NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall

Omschrijving

Een echte webapplicatie-firewall

NinjaFirewall (WP Edition) is een echte webapplicatie-firewall. Hoewel het net als een plugin kan worden geïnstalleerd en geconfigureerd, is het een zelfstandige firewall die voor WordPress staat.

Het stelt elke blogbeheerder in staat om te profiteren van zeer geavanceerde en krachtige beveiligingsfuncties die meestal niet beschikbaar zijn op WordPress niveau, maar alleen in beveiligingstoepassingen zoals de Apache ModSecurity- module of de PHP Suhosin- extensie.

NinjaFirewall requires at least PHP 5.6, MySQLi extension and is only compatible with Unix-like OS (Linux, BSD). It is not compatible with Microsoft Windows.

NinjaFirewall kan elke HTTP/HTTPS aanvraag die naar een PHP-script wordt verzonden, haken, scannen, opschonen of weigeren voordat het WordPress of een van de plugins ervan bereikt. Alle scripts die zich in de installatie folders en submappen van de blog bevinden, worden beschermd, ook de scripts die geen deel uitmaken van het WordPress pakket. Zelfs gecodeerde PHP-scripts, shell-scripts en backdoors van hackers worden door NinjaFirewall gefilterd.

Krachtige filter engine

NinjaFirewall bevat de krachtigste filterengine die beschikbaar is in een WordPress-plugin. Het belangrijkste kenmerk is de mogelijkheid om gegevens van inkomende HTTP aanvragen te normaliseren en te transformeren, waardoor het de ontwijkingstechnieken van Web Application Firewall en verduisteringstactieken kan detecteren die door hackers worden gebruikt, en om een groot aantal coderingen te ondersteunen en te decoderen. Zie onze blog voor een volledige beschrijving: Een inleiding tot de filter engine van NinjaFirewall.

Snelste en meest efficiënte brute-force aanvalsbescherming voor WordPress

Door inkomende HTTP aanvragen vóór je blog en een van de plugins te verwerken, is NinjaFirewall de enige plugin voor WordPress die het kan beschermen tegen zeer grote brute-force aanvallen, inclusief gedistribueerde aanvallen afkomstig van duizenden verschillende IP’s.

Zie onze benchmarks en stresstests: vergelijking van plugins voor detectie van brute-force-aanvallen

De bescherming is van toepassing op het wp-login.php script, maar kan worden uitgebreid naar de xmlrpc.php script. Het incident kan ook naar het AUTH logboek van de server worden geschreven, wat handig kan zijn voor de systeembeheerder voor controledoeleinden of het verbieden van IP-adressen op serverniveau (bijv. Fail2ban).

Realtime detectie

File Guard real-time detectie is een totaal unieke functie van NinjaFirewall: het kan in real-time elke toegang tot een PHP-bestand dat onlangs is gewijzigd of gemaakt, detecteren en je hierover waarschuwen. Als een hacker een shell-script naar je site heeft geüpload (of een achterdeur in een reeds bestaand bestand heeft geïnjecteerd) en rechtstreeks toegang tot dat bestand heeft gekregen met zijn browser of een script, zou NinjaFirewall de HTTP aanvraag haken en onmiddellijk detecteren dat het bestand onlangs is gewijzigd of gemaakt. Het zou je een waarschuwing sturen met alle details (scriptnaam, IP, verzoek, datum en tijd).

Controle van bestandsintegriteit

Met File Check kun je de integriteit van je bestanden controleren door je site elk uur, twee keer per dag of dagelijks te scannen. Elke wijziging die aan een bestand wordt aangebracht, wordt gedetecteerd: bestandsinhoud, bestandsrechten, bestandseigendom, tijdstempel en het maken en verwijderen van bestanden.

Bekijk je siteverkeer in realtime

Met Live Log kun je je siteverkeer in realtime bekijken. Het geeft verbindingen weer in een formaat dat lijkt op het formaat dat wordt gebruikt door het tail -f Unix commando. Omdat het rechtstreeks met de firewall communiceert, d.w.z zonder WordPress te laden, is Live Log snel en licht van gewicht en heeft het geen invloed op je serverbelasting, zelfs niet als je de verversingssnelheid op de laagste waarde instelt.

Gebeurtenis kennisgevingen

NinjaFirewall can alert you by email on specific events triggered within your blog. Some of those alerts are enabled by default and it is highly recommended to keep them enabled. It is not unusual for a hacker, after breaking into your WordPress admin console, to install or just to upload a backdoored plugin or theme in order to take full control of your website. NinjaFirewall can also attach a PHP backtrace to important notifications.

Bewaakte gebeurtenissen:

  • Beheerder login.
  • Wijziging van elk beheerdersaccount in de database.
  • Plugins uploaden, installeren, (de) activeren, updaten, verwijderen.
  • Thema’s uploaden, installeren, activeren, verwijderen.
  • WordPress update.
  • Pending security update in your plugins and themes.

Blijf beschermd tegen de nieuwste kwetsbaarheden in WordPress beveiliging

Om de meest efficiënte bescherming te krijgen, kan NinjaFirewall de beveiligingsregels automatisch dagelijks, tweemaal per dag of zelfs elk uur updaten. Elke keer dat er een nieuwe kwetsbaarheid wordt gevonden in WordPress of een van de plugins/thema’s, wordt er een nieuwe set beveiligingsregels beschikbaar gesteld om je blog onmiddellijk te beschermen.

