Weitere Artikel der Serie
Security Plugins für WordPress: #1 Sicherheit ist wichtig
Security Plugins für WordPress: #2 Wordfence Security
Security Plugins für WordPress: #3 iThemes Security
Security Plugins für WordPress: #4 NinjaFirewall
Security Plugins für WordPress: #5 Sucuri Security
Security Plugins für WordPress: #6 All In One WP Security
Security Plugins für Wordpress: #7 VaultPress
Das beliebteste Security Plugin
Mein Testlauf der verschiedenen Security Plugins für Wordpress startete mit Wordfence, der mit Abstand wohl beliebtesten Erweiterung zum Thema Sicherheit. Das Plugin ist recht umfangreich, in seiner Free-Version aber durchaus auch begrenzt. Einige Features behält sich die Erweiterung demnach für Premium-Kunden vor. Macht aber nichts, denn auch in der Grundversion deckt Wordfence die wichtigsten Bereiche bezüglich Sicherheit bereits ab. Einen Namen macht sich das Unternehmen abseits des Plugins vor allem durch Bekanntgabe von Sicherheitslücken, der aktiven Arbeit, den ständigen Updates und zuletzt unter anderem durch ihre Top 100 Liste von Wordpress-Fehlern. Alles in allem scheint die Firma jedenfalls recht aktiv und hinterlässt deshalb auch einen guten Eindruck. Doch Schluss mit dem Gesülze, was kann Wordfence denn nun im Detail und ist das Ganze auch wirklich eine Empfehlung wert?
Scannen auf Schadcode
Nach der Installation gewährt Wordfence erst einmal den Ausblick auf eine Menge Funktionen und Möglichkeiten. Fast schon zu viele, wenn ihr mich fragt, denn gerade Anfänger dürften direkt überfordert sein. Die integrierte Tour erklärt aber immerhin in Textform zunächst das Wichtigste und letztendlich steht der erste Scan an. Der wird garantiert etwas finden, denn Worfence Security ist bekannt für Falschmeldungen. Ihr müsst die Ergebnisse also selbst noch einmal kontrollieren und im Einzelfall entscheiden ob es sich dabei wirklich um eine Sicherheitslücke oder veränderten Code handelt, oder einfach nur um ganz normale Änderungen eurerseits bzw. vertrauenswürdigen Plugins. Im Test meldete Wordfence unter anderem eine ganz harmlose Logdatei, sowie Wordpress-Dateien, die einfach nur auf Deutsch statt auf Englisch waren. Beides 100 Prozent keine Sicherheitslücke, doch Wordfence wollte sie mir eben melden. Auf Dauer können solche Falschmeldungen des Scans dann doch ein wenig auf die Nerven gehen, gerade eben als Anfänger, wenn ihr nie so recht wisst ob das jetzt eine berechtige Meldung ist oder nicht. Der Scan selbst checkt Wordpress-, Theme-, sowie Plugin-Dateien, prüft alles auf bekannte Sicherheitslücken oder fragwürdige URL’s, macht eben alles was notwendig ist, um eventuell veränderten Code zu entlarven und anschließend zu löschen. Wie ein normaler Virus-Scan, nur eben innerhalb von Wordpress.
Vergleichsweise schwache Firewall
Die Firewall von Wordfence gefällt mir persönlich allerdings weniger. Statt Get- und Post-Variablen etc. im Detail abzufragen und einzelne Regeln festzulegen, lassen sich bei Wordfence lediglich ein paar Einstellungen zu den Zugriffen vornehmen. Die sind schön beschrieben, sodass auch Anfänger wissen was gemeint ist, doch deshalb eben auch zu simpel und oberflächlich gehalten. So lassen sich häufige Zugriffe regulieren oder blockieren, auch Fake-Crawler, die sich als Google-Crawler ausgeben, können geblockt werden. Hier wäre ich allerdings sehr sehr vorsichtig, denn im Test blockierte Wordpress Security dann auch sehr schnell offizielle und wichtige Crawler, auch Google selbst meldete sich kurze Zeit später über die Webmaster-Tools mit Fehlern zurück. Allgemein dient die Firewall daher vor allem als Zugriffskontrolle, damit niemand, egal ob User oder Bot, zu schnell und zu oft auf die Website zugreift. Da geht im Vergleich dann doch ein wenig mehr, was ich von einer Firewall eigentlich auch erwarte. So richtig punkten kann Wordfence in diesem Bereich also leider nicht.
