WordPress Webseiten Blogs FireWall – Teil II
WordPress Sicherheit – Webseiten und Blogs einfach und effizient durch eine FireWall absichern Teil II
Zweiter Teil meiner Serie WordPress Sicherheit: Webseiten und Blogs einfach aber effizient durch eine FireWall vor Angreifern absichern. Lesen Sie hier, wie Sie mit einfachen Mittel und wenig Aufwand Ihre WordPress Webseite bzw. Blog vor Angreifern mittels einer FireWall schützen können.
Im ersten Teil meiner kleinen Serie (hier als Blog Artikel bzw. hier als YouTube Video Anleitung) habe ich Ihnen gezeigt, welche Basis Einstellungen und Konfigurationen einen Angriff auf Ihre WordPress Webseite erschweren können. Zum Abschluss möchte ich Ihnen nun zeigen, wie Sie durch die Installation und Konfiguration einer FireWall die Sicherheit Ihrer WordPress Webseite erhöhen.
Ich verwende für meine WordPress Installationen das Plugin NinjaFirewall – und nicht zum Beispiel Wordfence. Aus einem einfachen und aus unserer Sicht wichtigen Grund – den regelmäßigen Updates. Hier kann aus unserer Sicht die NinjaFirewall klar vor den anderen Plugins punkten, sofern es sich um die kostenlose Versionen handelt! Wordfence – als Beispiel – ist an sich ein sehr gutes FireWall Plugin, hinkt aber in der kostenlosen Version bei entsprechenden Updates gerne mal bis zu 4 Wochen hinterher. Nochmals – ich gehe hier in diesem Artikel von den verfügbaren kostenlosen FireWall Plugins aus.
Bitte beachten Sie – auch bei entsprechenden nötigen Basis Einstellungen und der Verwendung von Sicherheit Plugins – wird es keine 100% Sicherheit geben. Achten Sie daher immer auf entsprechende Aktualisierungen und Sicherheitskonzepte – und halten Sie immer Ihre Backups auf dem aktuellsten Stand. Sichern Sie auch vor diesem Tutorial Ihre WordPress Installation – ich übernehme keinerlei Gewähr in Punkto Sicherheit und Datenverlust.
Und nun lassen Sie uns mit dem Tutorial beginnen.
1. Installation des NinjaFireWall Plugin
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, erster Schritt: die Installation gestaltet sich recht einfach und folgt nach dem bekannten Prinzip. Melden Sie sich als Administrator auf Ihrer WordPress Webseite an und wechseln zum Plugin Menü – Untermenü „installieren“. Rechts oben im Suchfeld „Stichwort“ geben Sie als Suchbegriff nun „NinjaFirewall“ ein und bestätigen die Suche. Nachdem Ihnen das NinjaFireWall Plugin angezeigt wird – klicken Sie bitte auf den Button „Jetzt installieren“.
Vergessen Sie bitte nicht nach erfolgreicher Installation, das Plugin zu aktivieren.
Prüfen Sie die Aktivierung gegen, indem Sie links auf das Hauptmenü „installierte Plugins“ klicken um eine Übersicht aller installierten Plugins zu erhalten. Hier sollte die NinjaFireWall in der Liste aufgeführt und auch aktiviert sein. Ist dies nicht der Fall, kann auch hier eine Aktivierung erfolgen. Damit ist das FireWall Plugin installiert – kommen wir zum nächsten Schritt, der Konfiguration.
2. Basis Konfiguration der NinjaFireWall – Full WAF Mode
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, zweiter Schritt: kümmern wir uns als nächstes um die Basis Konfiguration. Diese ist notwendig um zum Beispiel unsere Konfigurationsdatei (Punkt 3) zu laden und/oder um weitere Konfigurationen vorzunehmen.
Wechseln Sie auf der linken Menüleiste erst auf „NinjaFireWall“ und danach auf den Menüpunkt „Dashboard“. Auf dieser Übersichtsseite sehen Sie den Text und Eintrag „For better protection, click here to enable its Full WAF mode.“ Diesen Link klicken Sie bitte an.
Auf der nun erscheinenden Konfigurationsseite bestätigen Sie die Aktivierung des Full WAF Modus mit dem Button „Finish“. Die Einstellung wird gespeichert und Sie sehen erneut die aktualisierte Dashboard Seite. Hier sollte unter dem Eintrag Mode nun folgender Hinweistext stehen: „NinjaFirewall is running in Full WAF mode.“ – damit wäre die Aktivierung des Full WAF Modus abgeschlossen.
3. Vorgefertigte FireWall Konfigurationsdatei laden
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, dritter Schritt: nun ergeben sich zwei Möglichkeiten. Sie übernehmen die „Feinjustierung“ der FireWall selbst von Hand (wie in den nächsten Schritten beschrieben) oder Sie greifen auf eine sehr gute vorkonfigurierte FireWall Einstellungsdatei zurück.