Sterke privacy

In tegenstelling tot een Cloud Web Application Firewall of Cloud WAF, werkt en filtert NinjaFirewall het verkeer op je eigen server en infrastructuur. Dat betekent dat je gevoelige gegevens (contactformulier berichten, creditcardnummer van klanten, inloggegevens enz.) Op je server blijven en niet worden gerouteerd via de servers van een derde partij, wat onnodige risico’s kan opleveren (bijv. Decodering van je HTTPS verkeer in om het te inspecteren, werknemers die toegang hebben tot je gegevens of logs in platte tekst, diefstal van privé-informatie, man-in-the-middle-aanval, enz.).

Your website can run NinjaFirewall and be compliant with the General Data Protection Regulation (GDPR). See our blog for more details.

IPv6 compatibiliteit

IPv6-compatibiliteit is een verplichte functie voor een beveiligingsplugin: als deze alleen IPv4 ondersteunt, kunnen hackers de plugin gemakkelijk omzeilen door een IPv6 te gebruiken. NinjaFirewall ondersteunt native IPv4- en IPv6-protocollen, voor zowel openbare als privéadressen.

Ondersteuning voor meerdere sites

NinjaFirewall is compatibel met meerdere sites. Het beschermt alle sites van je netwerk en de configuratie-interface is alleen toegankelijk voor de super beheerder vanaf de hoofdsite van het netwerk.

Mogelijkheid om je eigen PHP code aan de firewall toe te voegen

Je kun je eigen PHP-code aan de firewall toevoegen met behulp van een optioneel gedistribueerd configuratiebestand. Het wordt verwerkt voordat WordPress en al zijn plugins zijn geladen. Dit is een zeer krachtige functie, en er is bijna geen limiet aan wat je kunt doen: je eigen beveiligingsregels toevoegen, HTTP aanvragen, variabelen enz. Manipuleren.

Low footprint firewall

NinjaFirewall is erg snel, geoptimaliseerd, compact en vereist zeer weinig systeembronnen. Overtuig uzelf: download en installeer Query Monitor en Xdebug Profiler en vergelijk de prestaties van NinjaFirewall met andere beveiligingsplugins.

Niet-opdringerige gebruikersinterface

NinjaFirewall ziet eruit en voelt aan als een ingebouwde WordPress functie. Het bevat geen opdringerige banners, waarschuwingen of flitsende kleuren. Het maakt gebruik van de eenvoudige en schone interface van WordPress en is ook smartphone-vriendelijk.

Contextuele Hulp

Elke menupagina van NinjaFirewall heeft een contextueel helpscherm met nuttige informatie over het gebruik en de configuratie ervan. Als je hulp nodig hebt, klik dan op de menutab Help in de rechterbovenhoek van elke pagina in je beheer-paneel.

Meer veiligheid nodig?

Bekijk onze nieuwe supercharged-editie: NinjaFirewall WP+Edition

  • Unix gedeeld geheugengebruik voor communicatie tussen processen en razendsnelle prestaties.
  • Op IP gebaseerde toegangscontrole.
  • Op rollen gebaseerde toegangscontrole.
  • Landgebaseerde toegangscontrole via geolocatie.
  • Op URL gebaseerde toegangscontrole.
  • Bot gebaseerde toegangscontrole.
  • Gecentraliseerde logging.
  • Antispam voor formulieren voor reacties en gebruikersregistratie.
  • Snelheidsbeperkende optie om agressieve bots, crawlers, webschrapers en HTTP aanvallen te blokkeren.
  • Response body-filter om de uitvoer van de HTML-pagina te scannen vlak voordat deze naar je bezoekers browser wordt verzonden.
  • Beter bestandsupload beheer.
  • Beter logs beheer.
  • Syslog-logging.

Lees meer over de unieke functies van de WP+Edition. Vergelijk de WP en WP+Editions.

Eigenschappen

  • WordPress 4.7+
  • Admin/Superadmin with manage_options + unfiltered_html capabilities.
  • PHP 5.6+
  • MySQL of MariaDB met MySQLi extensie
  • Apache / Nginx / LiteSpeed / Openlitespeed compatible
  • Unix achtige besturingssystemen alleen (Linux, BSD, enz.). NinjaFirewall isNIET compatibel met Microsoft Windows.

Schermafdrukken

  • Overzicht pagina.
  • Statistieken en benchmarks pagina .
  • Opties pagina .
  • Policies pages 1/3: NinjaFirewall has a large list of powerful and unique policies that you can tweak accordingly to your needs.
  • Policies pages 2/3: NinjaFirewall has a large list of powerful and unique policies that you can tweak accordingly to your needs.
  • Beleid pagina's 3/3: NinjaFirewall heeft een grote lijst met krachtig en uniek beleid dat je kunt aanpassen aan je behoeften.
  • File Guard: dit is een volstrekt unieke functie, omdat het in realtime elke toegang tot een PHP-bestand dat onlangs is gewijzigd of gemaakt, kan detecteren en je hierover kan waarschuwen.
  • Bestandscontrole: hiermee kun je op verzoek of op een bepaald interval (elk uur, twee keer per dag, dagelijks) monitoring van de bestandsintegriteit uitvoeren.
  • Gebeurtenis kennisgevingen kunnen je per e-mail op de hoogte stellen van specifieke gebeurtenissen die binnen je blog zijn geactiveerd.
  • Login pagina bescherming: de snelste en meest efficiënte brute force bescherming voor WordPress.
  • Firewall log.
  • Live Log: lets you watch your website traffic in real time. It is fast, light and it does not affect your server load.
  • Rules Editor.
  • Security rules updates.
  • Contextuele hulp.
  • Dashboard widget.

