Wordfence – Optionen systematisch durchgehen
1. General Wordfence Options
Automatically update Wordfence
✓ Aktivieren
Sicherheitsupdates sollen automatisch eingespielt werden.
Hide WordPress version
✓ Aktivieren
Erschwert automatisierte Angriffe.
Enable separate signing key
✓ Aktivieren
Zusätzlicher Schutz für Wordfence-Komponenten.
2. Dashboard Notification Options
Empfehlung:
✓ Kritische Sicherheitswarnungen
✓ Plugin-Schwachstellen
✓ Administrator-Anmeldungen (optional)
✗ Zu viele Statusmeldungen vermeiden
3. Email Alert Preferences
Für Kundenwebseiten:
✓ Nur kritische Meldungen
✓ Neue Schwachstellen
✓ Firewall-Probleme
✗ Scan abgeschlossen
✗ Jedes gesperrte Login
✗ Traffic-Meldungen
Sonst wird man mit E-Mails überflutet.
Firewall
Basic Firewall Options
Web Application Firewall Status
✓ Enabled and Protecting
Protection Level
✓ Extended Protection
Falls möglich aktivieren.
Advanced Firewall Options
In der Regel keine Änderungen notwendig.
Nur bei Spezialfällen.
Brute Force Protection
Login Failures
Nach wie vielen Fehlversuchen sperren:
Empfehlung:
-
Lock out after: 5 Fehlversuche
-
Count failures over: 5 Minuten
-
Amount of time a user is locked out: 4 Stunden
Forgot Password Abuse
Lock out after:
3 bis 5 Versuche
Immediately lock out invalid usernames
✓ Aktivieren
Besonders wichtig für "admin"-Angriffe.
Rate Limiting
Für normale Webseiten:
If a crawler's page views exceed
240 pro Minute
If a human's page views exceed
240 pro Minute
How should Wordfence treat Google crawlers
✓ Verified Google crawlers = unlimited
When an IP exceeds the limit
✓ Throttle it
Nicht blockieren.
Scan Options
Scan Scheduling
✓ Automatisch
Für normale Webseiten ausreichend.
Basic Scan Type Options
✓ Standard Scan
Premium-Scans nur bei Bedarf.
General Scan Options
✓ Scan plugin files
✓ Scan theme files
✓ Scan core files
✓ Scan posts and comments
✓ Scan for known malware
Performance Options
Normale Webseiten:
✓ Standard
Bei Shared Hosting:
✓ Low Resource Scanning
Advanced Scan Options
Standardwerte belassen.
Nur ändern bei Performanceproblemen.
Live Traffic
Live Traffic Options
Empfehlung:
✗ Deaktivieren
oder
✓ Security Only
Live Traffic ist einer der grössten Ressourcenfresser.
Ich aktiviere ihn nur bei Fehlersuche oder Angriffen.
Login Security
Two-Factor Authentication
Empfohlen:
✓ Administratoren
✓ Redaktoren mit Backend-Zugang
Nicht zwingend für normale Mitglieder.
reCAPTCHA
Sinnvoll bei:
✓ Mitgliederseiten
✓ Shops
✓ Verzeichnissen
✓ Öffentlichen Registrierungen
Oft nicht nötig bei einfachen Firmenwebseiten.
Import / Export
Nach Abschluss:
Wordfence → Tools → Export Options
Datei speichern als:
wordfence-standard.json
Diese Konfiguration künftig für neue Webseiten importieren.
Dadurch erhält jede neue Webseite dieselben bewährten Sicherheitsstandards.
Wordfence – bewährte Grundeinstellungen
Wann setze ich Wordfence ein?
Unbedingt empfohlen
- Mitgliederbereiche
- Verzeichnisse (z. B. WIR-Marktplatz)
- Webseiten mit Login-Bereich
- WooCommerce-Shops
- Vereinswebseiten mit mehreren Benutzern
- Webseiten mit Formularen und regelmässigen Besucherinteraktionen
- Grössere oder öffentlich bekannte Projekte
Kann sinnvoll sein
- Normale Firmenwebseiten
- Vereinsseiten
- Blogs
Oft verzichtbar
- Kleine Landingpages
- Einfache Onepager ohne Login
- Kurzfristige Kampagnenseiten
Bei sehr kleinen Webseiten genügt oft ein gutes Hosting, regelmässige Updates und sichere Passwörter.
Grundeinstellungen
Firewall
- Firewall aktivieren
- Erweiterter Schutz (Extended Protection) aktivieren
- Automatische Aktualisierung der Firewall-Regeln aktivieren
Login Security
- Zwei-Faktor-Authentifizierung für Administratoren aktivieren
- Starke Passwörter erzwingen
- Administrator-Benutzername nicht "admin"
Scan
- Tägliche Scans aktivieren
- Benachrichtigung bei kritischen Problemen aktivieren
- Warnungen für veraltete Plugins aktivieren
Brute Force Schutz
Empfohlene Werte:
- Nach 5 fehlgeschlagenen Logins sperren
- Sperrdauer 4 Stunden
- Nach 20 fehlgeschlagenen Versuchen innerhalb von 24 Stunden längere Sperre
Benachrichtigungen
Nur wichtige Warnungen per E-Mail aktivieren.
Zu viele Meldungen führen dazu, dass echte Probleme übersehen werden.
Export für neue Projekte
Nach der Einrichtung:
Wordfence → Tools → Import/Export Options
Konfiguration exportieren und als Standard für neue Webseiten verwenden.
Zusammenspiel mit Caching-Plugins
Wordfence funktioniert problemlos mit:
- LiteSpeed Cache
- WP Rocket
- FlyingPress
- W3 Total Cache
- Divi Performance Features
Nach grösseren Wordfence-Anpassungen Cache leeren.
Zusammenspiel mit Cloudflare
Wordfence und Cloudflare können gleichzeitig verwendet werden.
Empfohlen:
- Cloudflare für CDN und DDoS-Schutz
- Wordfence für Login-Schutz, Malware-Scans und Firewall
Besonderheiten bei Hostfactory / Plesk
- Scanzeiten möglichst ausserhalb der Hauptbesuchszeiten
- Bei kleinen Hosting-Paketen Scanfrequenz reduzieren
- PHP Memory Limit mindestens 256 MB
Meine Standardentscheidung
Installiere Wordfence bei:
✓ Mitgliederbereichen
✓ Verzeichnissen
✓ Shops
✓ Kundenprojekten mit Login
Prüfe im Einzelfall bei:
✓ Firmenwebseiten
✓ Vereinsseiten
Verzichte meist bei:
✗ einfachen Landingpages
✗ Onepagern ohne Login