Daniel Ruf – ein WordPress Experte seines Fachs (Blog) stellt eine solche Konfigurationsdatei kostenlos zur Verfügung. Diese muss einfach nur herunter geladen und importiert werden. Nach dem Import sind alle wichtigen Sicherheit- und Datenschutz Features gesetzt.
Starten Sie als erstes Ihren Webbrowser bzw. einen neuen Browsertab und öffnen nachfolgenden Link: https://danielruf.github.io/ninjafirewall-config-browser/ bzw. klicken Sie einfach hier. Sie kommen nun auf diese Startseite der NinjaFireWall Konfigurationsdatei.
Nun geben Sie in dem freien Feld Ihre Email Adresse ein, welche Sie auch für die WordPress Installation angegeben haben. Die Angabe dieser Email Adresse ist nur notwendig für die NinjaFireWall Konfigurationsdatei – und wird danach verwendet um Ihnen entsprechende Status Meldungen zukommen zu lassen. Diese Status Meldungen kommen jedoch vom NinjaFireWall Plugin Ihrer WordPress Seite – nicht von dritter Stelle – Sie geben diese Email also nicht an „fremde“ Personen weiter.
Geben Sie also in dem freien Feld Ihre Email Adresse ein und klicken danach auf den „Download“ Button.
Die erstellte Konfigurationsdatei wird nun lokal auf Ihrem Rechner im Ordner Downloads gespeichert. Schauen Sie am besten kurz nach, ob sich hier die entsprechende .dat Datei befindet und der Download erfolgreich war.
Diese Konfigurationsdatei muss nun nur noch in Ihrem WordPress NinjaFireWall Plugin importiert und aktiviert werden – dies erfolgt im nachfolgenden Schritt.
4. NinjaFireWall Konfigurationsdatei importieren und aktivieren
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, vierter Schritt: wechseln Sie nun erneut zu Ihrer WordPress Administration Seite im Browser. Wählen Sie auf der linken Seite wieder das Menü „NinjaFireWall“ und danach das Untermenü „FireWall Options“ aus. Scrollen Sie auf der rechten Übersichtsseite etwas nach unten – bis Sie den Eintrag „FireWall Configuration“ erreichen. Hier sehen Sie den Eintrag „Import Konfiguration“ und einen entsprechenden Button mit der Aufschrift „Datei auswählen“. Diesen Button klicken Sie bitte an.
Navigieren Sie nun zu Ihrem Download Ordner und wählen die zuvor herunter geladene NinjaFireWall Konfigurationsdatei aus und bestätigen die Auswahl. Die ausgewählte Datei sollte nun neben dem Button „Datei auswählen“ erscheinen. Bestätigen Sie den Import nun unten mit dem Button „Save Firewall Options“.
Sie sollten danach am oberen Bildschirm die Meldung erhalten „your changes has been saved“. Damit haben Sie erfolgreich die Konfigurationsdatei zur Sicherheit und Datenschutz eingespielt und aktiviert.
Gratulation! Das war es eigentlich auch schon. Die wichtigsten Einstellungen sind erledigt und Ihre WordPress Webseite bzw. Blog wieder ein Stückchen sicherer. Wenn Sie wissen wollen welche Einstellungen die Konfigurationsdatei vorgenommen hat, können Sie hier die entsprechenden Screenshots herunter laden. Dabei können Sie selber bei Bedarf Einstellungen zurücknehmen oder erweitern.
Die nachfolgenden Schritte sind nun optional und können bei Bedarf aktiviert oder verändert werden. Ob und welche Optionen Sie ebenso verwenden, hängt stark von Ihren eigenen Bedürfnissen und Anwendungsfällen ab.
5. NinjaFireWall Monitoring aktivieren
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, optionaler fünfter Schritt: das aktivieren der Monitoring Überwachung. Wechseln Sie dazu bitte auf der linken Seite Ihrer NinjaFireWall in das Menü „Monitoring“. Auf dieser Übersichtsseite wiederum klicken Sie auf das Register „File Guard“ – und klicken wiederum auf dem Button „Disabled“.
Bestätigen Sie den Vorgang mit dem Button „Save File Guard options“. Damit schützen Sie zum Beispiel den PHP Bereich Ihrer WordPress Installation und verhindern das Angreifer Skripte zu Ihrem Nachteil erstellen, verändern bzw. anpassen.
6. NinjaFireWall Login Protection
WordPress Sicherheit – Webseiten und Blogs durch eine FireWall absichern, optionaler sechster Schritt: erhöhen Sie die Login Sicherheit. Durch eine Option in NinjaFireWall können Sie die Login Sicherheit bei Bedarf erhöhen – vor allem bei entsprechenden „Brote Force“ Angriffen. Wechseln Sie dazu in das Untermenü „Login Protection“ und klicken auf den Button „Disabled“.