Installatie

  1. Upload de ninjafirewall map naar de /wp-content/plugins/ folder.
  2. De plugin activeren via het ‘Plugin’ menu in WordPress.
  3. Plugin instellingen bevinden zich in het menu ‘NinjaFirewall’.

FAQ

Waarom verschilt NinjaFirewall van andere beveiliging plugins voor WordPress?

NinjaFirewall staat tussen de aanvaller en WordPress. Het kan verzoeken filteren voordat ze je blog en de bijbehorende plugins bereiken. Dit is hoe het werkt:

Visitor -> HTTP server -> PHP -> NinjaFirewall #1 -> WordPress -> NinjaFirewall #2 -> Plugins & Themes -> WordPress exit -> NinjaFirewall #3

En dit is hoe alle WordPress plugins werken:

Visitor > HTTP server > PHP > WordPress > Plugins -> WordPress exit

In tegenstelling tot andere security plugins, zal beschermen alle PHP-scripts, met inbegrip van degenen die geen deel uitmaken van de WordPress pakket.

Hoe krachtig is NinjaFirewall?

NinjaFirewall bevat een zeer krachtige filter engine die ontwijkingstechnieken en verduisteringstechnieken van webapplicaties kan detecteren die door hackers worden gebruikt, en die een groot aantal coderingen ondersteunt en decodeert. Zie onze blog voor een volledige beschrijving: Een inleiding tot de NinjaFirewall 3.0 filter engine.

Heb ik root rechten nodig om NinjaFirewall te installeren?

NinjaFirewall vereist geen root-privilege en is volledig compatibel met gedeelde hostingaccounts. Je kunt het installeren vanaf je WordPress beheerconsole, net als een gewone plugin.

Werkt het met Nginx?

NinjaFirewall werkt met Nginx en andere Unix gebaseerde HTTP servers (Apache, LiteSpeed ​​enz.). Het installatieprogramma zal het detecteren.

Moet ik mijn PHP-scripts wijzigen?

Je hoeft geen aanpassingen aan je scripts aan te brengen. NinjaFirewall haakt alle verzoeken af voordat ze je scripts bereiken. Het werkt zelfs met gecodeerde scripts (ionCube, ZendGuard, SourceGuardian enz.).

Ik heb mijn wp-config.php bestand naar een andere map verplaatst. Zal het werken met NinjaFirewall?

NinjaFirewall zoekt naar het wp-config.php script in de huidige map of, als het het niet kan vinden, in de bovenliggende map.

Zal NinjaFirewall de juiste IP van mijn bezoekers detecteren als ik achter een CDN dienst ben zoals Cloudflare?

Je kunt een optioneel configuratiebestand gebruiken om NinjaFirewall te vertellen welk IP-adres moet worden gebruikt. Volg deze stappen.

Zal het mijn site vertragen ?

Je bezoekers zullen geen verschil merken met of zonder NinjaFirewall. Vanuit de WordPress beheerconsole kun je op het menu NinjaFirewall > Status klikken om de benchmarks en statistieken te zien (de snelste, langzaamste en gemiddelde tijd per verzoek). NinjaFirewall is erg snel, geoptimaliseerd, compact, vereist zeer lage systeembronnen en presteert beter dan alle andere beveiliging plugins. Door gevaarlijke verzoeken en bots te blokkeren voordat WordPress wordt geladen, bespaart het bandbreedte en vermindert het de serverbelasting.

Is er een Microsoft Windows versie?

NinjaFirewall werkt alleen op Unix-achtige servers. Er is geen Microsoft Windows-versie en we verwachten niet dat deze zal worden uitgebracht.

Beoordelingen

5 april 2021
I continued to receive large amounts of bots and spam. Note: I had the free version so maybe the paid versions do more and you may get more assistance with setup
11 januari 2021
It works for me on more than 100 websites. Never had an issue with hackers and most important the plugin never broke a website. If you need more protection, try the paid version. That version has so much more features. Just great.
Lees alle 168 beoordelingen

Bijdragers & ontwikkelaars

“NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” is open source software. De volgende personen hebben bijgedragen aan deze plugin.

Bijdragers

“NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” is vertaald in 7 talen. Dank voor de vertalers voor hun bijdragen.

Vertaal “NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” naar jouw taal.

Interesse in ontwikkeling?

Bekijk de code, haal de SVN repository op, of abonneer je op het ontwikkellog via RSS.

Changelog

Need more security? Take the time to explore our supercharged Premium edition: NinjaFirewall WP+ Edition

4.3.3

  • Added a new firewall policy to prevent user enumeration via the author sitemap. See “Firewall Policies > Protect against username enumeration > Through the author sitemap”.
  • WP+ Edition (Premium): The “File Uploads > Allow, but block dangerous files” option will now block uploaded files that include JavaScript tags.
  • The “General” section in the “Firewall Policies > Basic Policies” page was renamed to “Permissions”.
  • The firewall will display a notice message if the Login Protection is set to “Captcha” but PHP wasn’t compiled with freetype support (–with-freetype-dir=DIR) to avoid a “Call to undefined function imagettftext” fatal error when accessing the login page.
  • Fixed a potential “Undefined constant GEOIP_STANDARD” PHP error.
  • Fixed a potential “Undefined array key shmop” PHP warning.
  • Fixed a false positive detection triggered when submitting ACF Forms base64-encoded payload.
  • WP+ Edition (Premium): Added Paypal IPN new IP addresses to the Access Control whitelist.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.3.2

