WordPress.org

Plugin Directory

NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall

NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall

Beschrijving

Een echte webapplicatie firewall

NinjaFirewall (WP Edition) is een echte webapplicatie-firewall. Hoewel het net als een plugin kan worden geïnstalleerd en geconfigureerd, is het een zelfstandige firewall die voor WordPress staat.

Het stelt elke blogbeheerder in staat om te profiteren van zeer geavanceerde en krachtige beveiligingsfuncties die meestal niet beschikbaar zijn op WordPress niveau, maar alleen in beveiligingstoepassingen zoals de Apache ModSecurity- module of de PHP Suhosin- extensie.

NinjaFirewall requires at least PHP 7.1, MySQLi extension and is only compatible with Unix-like OS (Linux, BSD). It is not compatible with Microsoft Windows.

NinjaFirewall kan elke HTTP/HTTPS aanvraag die naar een PHP-script wordt verzonden, haken, scannen, opschonen of weigeren voordat het WordPress of een van de plugins ervan bereikt. Alle scripts die zich in de installatie folders en submappen van de blog bevinden, worden beschermd, ook de scripts die geen deel uitmaken van het WordPress pakket. Zelfs gecodeerde PHP-scripts, shell-scripts en backdoors van hackers worden door NinjaFirewall gefilterd.

Krachtige filter engine

NinjaFirewall bevat de krachtigste filterengine die beschikbaar is in een WordPress-plugin. Het belangrijkste kenmerk is de mogelijkheid om gegevens van inkomende HTTP aanvragen te normaliseren en te transformeren, waardoor het de ontwijkingstechnieken van Web Application Firewall en verduisteringstactieken kan detecteren die door hackers worden gebruikt, en om een groot aantal coderingen te ondersteunen en te decoderen. Zie onze blog voor een volledige beschrijving: Een inleiding tot de filter engine van NinjaFirewall.

Snelste en meest efficiënte brute-force aanvalsbescherming voor WordPress

Door inkomende HTTP aanvragen vóór je blog en een van de plugins te verwerken, is NinjaFirewall de enige plugin voor WordPress die het kan beschermen tegen zeer grote brute-force aanvallen, inclusief gedistribueerde aanvallen afkomstig van duizenden verschillende IP’s.

Zie onze benchmarks en stresstests: vergelijking van plugins voor detectie van brute-force-aanvallen

De bescherming is van toepassing op het wp-login.php script, maar kan worden uitgebreid naar de xmlrpc.php script. Het incident kan ook naar het AUTH logboek van de server worden geschreven, wat handig kan zijn voor de systeembeheerder voor controledoeleinden of het verbieden van IP-adressen op serverniveau (bijv. Fail2ban).

Realtime detectie

File Guard real-time detectie is een totaal unieke functie van NinjaFirewall: het kan in real-time elke toegang tot een PHP-bestand dat onlangs is gewijzigd of gemaakt, detecteren en je hierover waarschuwen. Als een hacker een shell-script naar je site heeft geüpload (of een achterdeur in een reeds bestaand bestand heeft geïnjecteerd) en rechtstreeks toegang tot dat bestand heeft gekregen met zijn browser of een script, zou NinjaFirewall de HTTP aanvraag haken en onmiddellijk detecteren dat het bestand onlangs is gewijzigd of gemaakt. Het zou je een waarschuwing sturen met alle details (scriptnaam, IP, verzoek, datum en tijd).

Controle van bestandsintegriteit

Met File Check kun je de integriteit van je bestanden controleren door je site elk uur, twee keer per dag of dagelijks te scannen. Elke wijziging die aan een bestand wordt aangebracht, wordt gedetecteerd: bestandsinhoud, bestandsrechten, bestandseigendom, tijdstempel en het maken en verwijderen van bestanden.

Bekijk je siteverkeer in realtime

Met Live Log kun je je siteverkeer in realtime bekijken. Het geeft verbindingen weer in een formaat dat lijkt op het formaat dat wordt gebruikt door het tail -f Unix commando. Omdat het rechtstreeks met de firewall communiceert, d.w.z zonder WordPress te laden, is Live Log snel en licht van gewicht en heeft het geen invloed op je serverbelasting, zelfs niet als je de verversingssnelheid op de laagste waarde instelt.

