Dieses Tutorial ist VALID.

Bitte lies Dir den Disclaimer durch, bevor Du eine Anleitung umsetzt...

Haftungsausschluss / Disclaimer

WordPress Plugin „Ninja Firewall“ konfigurieren

NinjaFirewall ist ein relativ einfach gehaltenes aber doch ziemlich mächtiges Firewall Plugin für WordPress und sorgt für etwas mehr Sicherheit gegen die alltäglichen Angriffe aus dem Netz.

Nach der Installation von NinjaFirewall konfigurieren wir das Plugin mit einigen grundlegenden Einstellungen.

Wenn wir das Plugin aktiviert haben, taucht links in der Menü-Sidebar ein neuer Punkt „NinjaFirewall“ auf. Hier klicken wir jetzt drauf. Wir landen dann direkt im Dashboard von NinjaFirewall.

Dashboard

Hier bekommen wir angezeigt, dass die Firewall zwar läuft, aber noch nicht im „Full WAF Modus“. Um den zu aktivieren, drücken wir auf den Link „click here“ im Text. Wir belassen alles auf den Standardeinstellungen und möchten, dass Ninja die Änderungen selber vornimmt. Das passiert bei einem Klick auf den Button „Finish“.

Wie wir sehen, hat die Einrichtung geklappt und der Full WAF Modus ist jetzt aktiv.

Firewall Policies

Nun wechseln wir im Menü zu den Firewall Policies.

Hier konfigurieren wir nur die „Basic Policies“. Die beiden erweiterten Modi sind recht speziell und hier sollten die Grundeinstellungen passen…

Bei „Basic“ machen wir folgende Änderungen und setzen bei diesen Punkten jeweils einen Haken:

  • */cache/*
  • Protect admin-ajax.php against suspicious bots
  • alle drei Möglichkeiten von „Protect against username enumeration“
  • bei „WordPress XML-RPC-API“: „Block any access to the API“

Falls wir nicht vorhaben, weitere Benutzer anzulegen, dann bietet sich noch der Punkt „Block user accounts creation“ unter „General“ an. Im Falle des Falles schalten wir das aus, erstellen den Benutzer und schalten die Sicherung dann wieder ein.

Speichern nicht vergessen!

WordPress Plugin „NinjaFirewall“ Setup: Firewall Policies einstellen

Damit haben wir noch ein paar Sachen mit in die Liste aufgenommen, die wir von NinjaFirewall überwacht bzw. sofort geblockt haben wollen…

Event Notifications

NinjaFirewall sendet uns E-Mails, falls einer der hier ausgewählten Vorgänge ausgelöst wird:

  • Ein Administrator loggt sich ins Backend ein
  • Ein Plugin wird hochgeladen
  • Ein Plugin wird installiert
  • Ein Plugin wird deaktiviert
  • Ein Theme wird hochgeladen
  • Ein Theme wird installiert
  • WordPress wird geupdated
  • Ein Administrator Account wird erstellt, bearbeitet oder aus der Datenbank gelöscht
  • Ein Benutzer versucht, sich Admin-Rechte zu verschaffen

Den Tagesbericht schalte ich aus. Das wäre des Guten dann doch zu viel :)

Wir überprüfen, ob die E-Mail Adresse passt, an die diese Überwachungsmails geschickt werden…

Speichern nicht vergessen!

WordPress Plugin „NinjaFirewall“ Setup: Event Notifications

Sollte sich jetzt irgendwas auf unserer WordPress Installation tun, werden wir darüber per Mail informiert und können darauf reagieren!

Login Protection

Der Zugangs-Schutz muss erst aktiviert und dann konfiguriert werden.