  • To make things easier for translators, NinjaFirewall WP (free) and WP+ (premium) Edition will now use the same language files. Translators can work on the files available at https://translate.wordpress.org/projects/wp-plugins/ninjafirewall/ , they will be used by both editions.
  • WP+ Edition (Premium): If you want to use the language files (if available) from translate.wordpress.org, you can enable that new option from the “Firewall Options > Load language files from the WordPress repo” section. Note that this does not apply to en_US and fr_FR locales because they are already installed with NinjaFirewall.
  • The NinjaFirewall notice in the Site Health page about the failed loopback test will not be displayed anymore on blogs running WordPress >=5.6.1 (this was a bug in WordPress and was fixed in v5.6.1).
  • Fixed a “Undefined index: SERVER_ADDR” PHP notice.
  • In the Login Protection page, the username and password can now be up to 255 characters, instead of 32.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.3.1

  • Added a new policy to disable the “Application Passwords” feature that was introduced in WordPress 5.6. See “Firewall Policies > Basic Policies > Application Passwords”.
  • Added a notice to Site Health’s page: if the Login Protection is enabled, Site Health will return an error, which is normal and thus can be safely ignored.
  • Fixed a bug where it was not possible to enable the Full WAF mode on HTTP server running Apache and PHP 8.0 as a module (mod_php).
  • Add detection of HTTP servers running Apache with LSAPI PHP module (CloudLinux).
  • The sandbox can be disabled when running the Full WAF mode installer.
  • Kleine oplossingen en aanpassingen.

4.3

  • Added a new firewall policy to block attempts to override PHP superglobals. See the “NinjaFirewall > Firewall Policies > Advanced Policies > PHP” section.
  • WP+ Edition (Premium): Added a whitelist of IP addresses from the following external services: Automattic (JetPack, VaultPress etc), Paypal and Stripes payment gateways. If you use those services, you can easily whitelist them with the “NinjaFirewall > Access Control > IP Access Control > External Services” option.
  • Fixed PHP 8.0 compatibility issues.
  • Fixed a potential bug that could reset some advanced policies when updating the firewall security rules.
  • Fixed a “Call to undefined function readonly” PHP error on old WordPress versions (<4.9).
  • Fixed a “Cannot redeclare nfw_anonymize_ip2” PHP error message.
  • Improved the sandbox of the “Full WAF” mode installer.
  • Updated Chart.js to the latest version.
  • Many additional small fixes and adjustments.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.2.6

  • Fixed a database error message on a multisite installation when accessing a subsite.
  • On a multisite installation, the “Block attempts to gain administrative privileges” policy will apply to the main site only so that it won’t block users if they are allowed to register new sites. Another policy was added for subsites, which should be enabled only if site registration is turned-off (see “Firewall Policies > Apply to all subsites in the network” ).
  • Kleine oplossingen en aanpassingen.

4.2.5

  • The “NinjaFirewall > Dashboard” page will display the firewall’s error log if it exists. It could be viewed and deleted from that page.
  • The “Block attempts to publish or edit a published post by users who do not have the right capabilities” policy will now also apply to post/page deletion.
  • Added a warning if Woocomerce was installed and the user tried to enable the “Block user accounts creation” policy.
  • WP+ Edition (Premium) : Fixed a shmop_open PHP warning message in the backend when WP_DEBUG was enabled.
  • Improved “Full WAF” mode installer.
  • Many additional small fixes and adjustments.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.2.4

  • Fixed a potential PHP warning when checking for security updates.
  • Since the new WordPress v5.5, the Site Health function returns a wrong “An active PHP session was detected” critical message. This version of NinjaFirewall will remove it because the REST API is working as expected (the firewall does not interfer with it or any loopback request).
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.2.3

  • Fixed a potential issue where NinjaFirewall could prevent the WordPress Quick Draft widget from loading (#2140).
  • Authors and Contributors will no longer be blocked when using Gutenberg if the firewall was set up to block any access to the REST API.
  • NinjaFirewall can now handle DB passwords enclosed in double-quotes and containing one or more escaped dollar sign (e.g., "...\$...").
  • Kleine oplossingen en aanpassingen.

4.2.2

  • WP+ Edition (Premium): NinjaFirewall can now scan ZIP archives. If you have enabled the “Allow uploads, but block dangerous files” firewall policy, you can also enable the “Apply to ZIP archives file contents” option so that the firewall will extract and scan the files found in ZIP archives. See “Firewall Policies > Basic Policies > File Uploads > Apply to ZIP archives file contents”.
  • Added “preload” to the Strict-Transport-Security policy (HSTS) and the “max-age” value was increased up to 2 years (this is the recommended value for preload) in the “Firewall Policies > Advanced Policies > HTTP response headers” section.
  • The daily report will try to prevent WP Cron to send it twice on blogs that may have an issue with the task scheduler.
  • Fixed an issue with the captcha protection: some plugins are wrongly redirecting HTTP requests to get the favicon.ico file to the login page and thus trigger the firewall protection.
  • Better handling of the backslash character in the database password field.
  • Fixed potential “Call to a member function get_error_message on null” PHP error when checking security updates.
  • You can change the length of the payload that NinjaFirewall writes to its log, by defining the NFW_MAXPAYLOAD constant in the .htninja file. By default, the firewall will write up to 200 characters to the log.
  • The dashboard widget will cache the data for 30 minutes.
  • The login notification hook has a higher priority so that it will always be triggered before two-factor authentication plugins. The priority can be changed in the wp-config.php or .htninja file by defining the NFW_LOGINHOOK constant (current value is “-999999999”, previous one was “999”).
  • When creating a snapshot, File Check will exclude the Ninjascanner’s cache folder if it is installed on the blog.
  • Many additional small fixes and adjustments.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.2.1

  • Fixed a bug introduced in version 4.2 where a user such as an editor could potentially be blocked while editing a post owned by another user.