Gebeurtenis kennisgevingen

NinjaFirewall can alert you by email on specific events triggered within your blog. Some of those alerts are enabled by default and it is highly recommended to keep them enabled. It is not unusual for a hacker, after breaking into your WordPress admin console, to install or just to upload a backdoored plugin or theme in order to take full control of your website. NinjaFirewall can also attach a PHP backtrace to important notifications.

Bewaakte gebeurtenissen:

  • Beheerder login.
  • Wijziging van elk beheerdersaccount in de database.
  • Plugins uploaden, installeren, (de) activeren, updaten, verwijderen.
  • Thema’s uploaden, installeren, activeren, verwijderen.
  • WordPress update.
  • Pending security update in your plugins and themes.

Blijf beschermd tegen de nieuwste kwetsbaarheden in WordPress beveiliging

Om de meest efficiënte bescherming te krijgen, kan NinjaFirewall de beveiligingsregels automatisch dagelijks, tweemaal per dag of zelfs elk uur updaten. Elke keer dat er een nieuwe kwetsbaarheid wordt gevonden in WordPress of een van de plugins/thema’s, wordt er een nieuwe set beveiligingsregels beschikbaar gesteld om je blog onmiddellijk te beschermen.

Sterke privacy

In tegenstelling tot een Cloud Web Application Firewall of Cloud WAF, werkt en filtert NinjaFirewall het verkeer op je eigen server en infrastructuur. Dat betekent dat je gevoelige gegevens (contactformulier berichten, creditcardnummer van klanten, inloggegevens enz.) Op je server blijven en niet worden gerouteerd via de servers van een derde partij, wat onnodige risico’s kan opleveren (bijv. Decodering van je HTTPS verkeer in om het te inspecteren, werknemers die toegang hebben tot je gegevens of logs in platte tekst, diefstal van privé-informatie, man-in-the-middle-aanval, enz.).

Your website can run NinjaFirewall and be compliant with the General Data Protection Regulation (GDPR). See our blog for more details.

IPv6 compatibiliteit

IPv6-compatibiliteit is een verplichte functie voor een beveiligingsplugin: als deze alleen IPv4 ondersteunt, kunnen hackers de plugin gemakkelijk omzeilen door een IPv6 te gebruiken. NinjaFirewall ondersteunt native IPv4- en IPv6-protocollen, voor zowel openbare als privéadressen.

Ondersteuning voor meerdere sites

NinjaFirewall is compatibel met meerdere sites. Het beschermt alle sites van je netwerk en de configuratie-interface is alleen toegankelijk voor de super beheerder vanaf de hoofdsite van het netwerk.

Mogelijkheid om je eigen PHP code aan de firewall toe te voegen

Je kun je eigen PHP-code aan de firewall toevoegen met behulp van een optioneel gedistribueerd configuratiebestand. Het wordt verwerkt voordat WordPress en al zijn plugins zijn geladen. Dit is een zeer krachtige functie, en er is bijna geen limiet aan wat je kunt doen: je eigen beveiligingsregels toevoegen, HTTP aanvragen, variabelen enz. Manipuleren.

Low footprint firewall

NinjaFirewall is very fast, optimised, compact, and requires very low system resource.
See for yourself: download and install the Code Profiler plugin and compare NinjaFirewall’s performance with other security plugins.

Niet-opdringerige gebruikersinterface

NinjaFirewall ziet eruit en voelt aan als een ingebouwde WordPress functie. Het bevat geen opdringerige banners, waarschuwingen of flitsende kleuren. Het maakt gebruik van de eenvoudige en schone interface van WordPress en is ook smartphone-vriendelijk.

Contextuele Hulp

Elke menupagina van NinjaFirewall heeft een contextueel helpscherm met nuttige informatie over het gebruik en de configuratie ervan. Als je hulp nodig hebt, klik dan op de menutab Help in de rechterbovenhoek van elke pagina in je beheer-paneel.

Meer veiligheid nodig?

