Der Markt an Sicherheitsplugins für WordPress ist groß. Oft gibt es diese Plugins in einer freien Version mit kleinerem Funktionsumfang und einer Pro-Version, die dann weitere Bereiche absichert.
Wordfence hat einen Beitrag herausgebracht, in dem es um die wichtigsten Punkte bei der Entscheidung für oder gegen ein kostenpflichtiges Sicherheitsplugin geht.

Wordfence nennt hier 5 Merkmale, die man beachten sollte

1. Verfügt das Plugin über eine Firewall?

Eine überaus wichtige Funktion gegen der Schutz vor Angreifern bietet eine Firewall, in diesem Fall eine web-basierte Firewall. Der Begriff WAF leitet sich von Web Application Firewall ab, kurz wAF genannt. Damit eine WAF effektiv ist, muss sie einige grundlegende Anforderungen erfüllen:

Sie muss eine Vielzahl von Angriffen blockieren, basierend auf der Fähigkeit, Website-Anfragen erst einmal auch als Angriffe zu erkennen. Zu den Angriffsarten gehören SQL-Injection-Angriffe, Remotecodeausführung, Cross-Site-Scripting und Cross-Site-Request-Forgery-Angriffe.
Die WAF muss einen Regel-Satz haben, der fortlaufend aktualisiert wird. Diese Regeln werden verwendet, um Angriffe zu erkennen und zu blockieren. Sie können nicht nur aktualisiert werden, wenn die Software aktualisiert wird. Sie müssen ständig über einen “Feed” aktualisiert werden.

Die WAF muss ALLE Anfragen analysieren, nicht nur Anfragen, die eine bestimmte Anwendung betreffen. Mit anderen Worten: Wenn Sie eine WordPress-WAF installiert haben, müssen diese Anforderungen blockieren, die versuchen, direkt auf ein Skript in einem WordPress-Unterverzeichnis zuzugreifen, sowie auf Anfragen, die WordPress selbst betreffen.

Die WAF muss sehr leistungsfähig sein. Die Anwendung prüft jede Anfrage, die auf Ihre Website gelangt, und es ist sehr wichtig, dass Ihre Website nicht langsamer wird.

2. Cloud-Firewalls können umgangen werden und haben keine Identitätsdaten

Da Cloud-Firewalls auf entfernten Servern im Internet ausgeführt werden, ist es für einen Angreifer möglich, sie umzugehen und Ihre Site direkt anzugreifen. Wir haben darüber etwas ausführlich geschrieben.

Da Cloud-Firewalls remote ausgeführt werden, haben sie keinen Zugriff auf Ihre WordPress-API und -Datenbank. Das heißt, sie kennen keine grundlegenden Dinge wie: “Ist ein Benutzer auf Ihrer Website angemeldet oder nicht?” Sie haben diese Daten nicht, damit sie sie nicht bei der Entscheidungsfindung verwenden können, wer zu erlauben und zu blockieren ist.

Cloud-Firewalls verwenden auch einen Regelsatz, der generisch ist. Ihre Regeln sind für alle Websites ausgelegt. Das heißt, sie sind nicht auf eine bestimmte Plattform spezialisiert. Das Ergebnis ist, dass sie einige der bekanntesten und einfachsten Angriffe auf einer Plattform wie WordPress erlauben.

Wordfence wurde speziell für WordPress entwickelt und verwendet die Benutzeridentität, um Entscheidungen zu treffen, und es ist nicht möglich, die Wordfence-Webanwendungs-Firewall zu umgehen, da sie direkt auf Ihrer WordPress-Website ausgeführt wird.