Als erstes können wir die Login Sicherheit im Bezug auf die Anmeldung an sich einstellen. Die erste Option ist das vorsetzen einer Anmeldeseite mit eigenem Benutzernamen und Passwort. Dazu wählen Sie die erste Option aus und vergeben im unteren Feld einen sicheren Benutzernamen und Kennwort. Dazu können Sie angeben, ob diese Art der sicheren Anmeldung generell notwendig ist – oder wenn die NinjaFireWall bemerkt, dass gerade ein (Login) Angriff auf Ihre WordPress Datenbank ausgeführt wird.
Sinn dieses Schutzes ist – die angreifenden Login Bots sind es eigentlich gewohnt nur eine Login Seite (die WP Admin Login Seite) „vor sich zu haben“ und nicht zwei Anmeldeseiten hintereinander – und scheitern daran dann meistens.
Eine weitere Option wäre die Anmeldeseite mit einem Captcha zusätzlich zu sichern. Auch dies ist mit dem NinjaFireWall Plugin möglich. Und auch hier scheitern die meisten angreifenden Bots an der zusätzlich nötigen Captcha Anmeldung. Hier können Sie ebenfalls auswählen – ob der Captcha Schutz dauerhaft oder nur bei erkannten Angriffen vorgeschaltet werden soll.
Scrollen Sie nun etwas weiter runter – ich empfehle zusätzlich noch die Aktivierung des xmlrpc.php Schutzes um auch hier entsprechende Brute Force Angriffe ab zu wehren. Dazu klicken Sie einfach auf den entsprechenden Button – die Beschriftung wechselt dann auf „Yes“.
Bestätigen und speichern Sie nun die Einstellungen zur Login Sicherheit, indem Sie auf den Button „Save Login Protection“ klicken. Sie erhalten ab oberen Bildschirmrand eine entsprechende Erfolgsmeldung.
Damit „wären wir durch“ zum Thema Sicherheit durch die NinjaFireWall. Sie können von Zeit zu Zeit sich die Logs anschauen, welche Angriffe auf welche Art und Weise erfolgt und erfolgreich abgewehrt wurden.In Ihrer WordPress Dashboard Ansicht können Sie die aktuellen Statistiken anschauen. Hier haben Sie auch zwei Links – zu einer optischen Diagramm Ansicht bzw. einem ausführlichen Log Protokoll.
7. NinjaFireWall Benachrichtigungen verwalten
Ein letzter Punkt noch – die Benachrichtigen des NinjaFireWall Plugins. Schnell werden Sie in Ihrer Email Anwendung bemerken – Sie bekommen eine Menge an Informationen – teils auch unnötige Status Meldungen.
Welche Status Berichte Sie per Email erhalten möchten und welche nicht, kann ganz einfach eingestellt werden. Wechseln Sie dazu in das Untermenü „Event Notification“. Hier können Sie nun die entsprechenden Optionen deaktivieren oder aktivieren – je nach Gusto.
Ich persönlich lasse mich gerne per Email informieren, wenn sich ein Benutzer als User oder gar Administrator anmeldet. Oder wenn irgendwelche Plugins installiert oder verändert werden. Entscheiden Sie selber – welche Benachrichtigungen Sie erhalten möchten und welche nicht.
Ein Tipp noch am Ende. Sie bekommen jede Menge Email Benachrichtigungen (bei uns fast stündlich) bei einem Update der NinjaFireWall Sicherheit. Es handelt sich wie gesagt um Sicherheitsupdates seitens des Entwicklers. Es ist schön mit an zu sehen, dass die Herausgeber mehrmals täglich das Plugin anpassen – aber wie geschrieben – das Postfach quillt schnell über mit diesen Benachrichtigungen. Diese Einstellung finden Sie jedoch nicht wie zu erwarten in den „Event Notification“.
Gehen Sie dazu in das Untermenü „Security Rules“ – im Bereich „Notification“ deaktivieren Sie einfach den entsprechenden Haken. Nun erhalten Sie hierzu keine Benachrichtigungen mehr – was auch nicht unbedingt notwendig ist. Vergessen Sie nicht – alle Änderungen müssen durch den jeweiligen Speicher Button übernommen werden.
Dies war es mit unserem zweiten Teil der WordPress Serie Sicherheit – ich hoffe mein kleines Tutorial hat Ihnen gefallen. Über konstruktive Kritik und Feedback würde ich mich freuen. Zögern Sie nicht, mich zu kontaktieren.
Nachtrag vom 02. Juni 2020:
Dieses Tutorial ist nun auch als YouTube Video verfügbar
Webdesign Webhosting Webentwicklung Webseite Homepage WordPress Joomla Typo3 CMS Apache Perl MySQL ASP Webserver Azure SharePoint Grafik Design Facebook Instagram Twitter LinkedIn Pinterest YouTube Herrenberg Tübingen Reutlingen Rottenburg Hechingen Balingen Rottweil Horb Nagold Calw Weil der Stadt Renningen Leonberg Böblingen Sindelfingen Stuttgart Holzgerlingen Waldenbuch Nürtingen