Sicherheit ist mehr, als ein Plugin zu installieren oder ein Server-Modul zu aktivieren. WordFence bietet einige Schutzmaßnahmen, die als Best Practice auch empfohlen werden, verleitet aber dazu, gedankenlos alles mögliche anzuklicken und sich damit in der trügerischen Sicherheit zu wiegen, „alles“ Notwendige getan zu haben. Unbedacht eingesetzt wirkt es sich nach meinen bisherigen Erfahrungen rasch recht negativ auf die Performance aus. Fail2Ban ist ein gutes Tool, nützt dir aber nichts gegen falsch gesetzte Benutzerrechte, ein schwaches Passwort, eine unverschlüsselte Übertragung von Zugangsdaten oder eine Sicherheitslücke in einem Plugin.
Deine Frage „WordFence durch WAF ersetzen?“ lässt sich genauso gut beantworten wie „soll ich meine einbruchhemmenden Terrassentüren gegen ein stärkeres Schloß in meiner Haustür ersetzen?“
Es gibt WordPress-Installationen, die seit vielen Jahren auch ohne zusätzliche Absicherung laufen. Aktuelle PHP-Version, aktuelle Software auf dem Server, starke Passwörter, ein paar Best Practice-Regeln können unter Umständen schon reichen. 100%igen Schutz wirst du ohnehin nicht bekommen, aber ein in kürzester Zeit wiederherstellbares Backup ist ja auch nicht zu verachten.
Hallo,
ich kann das, was @pixolin schreibt nur bestätigen.
In besonderen Fällen haben wir die Anmeldung noch zusätzlich durch eine htpasswd gesichert.
Viele Grüße
Hans-Gerd
Da gefällt mir grundsätzlich eine Zwei-Faktor-Autorisierung besser (höchste Zeit, dass das in den Core übernommen wird). Hat aber auch damit zu tun, dass ich htpasswd irgendwie mühsam finde. YMMV.
Eine 2-FA schützt aber nicht vor XSS, SQL Injection etc. aber grundsätzlich wäre das mal ein guter Core-Ansatz.
Die Zwei-Faktor-Autorisierung gefällt mir besser als das htpasswd (wobei auch das Geschmackssache ist und die beiden sich nicht einmal ausschließen). Davon, dass das gegen andere Angriffsvektoren schützt, war keine Rede. 🙂
@pixolin
Hat aber auch damit zu tun, dass ich htpasswd irgendwie mühsam finde.
das stimmt natürlich. Das nehme ich allerdings gerne in Kauf. Aber ist in der Tat Geschmacksache 🙂
2-FA hin oder her, aber es wäre super, wenn noch jemand seine Meinung zum Thema WordFence durch serverseitige Web Application Firewall (WAF) ersetzen abgeben könnte. Erfahrungswerte wären natürlich auch top!
OK, werden wir etwas deutlicher: WordFence und die Web Application Firewall decken zum Teil völlig unterschiedliche Dinge ab. Sie ergänzen sich vielleicht, aber sie ersetzen sich nicht.
Du kannst eine Website ohne WordFence betreiben, sogar ganz ohne weitere Absicherungen. Best Practice ist, serverseitig mit einigen Regeln ein Ausspähen weiter zu erschweren und den Zugriff auf bestimmte Dateien zu verweigern.
Wenn dir das als Auskunft nicht reicht, hilft vielleicht dieser Blogbeitrag weiter:
https://kinsta.com/de/blog/wordpress-sicherheit/