WordPress-Firewalls sind Web Application Firewalls (WAFs), die speziell für den Schutz von WordPress-Sites entwickelt wurden. Die von uns verwendeten und empfohlenen WordPress-Firewalls sind Sucuri, Malcare und BBQ: Block Bad Queries.
WAFs sind relativ neu in der Web-Sicherheitsbranche. Deshalb haben wir diesen Leitfaden geschrieben, um zu erklären, was Firewalls sind und wie sie sich zu WAFs entwickelt haben. Außerdem werden die verschiedenen Arten von WordPress-Firewalls, die auf dem Markt erhältlich sind, und ihre Funktionsweise erläutert.
- Das Konzept von Firewalls
- Weiterentwicklung zu Web Application Firewalls
- Firewalls der ersten Generation – Paketfilterung
- Firewalls der zweiten Generation – Stateful Filtering
- Firewalls der dritten Generation – Application Layer Filtering
- Web Application Firewalls / WordPress Firewalls
- Wie funktionieren WordPress-Firewalls?
- Unterschiedliche Arten von WordPress-Firewalls
- WordPress-Firewalls Plugins
- Dedizierte WordPress-Webanwendungs-Firewalls vor Ort
- Online-WordPress-Website-Firewalls
- Online-Firewalls können umgangen werden
- Generelle Einschränkungen von WordPress-Firewalls
- Beschränkter Schutz vor Zero-Day-Schwachstellen
- Umgehungen von Web Application Firewalls
- Sollten Sie eine WordPress-Firewall verwenden?
Das Konzept von Firewalls
Eine Firewall ist eine Sicherheitssoftware oder ein Dienst, der zwischen zwei oder mehr Netzwerken installiert wird, um sowohl den eingehenden als auch den ausgehenden Datenverkehr der einzelnen Netzwerke zu kontrollieren. Sie fungiert als Barriere zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netz.
In einer typischen Einrichtung wird eine Firewall zwischen einer Internetverbindung und einem internen Netz installiert. Sie wird verwendet, um das Netzwerk vor eingehenden Internet-Angriffen zu schützen. Sie wird auch verwendet, um zu kontrollieren, wer auf das Internet zugreifen kann. Wenn Sie zu Hause einen WiFi-Router verwenden, ist der Router die Firewall Ihres Hauses. Heutzutage haben fast alle WiFi-Router für den Heimgebrauch eine eingebaute Firewall.
Weiterentwicklung zu Web Application Firewalls
Firewalls der ersten Generation – Paketfilterung
Ursprünglich waren Firewalls dazu gedacht, den Netzwerkverkehr zu kontrollieren und zu blockieren. Sie filterten nur Pakete und verstanden die Nutzlast des Datenverkehrs nicht. Wenn Sie also eine Website in Ihrem Netzwerk gehostet haben, mussten Sie Port 80 durch die Firewall für die Öffentlichkeit öffnen.
Wenn Sie einen Port öffnen, lässt die Firewall jede Art von eingehendem Datenverkehr durch, auch bösartigen Datenverkehr.
Firewalls der zweiten Generation – Stateful Filtering
Die zweite Generation von Firewalls arbeitete auf Schicht 4 des OSI-Modells. Das bedeutet, dass sie die Art der Verbindung, die sie bearbeiten, bestimmen konnten. So konnten sie z. B. feststellen, ob ein Paket eine neue Verbindung eröffnet oder ob bereits eine Verbindung besteht usw.
Doch die Firewalls der zweiten Generation hatten viele Einschränkungen bei der Kontrolle des Datenverkehrs. Immerhin konnten Administratoren Firewall-Regeln auf der Grundlage des Verbindungsstatus erstellen.
Firewalls der dritten Generation – Application Layer Filtering
Die Firewalls von heute wurden Mitte der neunziger Jahre eingeführt. Die moderne Firewall-Technologie versteht Anwendungen und Protokolle. So können Firewalls der dritten Generation verstehen, ob die Nutzlast eines Pakets für einen FTP-Server bestimmt ist und wie die Anfrage lautet, oder ob es sich um eine HTTP-Verbindungsanfrage handelt und wie die Anfrage lautet.
Diese Technologie führte zur Entwicklung von Single Scope Firewalls, wie den Web Application Firewalls.
