht auskennt, aktiviert NinjaFirewall einfach, lässt alles wie es ist und schaut zwischendurch mal in das Log. Das füllt sich nämlich sehr schnell und neben den geblockten Bots und Crawlern, landen dort auch recht zügig die ersten gescheiterten Angriffe.

Darunter Attacken auf die “admin-ajax.php” oder auch versuchte Datei-Uploads, die NinjaFirewall blocken konnte. Die einzelnen Zugriffe werden alle schriftlich festgehalten, der Eintrag wird in eine Gefahrenstufe sortiert (Low, Medium, High und Cirtical) und auch die angewandte Regel der Firewall wird ausgegeben und im Log gespeichert.

Diese Regeln, die je nach Zugriff Verwendung finden, lassen sich in den Einstellungen auch löschen oder bearbeiten, sodass einzelne Verfahren noch angepasst werden können.

Das ist zum Teil kompliziert und erfordert etwas Hintergrundwissen, doch wie gesagt: Anfänger brauchen im Grunde gar nichts umstellen. Wenn etwas schiefgeht oder zu unrecht geblockt wird, hilft der Blick in das Log, wobei dieser grundsätzlich nützlich ist, um potenzielle Ziele vielleicht auch noch anderweitig zu schützen oder gar komplett zu sperren, wenn die Angriffe zu stark werden.

Rundumschutz für Wordpress

Die Einstellungen von NinjaFirewall liefern neben speziellen Regeln auch alles was sich Webmaster wünschen. Wie gesagt: Wer sich nicht auskennt lässt lieber alles auf den Standardeinstellungen, um nicht aus Versehen echte Nutzer mit der Firewall auszusperren. Wer sich etwas auskennt, kann dagegen das Verhalten von HTTP GET-Variablen, HTTP POST-Variablen, HTTP REQUEST-Variablen, der HTTP response headers und vieles mehr im Detail konfigurieren und festlegen.

Außerdem lassen sich Wordpress-typische Verzeichnisse sperren, selbst die XML-RPC API kann per Klick deaktiviert werden (darüber hatte ich auch schon geschrieben, unter anderem in Bezug auf DDoS-Attacken). Auch der Plugin- und Theme-Editor wird je nach Wunsch von NinjaFirewall einfach abgeschaltet.

Warum das Sinn macht? Weil ihr normalerweise nicht ständig im Editor herumfummeln müsst, potenzielle Angreifer sich so aber direkten Zugriff verschaffen können, wie es bei Wordpress zuletzt auch im Zuge schwersten Sicherheitslücke seit 5 Jahren vorgekommen ist. Dort gab es nämlich eine Variable, die es Angreifern ermöglichte über den Plugin- und Theme-Editor Änderungen an den Dateien vorzunehmen. 

NinjaFirewall lässt also keine Möglichkeiten offen und ist ein absolut gelungener Rundumschutz für Wordpress. Eine echte und sehr effektive Firewall eben, keine 0815-Sammlung von Security Tweaks.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 2
Eine kleine Statistik auf dem Dashboard zeigt, was NinjaFirewall in letzter Zeit blockiert hat. Die Zugriffe werden dabei gleich in Gefahrenstufen sortiert.

Vorbildlich umgesetzt und effektiv

Neben der recht starken und umfangreichen Firewall, liefert NinjaFirewall natürlich auch noch ein paar Extras mit. So überprüft der File Guard beispielsweise die Ausführung von Dateien, während der File Check ein Abbild aller aktuellen Daten anlegt, um später eventuelle Änderungen festzustellen.

Damit ist Wordpress quasi Kugelsicher, auch weil der File Guard eine Echtzeit-Erkennung ist und externe Zugriffe direkt blockiert. Davon abgesehen gibt es den üblichen Brute-Force-Schutz beim Login, sowie die Möglichkeit, dass NinjaFirewall bei Änderungen eine E-Mail an euch schickt. Beispielsweise wenn ein Plugin installiert oder deaktiviert wird, wenn Admins sich einloggen, oder wenn Wordpress ein automatisches Update vollzieht.