Nach dem Aktivieren stellen wir folgende Parameter ein:

  • Den Schutz-Modus auf „Captacha Image“
  • Den Schutz-Zeitraum auf „When under attack“
  • Die Login-Seite schützen vor: „POST request attacks (default)“
  • Den Schutz aktivieren: Für „5“ Minuten, wenn mehr als „8“ POST requests binnen „15“ Sekunden auflaufen. Hier können wir ein wenig spielen, je nachdem, was wir erwarten. Statt 5 Minuten Captcha-Modus 20 zum Beispiel. Oder schon ab 4 Anfragen… Ich lass das aber normalerweise auf den Standardeinstellungen.
  • Die xml-rpc.php soll auch geschützt werden.
  • Wir möchten zusätzlich noch einen Schutz vor Bots.
  • Wenn der Zugangs-Schutz ausgelöst wurde, soll der Vorfall auch ins Server-Log des Docker-Containers geschrieben werden. Wobei ich hier nicht sicher bin, ob das läuft…

Wie immer: Abspeichern!

Das schützt unser WordPress zumindest vor stümperhaften Brute-Force Attacken.
Wichtig: Das ist KEIN Schutz, falls uns jemand mit einem riesigen Bot-Netz attackiert, das aus zehntausenden von Maschinen besteht und jeder Maschine nur einen Login-Versuch unternimmt… Aber wer hat es schon auf unsere kleine Seite abgesehen, um einige hundert Dollar in so einen Angriff zu investieren?

Security Rules

Eine Firewall ist immer nur so gut wie die Regeln, welche sie anwenden kann. Und diese Regeln werden ständig erweitert und angepasst. Unsere Firewall muss sich deswegen hin und wieder ein neues Regelwerk herunterladen.

Die Frequenz stelle ich auf „Twicedaily“, also alle 12 Stunden. Den Punkt „Notification“ schalte ich ab, um nicht bei jedem neuen Regelwerk eine E-Mail zu bekommen…

Und was nicht vergessen…? Richtig! Das Speichern der Einstellungen!

NinjaFirewall weist uns darauf hin, dass wir den wp-cron deaktiviert haben und darum eine Alternative brauchen, da die Updates sonst nicht ausgeführt werden. Da wir ja (hoffentlich!) einen crontab über das Host-System eingerichtet haben, klappt das aber zuverlässig!

Backup / Firewall Options

Über den Menüpunkt „Firewall Options“ können wir die gerade angelegten Einstellungen auf unseren PC sichern. Dazu wählen wir unter der Überschrift „Firewall configuration“ den Punkt „Export configuration“. Wir werden gefragt, wo wir die Datei speichern möchten und sichern sie dann auf unserem PC.

Sollten wir die Einstellungen wiederherstellen wollen, dann klicken wir den Punkt „Import configuration“. Wir wählen die Backup-Datei aus und drücken auf „Öffnen“. Im Anschluss werden unsere Einstellungen wiederhergestellt.

Fazit

Zwischen einer kostenpflichtigen gemanagten Application-Firewall-Lösung und einem aufgeblähten „Security Plugin“ finde ich das NinjaFirewall Plugin absolut gelungen. Es macht was es soll und versperrt wenigstens die groben Lücken. Eine gute Balance aus Aufwand und Nutzen!

Der Ressourcenverbrauch hält sich im Rahmen und unsere Seite wird durch das Plugin nicht ausgebremst.

Absolute Sicherheit ist aber, wie wir wissen, eine Illusion. Und so ist das hier auch nur allenthalben ein Schutz gegen Script-Kiddies und deren Standard-Attacken. Andererseits… Es sollte genügen, uns als Angriffsziel nur ein kleines bisschen unattraktiver zu machen und wir bleiben in der Regel verschont, weil sich niemand den zusätzlichen Aufwand antut.

Hoffen wir einfach darauf ^^

Ansonsten helfen uns nur regelmäßige Backups der Datenbank und unserer Dateien der WordPress Seite über einen längeren Zeitraum hinweg, die Seite gegebenenfalls zurücksichern zu können!

Save early, save often!

Al Lowe

Anzeige *

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwendung
von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Scroll to Top