Falcon Cache-Engine
Als kleines Highlight präsentiert Wordfence Security die hauseigene Falcon Cache-Engine. Der Falcon Cache (Übrigens ein cooler Name, wie ich finde) soll vor allem mit kurzen Ordernamen punkten, um den Cache noch einmal deutlich zu beschleunigen und die Verzeichnisse möglichst flach anzulegen, was in schnelleren Zugriffszeiten resultieren soll. In der Praxis leistet der Falcon Cache auch tatsächlich gute Arbeit, ist aber im Vergleich trotzdem nicht unbedingt herausragend. Zum einen gibt es zu wenig Optionen für Sonderfälle und Profis, zum anderen ist er nicht schneller als beispielsweise Cachify im HDD-Modus oder WP-Rocket, richtig eingestellt. Außerdem verstehe ich trotz aller Erklärungen von Wordfence nicht, warum eine Cache-Engine in ein Security Plugin gehört. Für mich sind das zwei paar Schuhe, die klar voneinander getrennt werden sollten, selbst wenn sie perfekt zusammenarbeiten. Als einfacher Cache funktioniert die Falcon-Engine aber durchaus und ist auch tatsächlich recht flott, nur eben nicht weltbewegend oder wirklich beeindruckend, sodass sie ein echtes Argument für das Wordpress Plugin wäre. Es ist halt einfach ein funktionierender Cache, der, wie schon gesagt, für mich nicht in ein Security Plugin gehört und den es anderswo genau so gut gibt.
Sonstige Features
Abseits von all dem Offensichtlichen, gibt es innerhalb von Wordfence noch verschiedene kleinere Features. Beispielweise einen Brute-Force-Schutz beim Login, einen automatischen Malware-URL Scan für die Kommentare, die Wordpress-Version kann im Code versteckt werden, sowie einiges mehr. Interessant ist auch das Zurückgreifen auf das Wordfence-Netzwerk, denn Wordfence Security kann Daten senden und empfangen. Wird also eine andere Website im Netzwerk aggressiv angegriffen, wird derselbe Angriff bei der eigenen Homepage nach Möglichkeit schon von vorherein abgeblockt. Außerdem gibt es da ja noch die Premium-Version, die eine Zwei-Faktor-Authentifizierung mitbringt, die Blockierung ganzer Länder erlaubt, sowie automatische Scans aktiviert. Allerdings erfordert die Premium-Version von Wordfence dann auch einen API-Key und der kostet zurzeit 39 Dollar pro Website, wobei es günstiger wird wenn ihr mehrere Keys auf einmal und für mehrere Jahre im voraus bestellt. Teuer ist das nicht, aber ob Wordfence sein Geld wirklich wert ist? Ich selbst bin mir da nicht so sicher.
Fazit zu Wordfence Security
Nun ist Wordfence eine der beliebtesten Erweiterungen auf Wordpress.org, verzeichnet demnach Millionen von Downloads und bekommt fast nur 4 oder 5 Sterne als Bewertung verliehen, was soll ich also noch groß dazu sagen? Für mich erfüllt Wordfence zwar seinen Job, doch der Preis dafür ist mir zu hoch. Der API-Key ist damit natürlich nicht gemeint, denn den braucht es gar nicht, auch die Free-Version taugt schon etwas, es geht mir mehr um die Performance und die Beanspruchung die Wordfence an Wordpress selbst stellt. Das Plugin nistet sich extrem tief im System ein, die Scans fressen eine Menge Speicher, der Betrieb selbst natürlich auch. Die Datenbank wird beschrieben und mit neuen Tabellen gefüttert, das Plugin braucht vollen Zugriff auf den Ordner “wp-admin” und die Firewall ist ist mir letztendlich viel zu flach ausgefallen. Gleiches gilt für den Falcon Cache. Im Grunde macht er zwar nichts falsch, macht aber auch nichts wirklich besser und hat in einem Security Plugin meiner Meinung nach schlichtweg nichts zu suchen. Das ist aber gleichzeitig beschreibend, denn Wordfence will alles und scheint alles irgendwie integriert zu haben, ist deshalb aber auch überladen und langsam, einfach nicht mehr performant. Für mich ein Alleskönner-Plugin, welches aber bei keiner Funktion wirklich ins Details geht oder überragende Ergebnisse liefert. Im Gegenteil: In Sachen Performance wird sich Wordfence bei euch negativ bemerkbar machen, auch wenn es damit wirbt Websites bis zu 50 mal schneller zu machen. Letzteres gilt wohl nur für die, die noch nie etwas von Caching gehört haben, denn der Rest ist eher Ballast. Am Ende könnte Wordfence also eine tolle All-in-One-Lösung sein, ist aber zu aufgebläht und undurchsichtig geworden, als dass sich die Installation des Plugins lohnen würde. Schade.