Web Application Firewalls / WordPress Firewalls
Web Application Firewalls sind Single Scope Firewalls. Ihre Aufgabe in einem Netzwerk ist es, eine Website vor bösartigen Hackerangriffen zu schützen.
Eine WordPress-Firewall ist eine Web Application Firewall, die speziell für den Schutz von WordPress entwickelt wurde. Wenn eine WordPress-Firewall auf Ihrer WordPress-Website installiert ist, läuft sie zwischen Ihrer Website und dem Internet, um alle eingehenden HTTP-Anfragen zu analysieren.
Wenn eine HTTP-Anfrage bösartige Nutzdaten enthält, trennt die WordPress-Firewall die Verbindung.
Wie funktionieren WordPress-Firewalls?
Die Art und Weise, wie eine WordPress-Firewall bösartige Anfragen erkennt, ähnelt der Art und Weise, wie Malware-Software Malware-Infektionen erkennt. Sie verwenden eine Liste bekannter Angriffe, die Signaturen genannt werden, und wenn die Nutzlast einer HTTP-Anfrage mit einer Signatur übereinstimmt, bedeutet dies, dass die Anfrage bösartig ist.
Die meisten WordPress-Firewalls erlauben es nicht, die Angriffssignaturen zu ändern. Nicht WordPress-zentrierte Web Application Firewalls sind jedoch in hohem Maße konfigurierbar. Sie können sie speziell für Ihre Website anpassen, sei es WordPress oder eine kundenspezifische Lösung. Sie können Ihre eigenen Sicherheitsregeln, Ausnahmen usw. erstellen. Allerdings sollte man bei der Konfiguration einer Webanwendungs-Firewall sehr vorsichtig sein, damit der rechtmäßige Datenverkehr nicht blockiert wird.
Einige Webanwendungs-Firewalls verfügen auch über eine automatische Lerntechnologie. Diese heuristische Technologie analysiert den Datenverkehr Ihrer Website, um zu lernen, was legitimer Datenverkehr ist und was nicht.
Unterschiedliche Arten von WordPress-Firewalls
WordPress-Firewalls Plugins
Die meisten selbst gehosteten WordPress-Firewalls sind WordPress-Plugins. Wenn Sie eine Plugin-Firewall installieren, wird jede HTTP-Anfrage, die an Ihre Website gesendet wird, wie folgt verarbeitet:
- Zuerst empfängt sie der Webserverdienst (Apache oder Nginx).
- Dann wird der WordPress-Bootstrap/Load ausgelöst, der WordPress initialisiert (wp-config.php, initialisiert die Datenbankverbindung, WordPress-Einstellungen usw.).
- Bevor die Anfrage tatsächlich von WordPress verarbeitet wird, wird sie vom WordPress-Firewall-Plugin geparst.
WordPress-Firewall-Plugins sind ideal für KMUs, da sie sehr erschwinglich und einfach zu verwenden sind. Außerdem verfügen die meisten von ihnen über integrierte Malware-Scanner. Allerdings laufen diese Firewalls auf Ihrer Website und werden von WordPress initialisiert. Sollte es also eine Schwachstelle auf Ihrer Website geben, bevor die Firewall initialisiert wird, besteht die Möglichkeit, dass Angreifer vollen Zugriff auf Ihre WordPress-Site erhalten.
Dedizierte WordPress-Webanwendungs-Firewalls vor Ort
Generische Webanwendungs-Firewalls können auch als WordPress-Firewalls verwendet werden. Dabei kann es sich um eine dedizierte Hardware-Appliance oder eine Software handeln.
Generische Web Application Firewalls werden zwischen Ihrer WordPress-Website und der Internetverbindung installiert. Jede HTTP-Anfrage, die an Ihre WordPress-Website gesendet wird, durchläuft also zunächst die WAF. Diese WAFs sind sicherlich eine sicherere Lösung als WordPress-Firewall-Plugins. Sie sind jedoch teuer und ihre Verwaltung erfordert spezielle technische Kenntnisse. Daher werden sie in der Regel nicht von kleinen Unternehmen verwendet.
Online-WordPress-Website-Firewalls
Im Gegensatz zu selbst gehosteten WordPress-Firewall-Plugins oder -Appliances muss eine Online-WordPress-Firewall nicht im selben Netzwerk wie Ihr Webserver installiert werden. Es handelt sich um einen Online-Dienst, der wie ein Proxy-Server funktioniert – der Datenverkehr Ihrer Website wird gefiltert und dann an Ihre Website weitergeleitet.