4.2

  • Added a new policy to block attempts to publish or edit a published page/post by suspicious users. This feature can be very useful to protect against attacks where hackers (authenticated or not) try to exploit zero-day vulnerabilities to inject code into posts and pages on the blog. It is disabled by default and can be enabled from the “Firewall Policies > Basic Policies > General > Block attempts to publish or edit a published post by users who do not have the right capabilities” menu.
  • Added a new policy to protect against username enumeration through the blog RSS feed. See “Firewall Policies > Basic Policies > Protect against username enumeration > Through the blog feed”.
  • Added a security news feed below NinjaFirewall’s widget in the WordPress Dashboard. It can be configured (or even removed) from the “Firewall Options > Miscellaneous > Dashboard Widget” menu.
  • Added a hook to remove all potential and annoying admin notices from third-party themes or plugins on every page of NinjaFirewall in the backend.
  • Fixed a bug where some firewall policies were reset to their default values when reimporting the user configuration.
  • Fixed a bug in the “Statistics” page where the threats percentage numbers were missing beside the three graphs.
  • Fixed a bug with language files: when a user selected a specific language, NinjaFirewall was still loading the language file defined in the blog settings page.
  • Veel kleine aanpassingen en aanpassingen.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.1.1

  • Improved the Full WAF installer when the server is running Litespeed or OpenLitespeed.
  • Fixed a potential “undefined constant NFW_IS_HTTPS” PHP warning when using the “.htninja” script with the WP Edition.
  • Fixed a potential issue in a multisite environment when running the firewall in WordPress WAF mode: the main site and a child site configuration could be out of sync.
  • Veel kleine aanpassingen en aanpassingen.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.1

  • Added a new feature that will alert you by email if there were an important security update available for your themes, plugins or WordPress. It is enabled by default and can be found in the “Event Notifications > Security updates > Send me an alert whenever an important security update is available for a plugin, theme or WordPress”.
  • Fixed an issue with the “Block user accounts creation” policy: when using the WordPress “Lost your password” link, some users were wrongly blocked.
  • On old PHP installations (<5.4.8), it is now possible to update the security rules: NinjaFirewall will not verify their digital signature anymore because of the missing OPENSSL_ALGO_SHA256 algo required by the openssl_verify function.
  • Fixed “Date Range Processed” wrong timezone in the daily report.
  • The contextual help was reformatted and is now easier to read.
  • Added a dismissible welcome banner to the “Dashboard” page to explain how to use the contextual help.
  • Veel kleine aanpassingen en aanpassingen.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.0.6

  • The option to detect and block attemtps to gain administrative privileges can now be turned off from the admin dashboard. See “Firewall Policies > Basic Policies > General > Block attempts to gain administrative privileges”.
  • Added some code to prevent users who have a caching plugin configured to cache wp-admin requests, from receiving many empty “Database changes detected” email notifications. Note that if you’re using a caching plugin, we don’t recommend to enable objects caching in the admin back-end because it can have bad side effects.
  • Several small fixes and adjustments (UI, CSS, JS and PHP code).
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.0.5

  • The “Event Notifications” code was rewritten from scratch.
  • The “Full WAF” installer will rely on the get_home_path function rather than the ABSPATH constant in order to better detect if WordPress was installed into its own directory.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.
  • Kleine oplossingen en aanpassingen.

4.0.4

  • Improved firewall engine: Fixed a bug in the HTML entities decoder and added ES6 unicode detection and decoding.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.0.3

We have simplified the menu structure and reduced the total number of menuitems from 15 to 10 (WP Edition) and from 19 to 12 (WP+ Edition):

  • New menuitem: “Dashboard”. It includes the former “Overview”, “Statistics” and “About”. In the premium WP+ Edition, it also includes “License”.
  • New menuitem: “Monitoring”. It includes “File Guard” and “File Check”. In the premium WP+ Edition, it also includes “Web Filter”.
  • New menuitem: “Logs”. It includes “Firewall Log” and “Live Log”. In the premium WP+ Edition, it also includes “Centralized Logging”.
  • New menuitem: “Security Rules”. It includes “Rules Updates” and “Rules Editor”.
  • Fixed a potential “Undefined index: size” PHP notice.
  • Fixed missing CSS on the Login Protection page input fields.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.
  • Kleine oplossingen en aanpassingen.

4.0.2

  • Added a new policy to enable the “SameSite” flag on cookies in order to protect against cross-site request forgery (CSRF) attacks. See “Firewall Policies > Advanced Policies > HTTP response headers > Force SameSite flag on all cookies”.
  • Fixed a bug in multisite installations: when additional superadmin users were created, they were not whitelisted by the firewall because WordPress does not assign them a “capabilities” meta_key in the database.
  • Fixed a bug in the firewall engine sanitizing function: when dealing with an empty string, the function was returning NULL rather than returning the empty value.
  • Fixed a bug in the “Login Protection” menu: after changing the “GET/POST” options, reloading the page reset them to the default value.
  • Fixed a “Undefined variable: phpini” PHP notice in the uninstaller.
  • Improved the code used to detect if another instance of the firewall is running in a parent directory.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.
  • Several small fixes and adjustments.

