Die Sicherheit der eigenen WordPress-Website sollte jedem Website-Besitzer eine Herzensangelegenheit sein, denn leider hat nicht jeder Nutzer des World Wide Web gute Absichten – im Gegenteil. Als derzeit populärste CMS-Lösung ist WordPress daher eine optimale Zielscheibe für Hackerangriffe. Eine Sicherheitslücke und zack, schnappen sie zu.
Daher ist es nicht so abwegig, dass sich Website-Betreiber nicht nur auf den Schutz durch WordPress selbst verlassen möchten und zu speziellen Sicherheits-Plugins greifen, um die eigene Website optimal gegen Angriffe zu schützen.
Als Retter in der Not fällt die Wahl hierbei nicht allzu selten auf das Plugin Wordfence, welches von mehr als 4 Mio. WordPress Websites eingesetzt wird. Aber ist dessen Einsatz überhaupt DSGVO-konform?
Wordfence – was ist das?
Wordfence ist einer der Big-Player in puncto WordPress Security Plugins. Das Plugin kombiniert eine Vielzahl an konfigurierbaren Security-Features – und das bereits in der kostenlosen Version. Sie verfügt über eine gute Firewall und essenzielle Funktionen, um dein WordPress sicherer zu machen.
Wordfence ist für zahlreiche Betreiber einer WordPress-Website essenziell, da Schadsoftware und Hackerangriffe zu drastischen Konsequenzen, wie Performance-Probleme und Datendiebstahl, führen können. Durch das Einbetten von bösartigem Code und schädlichen Scripts können Hacker Daten der Website-Besucher kinderleicht ausspionieren. Aber auch die Grundfunktionalität deiner Website kann unter dem veränderten Code leiden.
Auch Google sieht es nicht gern, wenn eine Website Opfer eines Hackerangriffs wird. Leider bist in diesem Fall du, als Website-Betreiber, die leidtragende Person. Die Wahrscheinlichkeit, dass Google deine Seite in die Blacklist aufnimmt, ist nicht gerade gering. Infolgedessen kannst du mit hohen Verlusten im Google-Ranking rechnen. Deine ursprüngliche Position zurückzugewinnen, ist nahezu unmöglich.
Wordfence erhöht die Sicherheit deiner Website, indem das Plugin unter anderem folgende Funktionen abdeckt:
- Regelmäßiger Website-Scan und Prüfung auf Sicherheitslücken
- Schutz vor Brute-Force-Attacken (Ausprobieren aller möglichen Passwörter, bis das richtige gefunden ist) durch maximale Anzahl an Login-Versuchen
- Erkennung manipulierter Plugins
- Regelmäßige Updates
- Auskunft über Code-Änderungen
- Simpler Viren-Scanner deiner WordPress-Website
- etc.
Wie du siehst, ist Wordfence theoretisch ein super Plugin, um die Sicherheit deiner WordPress-Website schnell und einfach signifikant zu erhöhen.
💡 Apropos Sicherheitslücken: Wenn dir das Wohl deiner Website und darauf verarbeiteter Daten am Herzen liegt, solltest du definitiv die Finger von illegalen, kostenlosen Downloads (z.B. Nulled Plugins) lassen. Auch wenn der geringe Kostenfaktor verlockend erscheint, sollte man in diesem Fall nicht am Ende sparen. Nulled Versionen sind ein Paradies für Malware und Hackerangriffe.
Wordfence und die DSGVO
Sicherheitsfunktion hin oder her – aber wie sieht es eigentlich mit Wordfence und dem Datenschutz aus? Denn um deine WordPress-Website sicherer zu machen und beispielsweise Brute-Force-Angriffe zu erkennen, speichert Wordfence die IP-Adresse deiner Besucher.
Gemäß Artikel 6 DSGVO dürfen personenbezogene Daten – zu denen in einigen Ländern auch die IP-Adresse zählt – nur unter bestimmten Bedingungen erhoben werden. Das heißt, dass für die Erhebung, Verarbeitung und Speicherung solcher Daten im Normalfall die aktive und informierte Einwilligung des Besuchers erforderlich ist (Opt-in-Methode).
Wordfence überträgt standardmäßig die IP-Adresse eines Teils deiner Besucher an ihren Cloud-Dienst (in den USA). Da die USA seit dem Ende des Privacy Shields - einem Datenschutzabkommen zwischen den USA und der EU - vom EuGH als unsicheres Drittland mit unzureichendem Datenschutzniveau eingestuft werden, darf die Übermittlung personenbezogener Daten generell nur mit Zustimmung des Website-Besuchers erfolgen.
Es kann jedoch sein, dass du diese Einwilligung zum Zeitpunkt der Datenübertragung noch nicht einholen konntest. Wir empfehlen dir daher, die entsprechende Funktion unter Wordfence > All Options > Brute Force Protection > Additional Options > Participate in the Real-Time Wordfence Security Network zu deaktivieren.
Der Bruteforce-Schutz funktioniert auch, ohne dass die Funktion abgeschaltet werden muss. Der einzige Unterschied ist, dass er nicht mehr von der Cloud-Datenbank unterstützt wird.
Wie kann ich Wordfence datenschutzfreundlich verwenden?
Grundsätzlich gilt, dass du im Gegensatz zu anderen Plugins bei der Verwendung von Wordfence vergleichsweise wenig Maßnahmen ergreifen musst, um das WordPress-Plugin DSGVO-konform einsetzen zu können. Dennoch musst du einige Kriterien erfüllen, um Wordfence datenschutzkonform zu verwenden.
📝 Datenschutzerklärung
Es ist sehr wichtig, dass du Wordfence in deiner Datenschutzerklärung aufführst. Im Detail solltest du erläutern:
- Weshalb und wie du personenbezogene Daten im Zuge des Einsatzes von Wordfence verarbeitest
- Auf welcher Rechtsgrundlage nach Art. 6 DSGVO die Verarbeitung geschieht
- Hinweis auf Widerspruchsrecht
Sobald das Setzen nicht-essenzieller Cookies oder Verarbeiten personenbezogener Daten eine Rolle spielt, benötigst du eine Opt-in-Einwilligung deiner Besucher. Klingt in der Theorie einfach, ist in der Praxis jedoch nicht einfach umsetzbar, weshalb Website-Betreiber hierbei nicht allzu selten in teure Datenschutzfallen treten. Auch viele vermeintlich DSGVO-konforme Opt-in-Cookie Banner decken meist nicht die erforderlichen Kriterien ab.
Mit Real Cookie Banner haben wir genau das in Angriff genommen. Wir nehmen dir die nervige Recherche und das komplexe Einrichten deines datenschutzkonformen Cookie Hinweises ab, sodass du deine Website nicht nur gegen fiese Hacker, sondern auch kostspielige Bußgelder schützen kannst.
Mittels integrierter Scanner-Funktion und anfängerfreundlicher Bedienbarkeit kannst viele Services automatisch aufspüren, die du in deinem WordPress einsetzt.
Ein Service-Template für Wordfence findest du in Real Cookie Banner, da Wordfence Cookies setzt. Du musst deine Website-Besucher hierüber informieren, aber nach unserer Rechtsauffassung benötigst du keine Einwilligung. Technisch notwendige Cookies darfst du gemäß der ePrivacy-Richtlinie (Richtlinie 2009/136/EG) Art. 66 ohne Zustimmung setzen. Für die Übermittlung personenbezogener Daten, wie der IP-Adresse, in die USA benötigst du jedoch eine Einwilligung (+ Du solltest die entsprechende Funktion im Plugin selbst deaktivieren). Die Sicherheit deiner Website ist nicht nur für dich, sondern vor allem für deine Website-Besucher essenziell, da diese sicher auf deiner Website surfen möchten.