Wenn Sie eine Online-WordPress-Firewall verwenden, konfigurieren Sie die DNS-Einträge Ihrer Domain so, dass sie auf die Online-WAF zeigen. Das bedeutet, dass Ihre Website-Besucher tatsächlich mit der Online-WordPress-Firewall und nicht direkt mit Ihrer WordPress-Site kommunizieren.
Typischerweise hat eine Online-Firewall mehr als einen Anwendungsbereich. Neben dem Schutz Ihrer WordPress-Website vor Hackerangriffen kann sie auch als Caching-Server und CDN dienen. Online-Webanwendungs-Firewalls sind im Vergleich zu selbst gehosteten generischen Webanwendungs-Firewalls auch sehr erschwinglich.
Online-Firewalls können umgangen werden
Eine bekannte Einschränkung von Online-WordPress-Firewalls ist, dass Ihr Webserver über das Internet erreichbar sein muss, damit die WAF den Datenverkehr zu Ihrer WordPress-Site weiterleiten kann. Das bedeutet, dass jeder immer noch direkt mit Ihrem Webserver kommunizieren kann, wenn er dessen IP-Adresse kennt.
Bei nicht gezielten WordPress-Angriffen, bei denen Angreifer einfach ganze Netzwerke nach anfälligen Websites durchsuchen, sind Ihr Webserver und Ihre Website also immer noch direkt erreichbar. Sie können jedoch die Firewall Ihres Servers so konfigurieren, dass sie nur auf Datenverkehr reagiert, der von der Online-WordPress-Firewall kommt, um nicht Opfer eines solchen Angriffs zu werden.
Generelle Einschränkungen von WordPress-Firewalls
Beschränkter Schutz vor Zero-Day-Schwachstellen
Eine der gängigsten WAF-Schutztechniken besteht darin, die Nutzlast einer HTTP-Anfrage mit einer Datenbank von Signaturen zu vergleichen. Wenn also jemand Ihre Website besucht, vergleicht die WAF die Nutzdaten mit einer Datenbank bekannter Webangriffe. Wenn sie übereinstimmt, bedeutet dies, dass sie bösartig ist, wenn nicht, wird sie durchgelassen.
Im Falle einer Zero-Day-Schwachstelle in WordPress besteht daher die Möglichkeit, dass Ihre WordPress-Firewall den Angriff nicht blockiert. Aus diesem Grund ist die Reaktionsfähigkeit des Anbieters entscheidend, und Sie sollten immer Software von reaktionsfähigen und vertrauenswürdigen Unternehmen verwenden. Je schneller der Anbieter die Firewall-Regeln aktualisieren kann, desto besser.
Umgehungen von Web Application Firewalls
Web Application Firewalls sind wie jede andere Software. Sie haben ihre eigenen Probleme und können Schwachstellen haben. In der Tat gibt es eine ganze Reihe von Whitepapers und Artikeln, die sich mit Techniken zur Umgehung des Schutzes von Web Application Firewalls befassen. Aber solange der Anbieter auf solche Probleme eingeht und sie rechtzeitig behebt, ist alles in Ordnung.
Sollten Sie eine WordPress-Firewall verwenden?
Dennoch! Welche WordPress-Firewall sollten Sie verwenden? Jede WordPress-Firewall hat ihre Vor- und Nachteile, also wählen Sie diejenige, die am besten zu Ihren Anforderungen passt. Aber auch wenn Sie eine WordPress-Firewall haben, sollten Sie nicht unvorsichtig sein.
Es gibt keine hundertprozentige Lösung, wenn es um die Sicherheit von WordPress geht. Daher sollten Sie immer abhärten > Überwachen > Verbessern > Testen. Führen Sie ein Aktivitätsprotokoll für Ihre WordPress-Site, implementieren Sie eine solide WordPress-Backup-Lösung und verwenden Sie eine WordPress-Firewall. Dies sind die, die wir empfehlen und mit denen wir gerne arbeiten:
- Malcare WordPress-Firewall und Malware-Scanner-Plugin
- Sucuri online WordPress-Firewall und Sicherheitsplattform
- BBQ: Block Bad Queries WordPress-Firewall-Plugin