Wordfence

Wordfence ist ein Sicherheits-Plugin für Wordpress, welche Ihre Installation gegenüber externen Angriffen und Manipulationsversuchen schützt, sowie regelmäßig über Sicherheitslücken und -Updates informiert.

Sie können WordFence wie jedes andere Plugin in Wordpress über das Dashboard installieren. (Setzen Sie eine Multisite ein, installieren Sie Wordfence bitte über die Netzwerk-Übersicht) Ist die Installation abgeschlossen, erscheint auf der linken Seite im Dashboard ein neuer Eintrag für das Wordfence-Dashboard, dort können Sie nun den Lizenzschlüssel eingeben und die Software aktivieren. Um einen Lizenzschlüssel zu erhalten schicken Sie uns bitte eine E-Mail. Sofern die Installation mit einem gültigen Lizenzschlüssel aktiviert worden ist, beginnt Wordfence mit einem Scan der Wordpress-Installation. Dabei werden vermutlich einige Meldungen generiert, die über verschiedenste Sicherheitslücken unterschiedlichen Schweregrades informieren. Gängige Meldungen wären z.B. die Meldung über eine aktuell ungelöste Sicherheitslücke in einem Plugin, oder dass ein Update für ein Plugin bereitsteht. Die Dokumentation seitens Wordfence stellt immer einen guten Ansatzpunkt für Fragen aller Art dar. (https://www.wordfence.com/help/)

WAF (Wordfence Application Firewall)

Nach der Installation und Aktivierung werden Sie eine Meldung sehen können, welche darauf verweist, dass die Wordfence-Firewall optimiert werden kann. Klicken Sie auf "Click here to configure", um die Konfiguration der Application Firewall abzuschließen. In dem aufkommenden Fenster wird Ihnen eine Auswahl an Konfigurationen vorgeschlagen. Hier nehmen Sie am besten keine Änderung vor und lassen die Auswahl auf der empfohlenen Konfiguration. Anschließend laden Sie zur Sicherheit eine Kopie der aktuellen Konfiguration herunter. (.htacces bzw. user.ini) Sollte bei der automatischen Konfiguration etwas schief laufen, wie z.B., dass das Wordpress nicht mehr ordnungsgemäß erreichbar ist, helfen Ihnen die Dateien, den Zustand zurückzusetzen. (Die gesicherten Dateien einfach wieder in das DocumentRoot einfügen und somit die von WordFence durchgeführten Änderungen überschreiben).

Sollten Sie Fragen, Probleme oder Bedenken zu diesem Schritt haben, können Sie uns gerne kontaktieren: webmaster[at]uni-koeln.de

SSH SFTP Update Unterstützung

Von Hause aus unterstützt WordPress lediglich Verbindungstypen, die keinem hohen Sicherheitsniveau entsprechen (FTP, FTPS) und deshalb auf unseren Servern bereits seit Jahren deaktiviert sind. Um weiterhin Installationen und Updates direkt aus Wordpress heraus vornehmen zu können, bedarf es des Plugins SSH SFTP Updater Support. Nach dessen einmaliger manueller Installation steht der Verbindungstyp "SSH2" zur Verfügung, über den Wartungsarbeiten folgend aus WordPress heraus vorgenommen werden können.

REST API Zugriffsschutz

Über die REST-Schnittstelle können Anwendungen mit und aus WordPress heraus kommunizieren. Viele Plugins und Features würden ohne eine solche API nicht funktionieren können. Als sicherheitstechnisch problematisch kann jedoch angesehen werden, dass die WordPress-Standardeinstellung vorsieht, über diese Schnittstelle registrierte Blog-Accountnamen für jedermann abrufbar zur Verfügung zu stellen. Abhilfe kann hier das Plugin Disable WP REST API schaffen, mit dessen Hilfe sich der Zugriff auf diese Informationen sinnvoll beschränken lässt.