So bleibt ihr immer auf dem Laufenden und NinjaFirewall protokoliert blockiertes ja sowieso in der monatlichen Log-Datei, weshalb ihr auch immer noch einmal kontrollieren könnt, ob ein Zugriff eventuell zu unrecht geblockt wurde.

Die Statistik gewährt euch außerdem einen Überblick darüber, welche Art von Attacken, wie oft im Monat vorgekommen sind. Alles absolut vorbildlich umgesetzt und dabei auch äußerst effektiv.

NinjaFirewall WP+ Edition

Natürlich ist so ein umfangreiches Plugin nicht einfach aus gutem Wille programmiert worden. Die NinjaFirewall gibt es nicht nur für Wordpress, sondern auch als Standalone für andere Anwendungen. Außerdem kann eine erweiterte Lizenz bestellt werden, die sich Pro+ Edition (Premium) nennt und mit 79 Dollar pro Jahr und Domain wohl mit das günstige Angebot auf dem Markt ist.

Zu den Features der WP+ Edition zählen dann unter anderem die Verwendung vom Shared Memory des Server (was die Performance erhöht), es können IP’s oder ganze Länder ausgesperrt werden, es gibt weitere Einstellungen bei Bots und Regeln, eine Funktion für Antispam innerhalb der Kommentare wird freigeschaltet und einiges mehr.

Außerdem können HTML-Seiten vor der Auslieferung erst einmal gescannt werden und es gibt noch ein paar andere Annehmlichkeiten. Alles super, doch schon in der kostenlosen Variante erledigt NinjaFirewall seinen Job wirklich nahezu perfekt.

Die WP+ Edition bringt einfach nur ein paar weitere Zusätze mit, zum absolut fairen Preis, wie ich finde. Da kann die Konkurrenz kaum mithalten.

Security Plugins für WordPress #4 NinjaFirewall Screenshot 3
Die erstaunlich günstige Premium-Version von NinjaFirewall, bringt vor allem mehr Möglichkeiten mit, die der normale Nutzer aber nicht unbedingt benötigt.

Fazit zu NinjaFirewall

Auch wenn wir das Ende der Artikelserie noch nicht erreicht haben, so ist NinjaFirewall für mich dennoch bereits jetzt einer der Sieger. Das Wordpress Plugin arbeitet extrem stabil, ist in Sachen Performance ein absoluter Traum, brachte mir im Test sogar spürbare Verbesserungen ein, entlastete also den Server, weil es Angriffe und unsinnige Zugriffe einfach blockierte und aussperrte.

Das alles war in der kostenlosen Version bereits nahezu perfekt umgesetzt, wurde mit der WP+ Edition einfach noch einmal dezent umfangreicher und mit mehr Möglichkeiten ausgestattet. Dabei sei aber ganz klar gesagt, dass schon die kostenlose Version quasi für alle einen großen Mehrwert mitbringt, weshalb man als Anwender eben auch sehr gerne für die erweiterte Fassung bezahlt, da man nicht das Gefühl hat über den Tisch gezogen bzw. nur mit einer Demo geködert zu werden. 

NinjaFirewall ist wie es ist deshalb auch fantastisch und wer das zu würdigen weiß oder noch ein paar Einstellungen mehr braucht, der zahlt eben die 30 Dollar im Jahr. Für mich die kostengünstigste und dennoch beste Methode, Wordpress mit einer echten und leistungsstarken Firewall auszustatten.

Mein Tipp: Installiert die Erweiterung, lasst sie ein, zwei Wochen aktiv, kontrolliert das Log und entscheidet dann selbst, ob ihr NinjaFirewall weiterhin nutzen möchtet oder die Erweiterung wieder deinstalliert. Im Gegensatz zu den meisten anderen Security Plugins ist NinjaFirewall jedenfalls kein nerviger Ballast, sondern wirklich mal eine sinnvolle Erweiterung, die auch wirklich für mehr Sicherheit und Performance sorgt, statt alles nur lahmzulegen und weitere Sicherheitslücken zu öffnen, wie es bei manch anderem Plugin der Fall ist.

Wenn ihr mich also ganz direkt nach einem Security Plugin fragt, bekommt ihr NinjaFirewall empfohlen.