4.0.1

  • Fixed a bug where it was not possible to disable the “Strict-Transport-Security HTSC” advanced policy.
  • Fixed a potential “Undefined index: size” PHP notice that could occur during uploads.
  • Fixed a bug where the firewall log was wrongly displaying “DEBUG_ON” instead of “INFO” in the “Level” column.
  • Fixed a potential “The plugin does not have a valid header” error message when activating NinjaFirewall. On some installations, WordPress was not loading the right file.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.

4.0

  • Improved NinjaFirewall overall interface and pages layout; added some simple toggle switches to replace radio buttons, better handling of error messages, cleaned up useless code etc.
  • All JavaScript code was 100% rewritten from scratch, including all features that rely on it (e.g., “Live Log” etc).
  • The installer was removed: When activating NinjaFirewall for the first time, it will automatically install itself in “WordPress WAF” mode. To upgrade to “Full WAF” mode, simply click on the corresponding link in the “Overview” page. The process is now very straightforward! A “sandbox” was added too, so that if there were a crash during the process, NinjaFirewall would undo the changes and warn the user.
  • When NinjaFirewall is running in “Full WAF” mode, if the PHP INI file used to load its firewall was deleted by mistake, it would automatically fallback to “WordPress WAF” mode so that the blog will remain protected.
  • Fixed the admin login page bug where some users had to enter their credentials twice.
  • The “Block the DOCUMENT_ROOT server variable in HTTP request” policy will not be enabled by default with new installations of NinjaFirewall.
  • NinjaFirewall will not block users with author and editor role while they are editing a post or page using either the Classic or the new Block Editor.
  • Added Openlitespeed detection to the “Full WAF” mode installer.
  • WP+ Edition (Premium): The “Access Control” pages interface was simplified: it now uses simple textarea elements where you can copy/paste your data (URL, IP, Bot and User Input) very easily. The “Geolocation” page was simplified too.
  • WP+ Edition (Premium): In addition to an IP address or CIDR, you can now also enter an AS number (Autonomous System number). This new feature is very helpful if you want to allow or block all IPs from an ISP or hosting company: just enter their AS number instead of hundreds of IP addresses. Syntax is “AS” + the number, e.g. “AS12345”. See “Access Control > IP Access Control”.
  • WP+ Edition (Premium): You can now add an IP to the Access Control blacklist or whitelist from the “Firewall Log” page by entering the IP in the input field below the log textarea.
  • WP+ Edition (Premium): When running in “WordPress WAF” mode, NinjaFirewall will automatically disable the shared memory option, because that feature is only useful when used in “Full WAF” mode (there is no benefit at all to run it in “WordPress WAF” mode).
  • WP+ Edition (Premium): Fixed a bug where the ISO 3166 country code was not found when using an external PHP Variable instead of the built-in GeoIP database.
  • WP+ Edition (Premium): Improved malicious SVG files detection.
  • WP+ Edition (Premium): Updated IPv4/IPv6/ASN GeoIP databases.
  • Many fixes and adjustments.

3.9.1

  • Fixed potential “Nesting level too deep – recursive dependency” error message in the backend.
  • You can select the verbosity of the PHP backtrace attached to email notifications: low, medium or high verbosity. See “Event Notification > PHP backtrace”.
  • Added a new policy to protect the admin-ajax.php script against malicious bots and scanners. See “Firewall Policy > Basic Policies > WordPress AJAX”.
  • WP+ Edition (Premium): NinjaFirewall can check for security rules updates as often as every 15 minutes (versus one hour for the free WP Edition). See “Rules Update > Check for updates”.
  • WP+ Edition (Premium): Added a new access control section: “User Input Access Control”. It can be used to ignore or block specific user input (GET, POST and COOKIE). See “Access Control > User Input”.
  • WP+ Edition (Premium): Role-based Access Control has been improved: it will display all user roles available on the blog, including custom ones from all third-party applications (e.g., WooCommerce, bbPress etc) so that they can be whitelisted too.
  • WP+ Edition (Premium): The / character is now allowed in the Bot Access Control.
  • Improved user_roles protection to prevent blocking third-party applications than may modify it when a non-administrator user is logged-in.
  • Many small fixes, adjustments and improvements.

3.8.4

  • Fixed a potential “Call to undefined function wp_get_current_user()” error that may occur with plugins such as RevSlider.

3.8.3

  • NinjaFirewall will attach a PHP backtrace to some important email notifications (see “Event Notifications > PHP backtrace”).
  • Fixed an issue where the firewall could not connect to the database if its password contained an escaped single quote.
  • Fixed an issue where it was not possible to use the WordPress plugin and theme editor. This is due to a bug introduced in WordPress 4.9.2 which does not play well with PHP sessions (see https://core.trac.wordpress.org/ticket/43358).
  • The firewall will detect if the PHP mysqli extension is missing or is not loaded and will warn the admin in the backend.
  • Improved TLS detection for servers that are behind a load-balancer or reverse proxy.
  • Various fixes and adjustments.

3.8.2

  • Improved the firewall engine to detect shell command obfuscation tricks using uninitialized variables (e.g. ?a=cat$foo $foo/etc/$foo/passwd$foo).
  • Added a policy to disable the fatal error handler introduced in WordPress 5.1. See “Firewall Policies > Basic Policies > Disable the fatal error handler”.
  • Disabled the firewall when running WP-CLI.
  • If the firewall settings were corrupted, the garbage collector would restore the last known good configuration backup. If there is no backup available, it will restore its default settings so that NinjaFirewall will keep working and protecting the site.
  • Various fixes and adjustments.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.