Bekijk onze nieuwe supercharged-editie: NinjaFirewall WP+Edition

  • Unix gedeeld geheugengebruik voor communicatie tussen processen en razendsnelle prestaties.
  • Op IP gebaseerde toegangscontrole.
  • Op rollen gebaseerde toegangscontrole.
  • Landgebaseerde toegangscontrole via geolocatie.
  • Op URL gebaseerde toegangscontrole.
  • Bot gebaseerde toegangscontrole.
  • Gecentraliseerde logging.
  • Antispam voor formulieren voor reacties en gebruikersregistratie.
  • Snelheidsbeperkende optie om agressieve bots, crawlers, webschrapers en HTTP aanvallen te blokkeren.
  • Response body-filter om de uitvoer van de HTML-pagina te scannen vlak voordat deze naar je bezoekers browser wordt verzonden.
  • Beter bestandsupload beheer.
  • Beter logs beheer.
  • Syslog-logging.

Lees meer over de unieke functies van de WP+Edition. Vergelijk de WP en WP+Editions.

Eigenschappen

  • WordPress 4.7+
  • Admin/Superadmin with manage_options + unfiltered_html capabilities.
  • PHP 7.1+
  • MySQL of MariaDB met MySQLi extensie
  • Apache / Nginx / LiteSpeed / Openlitespeed compatible
  • Unix achtige besturingssystemen alleen (Linux, BSD, enz.). NinjaFirewall isNIET compatibel met Microsoft Windows.

Schermafdrukken

  • Overzicht pagina.
  • Statistieken en benchmarks pagina.
  • Opties pagina.
  • Policies pages 1/3: NinjaFirewall has a large list of powerful and unique policies that you can tweak accordingly to your needs.
  • Policies pages 2/3: NinjaFirewall has a large list of powerful and unique policies that you can tweak accordingly to your needs.
  • Beleid pagina’s 3/3: NinjaFirewall heeft een grote lijst met krachtig en uniek beleid dat je kunt aanpassen aan je behoeften.
  • File Guard: dit is een volstrekt unieke functie, omdat het in realtime elke toegang tot een PHP-bestand dat onlangs is gewijzigd of gemaakt, kan detecteren en je hierover kan waarschuwen.
  • Bestandscontrole: hiermee kun je op verzoek of op een bepaald interval (elk uur, twee keer per dag, dagelijks) monitoring van de bestandsintegriteit uitvoeren.
  • Gebeurtenis kennisgevingen kunnen je per e-mail op de hoogte stellen van specifieke gebeurtenissen die binnen je blog zijn geactiveerd.
  • Login pagina bescherming: de snelste en meest efficiënte brute force bescherming voor WordPress.
  • Firewall log.
  • Live Log: lets you watch your website traffic in real time. It is fast, light and it does not affect your server load.
  • Rules Editor.
  • Security rules updates.
  • Contextuele hulp.
  • Dashboard widget.

Installatie

  1. Upload de ninjafirewall map naar de /wp-content/plugins/ folder.
  2. De plugin activeren via het ‘Plugin’ menu in WordPress.
  3. Plugin instellingen bevinden zich in het menu ‘NinjaFirewall’.

FAQ

Waarom verschilt NinjaFirewall van andere beveiliging plugins voor WordPress?

NinjaFirewall staat tussen de aanvaller en WordPress. Het kan verzoeken filteren voordat ze je blog en de bijbehorende plugins bereiken. Dit is hoe het werkt:

Visitor -> HTTP server -> PHP -> NinjaFirewall #1 -> WordPress -> NinjaFirewall #2 -> Plugins & Themes -> WordPress exit -> NinjaFirewall #3

En dit is hoe alle WordPress plugins werken:

Visitor > HTTP server > PHP > WordPress > Plugins -> WordPress exit

In tegenstelling tot andere security plugins, zal beschermen alle PHP-scripts, met inbegrip van degenen die geen deel uitmaken van de WordPress pakket.

Hoe krachtig is NinjaFirewall?

NinjaFirewall bevat een zeer krachtige filter engine die ontwijkingstechnieken en verduisteringstechnieken van webapplicaties kan detecteren die door hackers worden gebruikt, en die een groot aantal coderingen ondersteunt en decodeert. Zie onze blog voor een volledige beschrijving: Een inleiding tot de NinjaFirewall 3.0 filter engine.