NinjaFirewall bei Wordpress.org
NinjaFirewall Website

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

8 Antworten

    1. Hallo Ditmar, in diesem Fall kann ich dir da leider keine Antwort geben da ich das Plugin Block Bad Queries (BBQ) nicht kenne.
      Hier wäre die direkte Anfrage an die Entwickler von der NinjaFirewall sicher die beste Maßnahme.
      Grundsätzlich bin ich aber der Meinung dass die NinjaFirewall als Lösung bezüglich der Sicherheit ausreichend ist, heißt Block Bad Queries (BBQ) muss in dem Fall nicht mehr sein. Wir betreuen im Rahmen von Wartungsverträgen eine Vielzahl von Kunden und haben nicht einen “Hack” erlebt.
      Exakt 2 Dinge werden hier durch uns durchgeführt:
      1. Installation der NinjaFirewall
      2. keine “ausschweifende” Nutzung von WP Plugins. Wenn es aufgrund des Projektes einmal “neue Plugins / Funktionen” gibt die wir nutzen wollen, verwenden wir hier in der Regel Premium Plugins.

      Mir ist bewusst dass dich nicht automatisch bedeutet dass diese auch 100% safe sind, aber ich verfolge da die Meinung dass wenn Entwickler “echtes Geld” mit Ihren Plugins verdienen, einfach mehr und vor allen Dingen aktiver auf Sicherheitslücken reagiert wird.

  1. Servus Christian!

     … Grundsätzlich ist NinjaFirewall als Lösung bezüglich der Sicherheit ausreichend, heißt Block Bad Queries (BBQ) muss nicht mehr sein. Im Rahmen von Wartungsverträgen betreuen wir eine Vielzahl von Kunden und haben nicht einen „Crack“ erlebt. Im Allgemeinen zu Plug-in Free-Versionen: Wenn Entwickler für ihre Plug-ins bezahlt werden, so bieten diese mehr und sind aktiver auf Sicherheitslücken.

    Danke!
    Ditmar

  2. Hi Christian,
    würdest du das Plugin weiterhin so einschätzen?
    Habe mir auf der Website gerade auf der Startseite von NinTechNet die Tabelle der Feature-Vergleiche Free Version und WP+ Edition angeschaut und frage mich, ob die Free Version nach wie vor grundsätzlich ausreichend ist?

    Und andere Frage in dem Zuge: ich habe aktuell das Plugin “Limit Login Attempts Reloaded” im Einsatz. Wäre dieses obsolet, wenn NinjaFirewall installiert und aktiv wäre oder macht es Sinn beide zu nutzen?

    Danke für Dein Feedback!

    1. Aus meiner Sicht ist die Free Version komplett ausreichend und tut was sie soll. Wenn Seitens Provider noch kein Login Schutz angeboten wird, ist ein zusätzliches Plugin hier dann aber noch zu empfehlen da dies keine Funktion von Ninjafirewall ist, heißt es spricht hier nichts dagegen beide Plugins parallel zu nutzen.

  3. Hallo Christian,

    danke für die wertvollen Berichte zu den Security Plugins. Heute hatte ich ein Problem mit Wordfence. Scheinbar hat es auch ganz normale Anfragen ausgesperrt. Jedenfalls war extrem wenig Traffic und ich bekam zig eMail-Benachrichtigungen von Wordfence (increased attack rate). Danach habe ich Ihren Testbericht gelesen und war geneigt mal Ninja Firewall zu testen. Leider stimmt der Preis für die Premium-Version schon nicht mehr. Ich lese $ 79,- pro Site. Und der Vergleich ist schwierig. Zum Beispiel lassen sich die Admin-Namen nicht mit Ninja Firewall verbergen?

    Herzlich,
    Peter

    Herzlich, Peter

    1. Hi Peter, Preis habe ich mal angepasst, wobei ich ehrich sagen muss dass ich die kostenlose Variante ausreichend empfinde. Features wie “Admin Namen verbergen” gibt es nicht. Aber sein wir mal ehrlich, das ist nicht wirklich das eigentliche Sicherheitsproblem einer WEP Seite. Und wenn ein Bot der Meinung ist, zu versuchen sich mit deinem User einzuloggen, greift ja dann recht zügig NinjaFirewall und der Spaß ist schnell vorbei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian