WAF (Web Application Firewall)
Filter zwischen Internet und Website, der typische Angriffe (SQL-Injection, XSS) blockiert, bevor sie WordPress erreichen.
Eine Web Application Firewall (WAF) ist ein Sicherheits-Filter, der den HTTP/HTTPS-Verkehr zur Website inspiziert und bösartige Anfragen blockiert. Im Gegensatz zur klassischen Netzwerk-Firewall versteht eine WAF Anwendungsprotokolle — sie erkennt also nicht nur Ports, sondern auch konkrete Angriffsversuche.
Was wehrt eine WAF ab?
- SQL-Injection: Manipulierte Datenbank-Anfragen
- Cross-Site Scripting (XSS): Bösartiges JavaScript
- Brute-Force-Login: Massenhaft Passwortversuche
- Bot-Traffic: Aggressive Scraper, Spam-Bots
- OWASP Top 10: Die häufigsten Webanwendungs-Schwachstellen
Cloud-WAF vs. lokal
- Cloud-WAF (Cloudflare, Sucuri, AWS WAF): Vor dem Hoster, blockiert Angriffe an der Quelle.
- Server-WAF (ModSecurity, NinjaFirewall): Auf dem Server selbst, hat tieferen Zugriff.
- Plugin-WAF (Wordfence): Innerhalb von WordPress — letzte Verteidigungslinie.
Worauf achten?
Premium-Hoster (Raidboxes, Kinsta, WP Engine) liefern WAF inklusive — entweder hauseigen oder über Cloudflare-Integration. Bei Shared Hostern oft nicht enthalten oder nur als Aufpreis. Ein WAF ersetzt keine Updates: Wenn Plugins veraltet sind, hilft auch der beste Filter nicht. WAF + regelmäßige Updates + starke Passwörter + 2FA = solides Sicherheitskonzept.