3.8.1

  • Probleem verholpen waarbij de firewallconfiguratie kon worden beschadigd bij het herstellen van een back-up van de pagina Firewall-opties direct na het updaten naar versie 3.8.

3.8

  • Veel code is opgeruimd, verbeterd en verbeterd, evenals de volledige bestandsstructuur van de plugin .
  • Verhoogde de hoogte van het tekstveld in de “Firewall Log” en “Live-Log” pagina’s .
  • Er is een probleem opgelost waarbij sommige caching plugins zouden kunnen rotzooien met het databasemonitoringproces , wat foutieve resultaten zou kunnen opleveren.
  • Verbeterd databasemonitoringproces voor blogs met een groot aantal rijen in de tabel “wp_usermeta”.
  • De melding “Bestandscontrole” bevat het aantal nieuwe, gewijzigde en verwijderde bestanden in de hoofdtekst van de e-mail .
  • [WP + Edition] toegevoegd een optie om login waarschuwingen uit te schakelen voor gebruikers met een IP-adres op de toegestane lijst. Zie “NinjaFirewall & gt; Gebeurtenismeldingen & gt; Stuur geen melding als de gebruiker zich op de witte lijst van IP Access Control bevindt”.
  • [WP + editie] Probleem verholpen waarbij, na het verwijderen van het logboek, het opnieuw werd verwijderd als de pagina opnieuw werd geladen in de browser.
  • Er is een probleem opgelost waarbij auto_prepend_file een door een andere toepassing in de .htaccess achtergelaten instructie werd niet verwijderd voordat de installatie van NinjaFirewall op servers met LiteSpeed ​​of Apache + mod_php begon.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.

3.7.2

  • Toegevoegd een nieuwe optie om te blokkeren elke poging van non-admin gebruikers in staat om een aantal belangrijke WordPress instellingen te wijzigen (bijvoorbeeld door gebruik te maken van een kwetsbaarheid, met behulp van een backdoor etc). Zie “Firewallbeleid > Basisbeleid > Blokkeer pogingen om belangrijke WordPress instellingen te wijzigen”.
  • [WP + editie] Probleem opgelost in de callback- functie “Web Filter” waarbij de firewall zijn log in de/wp- content/ map in plaats van/ wp-content/nfwlog/.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen en aanpassingen.

3.7.1

  • Twee mogelijke PHP- kennisgevingen in de firewall op systemen met PHP 7.2+ opgelost.
  • Toegevoegd een functie om de firewall engine to-octale gecodeerde waarden die kunnen worden gebruikt als WAF ontwijkingstechnieken detecteren (bv? Foo = \ 050 \ 141 \ 154 \ 145 \ 162 \ 164 \ 051 \ 050 \ 170 \ 163 \ 163 \ 051).
  • Als je een complexe database- instelling hebt die NinjaFirewall niet correct kan ophalen, kun je deze een MySQLi-link-ID geven in de.htninjain plaats daarvan. Zie “Geef NinjaFirewall een MySQLi-link-ID” op http://nin.link/htninja/ voor meer informatie.
  • Toegevoegd taalondersteuning van rechts naar links.
  • Verbeterde HTTPS detectie in de firewall.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Vaste potentiële “ini_set” PHP-waarschuwing toen een sessie werd gestart door een andere plugin .
  • Veel kleine aanpassingen en aanpassingen.

3.7

  • Toegevoegd een nieuwe optie om “Live Log” pagina : je kunt filters toepassen in het oog om bestanden en opnemen of uitsluiten mappen . Zie “Live Log > filters voor opname en uitsluiting”.
  • Toegevoegd een nieuwe optie om de “Firewall Options” pagina : NinjaFirewall automatisch back-ups zijn configuratie (opties, beleid en regels) elke dag voor de laatste 5 dagen, zodat je de configuratie kunt terugzetten naar een eerdere datum indien nodig. Zie “Firewallopties > Configuratieback-up”.
  • [WP + editie] De lijst toegestaan en blokkeerlijst voor “IP Access Control” kunnen nu de CIDR-notatie voor IPv4 en IPv6 ondersteunen (bijv. 66.155.0.0/17, 2c0f: f248 :: / 32).
  • Toegevoegd een waarschuwing aan de “Inloggen Protection” pagina als Jetpack is geïnstalleerd en de XML-RPC bescherming API is geactiveerd.
  • Toegevoegd een bericht naar de “Login Protection” pagina eraan te herinneren dat de “Verificatie log” optie kan alleen werken wanneer de bescherming is ingesteld op “Ja, als onder vuur”.
  • Een potentiële “401 ongeautoriseerde” HTTP- respons verholpen bij poging tot toegang tot de XMLRPC API met behulp van een niet- POST- methode.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen.

3.6.8

  • Er is een probleem opgelost waarbij plug – ins van derden die gebruikmaken van de PHP-sessie, maar zonder de status van de huidige sessie goed te controleren, zich onregelmatig zouden kunnen gedragen.

3.6.7

  • Toegevoegd een nieuwe optie om te blokkeren elke poging (bijvoorbeeld, het uitbuiten van een kwetsbaarheid, met behulp van een backdoor etc) om een gebruiker account aan te maken. Zie “Firewall Policies > Basic Beleid > Blokkeer gebruikersaccounts aanmaak”.
  • Het “Daily Activity Report” zal de domeinnaam van de blog in het onderwerp van de e-mail bevatten .
  • Een mogelijk “Zend OPcache API” -waarschuwing verholpen bij het opslaan van de opties “Aanmeldbeveiliging”.
  • Het menu “Updates” is hernoemd naar “Regels updaten”.
  • Verbeterde behandeling van de PHP-sessie.
  • Fixed a potential “Call to a member function close() on null” PHP error in the firewall.
  • [WP + editie] Probleem opgelost op de “Web Filter” -pagina waar de knop om het HTML-formulier in te dienen niet zichtbaar was.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen en aanpassingen.

3.6.6

  • De “Statistieken” -pagina en dashboardwidget zullen dezelfde waarden weergeven. Voorheen werd het totaal van de geblokkeerde bedreigingen die werden weergegeven op de pagina “Statistieken” opnieuw ingesteld als het bijbehorende firewalllog werd verwijderd.
  • Een bug gerepareerd in de Garbage Collector: in sommige gevallen werd het firewalllogboek enkele dagen later dan verwacht verwijderd.
  • De Garbage Collector kan nog steeds worden uitgevoerd, zelfs als WP-Cron is uitgeschakeld.
  • Een probleem opgelost dat werd geïntroduceerd in WordPress 4.9.6: NinjaFirewall was niet zichtbaar in de lijst met plu-ins bij gebruik van WP-CLI. Merk op dat als je het wil activeren/deactiveren van WP-CLI, moet je het toevoegen--gebruikeroverschakelen naar je commando (bijv.$ wp plugin activate nfwplus --user = some_admin).
  • Kleine oplossingen.

3.6.5

  • De brute force-beveiliging wordt niet geactiveerd wanneer gebruikers op de link voor e- mailbevestiging klikken, die verwijst naar het wp-login.php-script, verzonden door de nieuwe functie “Exporteer persoonlijke gegevens” van WordPress.
  • De firewall detecteert automatisch of de blog wordt uitgevoerd op een oude multisite-installatie waarbij de tabel met de belangrijkste site- opties ‘wp_1_options’ is in plaats van ‘wp_options’.

3.6.4

  • Vaste potentiële “session_status ()” fout met oude PHP-installaties.

3.6.3

  • Toegevoegd de “Referrer-Policy” header (zie “Firewall Policies & gt; Geavanceerde Beleid & gt; HTTP response headers “).
  • De HTTP- foutcode “418 I’m a teapot” is toegevoegd (zie “Firewall-opties & gt; HTTP- foutcode om terug te keren”).
  • Modified how PHP sessions were handled in order to prevent conflicts with third-party applications that may attempt to start a session without checking if one was already started (e.g., Piwik/Zend Framework, phpMyadmin).
  • Toegevoegd meer opties om de X-XSS-Protection header ; kan worden ingesteld op “0”, “1”, “1; mode = block ” of uitgeschakeld (zie “Firewall Regels & gt; geavanceerde Regels & gt; HTTP response headers “).
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen.

3.6.2

  • Added an option to automatically delete the firewall log(s) after a period of time (see “NinjaFirewall > Firewall Log > Auto-delete log”).
  • Toegevoegd een optie om de admin in te voeren e -mailadres tijdens het installatieproces.
  • [WP + Edition] De “Access Control” pagina werd opgesplitst in 5 tabbladen: “Algemeen”, “Geolocation”, “IP Access Control”, “URL Access Control” en “Bot Access Control”.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Veel kleine fixes door de code heen: bugs, typefouten, contextuele help correcties, verschillende aanpassingen enz.

3.6.1

  • Added “IP Anonymization” option. It will anonymize IP addresses in the firewall log by removing their last 3 characters. See “NinjaFirewall > Firewall Options > IP Anonymization”.
  • Probleem opgelost waarbij de “Aanmeldbeveiliging” ten onrechte werd toegepast op met een wachtwoord beveiligde pagina’s .
  • Een bug opgelost waarbij de cron job van de garbage collector niet werd verwijderd toen NinjaFirewall werd uitgeschakeld.
  • Toegevoegd een waarschuwing dat NinjaFirewall vereistunfiltered_html mogelijkheid om het te activeren.
  • [WP + Edition] Het firewall beleid “Uploads > Toestaan, maar blokkeer scripts, ELF en systeembestanden” is hernoemd naar “Toestaan, maar blokkeer gevaarlijke bestanden” en blokkeert ook gevaarlijke SVG bestanden. Daarom is de volledige lijst met geblokkeerde bestanden nu: scripts (PHP, CGI, Ruby, Python, bash/shell), C/C ++ broncode, binaire bestanden (MZ/PE/NE en ELF formaten), systeembestanden (.htaccess, .htpasswd en PHP INI) en SVG bestanden die Javascript/XML gebeurtenissen bevatten.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen.

v3.6

  • Important: We have removed the “Anti-Malware” option from NinjaFirewall. Instead, we have now a brand new and much better antivirus plugin: NinjaScanner. You can download it from wordpress.org: https://wordpress.org/plugins/ninjascanner/
  • [WP + Edition] Een bug verholpen waarbij IP’s die op de witte lijst stonden in de “Toegangscontrole” pagina geen verbinding konden maken met de REST API als de toegang was uitgeschakeld in het “Firewall beleid”.
  • [WP + Edition] updated IPv4/IPv6 GeoIP databases.
  • Kleine oplossingen.