Heb ik root rechten nodig om NinjaFirewall te installeren?

NinjaFirewall vereist geen root-privilege en is volledig compatibel met gedeelde hostingaccounts. Je kunt het installeren vanaf je WordPress beheerconsole, net als een gewone plugin.

Werkt het met Nginx?

NinjaFirewall werkt met Nginx en andere Unix gebaseerde HTTP servers (Apache, LiteSpeed ​​enz.). Het installatieprogramma zal het detecteren.

Moet ik mijn PHP-scripts wijzigen?

Je hoeft geen aanpassingen aan je scripts aan te brengen. NinjaFirewall haakt alle verzoeken af voordat ze je scripts bereiken. Het werkt zelfs met gecodeerde scripts (ionCube, ZendGuard, SourceGuardian enz.).

Ik heb mijn wp-config.php bestand naar een andere map verplaatst. Zal het werken met NinjaFirewall?

NinjaFirewall zoekt naar het wp-config.php script in de huidige map of, als het het niet kan vinden, in de bovenliggende map.

Zal NinjaFirewall de juiste IP van mijn bezoekers detecteren als ik achter een CDN dienst ben zoals Cloudflare?

Je kunt een optioneel configuratiebestand gebruiken om NinjaFirewall te vertellen welk IP-adres moet worden gebruikt. Volg deze stappen.

Zal het mijn site vertragen ?

Je bezoekers zullen geen verschil merken met of zonder NinjaFirewall. Vanuit de WordPress beheerconsole kun je op het menu NinjaFirewall > Status klikken om de benchmarks en statistieken te zien (de snelste, langzaamste en gemiddelde tijd per verzoek). NinjaFirewall is erg snel, geoptimaliseerd, compact, vereist zeer lage systeembronnen en presteert beter dan alle andere beveiliging plugins. Door gevaarlijke verzoeken en bots te blokkeren voordat WordPress wordt geladen, bespaart het bandbreedte en vermindert het de serverbelasting.

Is er een Microsoft Windows versie?

NinjaFirewall werkt alleen op Unix-achtige servers. Er is geen Microsoft Windows-versie en we verwachten niet dat deze zal worden uitgebracht.

Beoordelingen

15 februari 2024
Compared with other plugins that I tried, Ninja Firewall is simple and works so good.
30 oktober 2023
Pretty brutal experience. Looking for a virus scanner. Turns out they have two plugins (why???) and I installed the “firewall” version. So I went to deactivate it and of course it says “There has been a critical error on this website. Please check your site admin email inbox for instructions. Learn more about troubleshooting WordPress.” Frustrating. None of these plugins are simple. What happened to the days of installing a barebones WordPress plugin and it just worked?
Lees alle 206 beoordelingen

Bijdragers & ontwikkelaars

“NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” is open source software. De volgende personen hebben bijgedragen aan deze plugin.

Bijdragers

“NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” is vertaald in 7 talen. Dank voor de vertalers voor hun bijdragen.

Vertaal “NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall” naar jouw taal.

Interesse in ontwikkeling?

Bekijk de code, haal de SVN repository op, of abonneer je op het ontwikkellog via RSS.

Changelog

Need more security? Take the time to explore our supercharged Premium edition: NinjaFirewall WP+ Edition

4.6.1

  • WP+ Edition (Premium): You can now enter your license key from WP CLI. Type “wp ninjafirewall license” and enter your license at the prompt.
  • Fixed an issue with bulk user deletion: when multiple users were deleted at once, only the first one was written to the firewall log.
  • Fixed an issue with the login protection: after disabling it and logging out, NinjaFirewall was still displaying a notice on the login page.
  • Fixed a potential PHP fatal error: Attempt to modify property “no_update” on bool.
  • Replaced all calls to the PHP glob() function with DirectoryIterator() to make file search compatible with remote files.
  • Fixed an issue where some scheduled tasks were executed too often on multisite installations.
  • WP+ Edition (Premium): Updated GeoIP databases.
  • Updated Charts.js.
  • Many additional small fixes and adjustments.

4.5.11

  • Updated Charts.js.
  • WP+ Edition (Premium): updated PayPal IPN and Automattic IP addresses.
  • WP+ Edition (Premium): Updated GeoIP databases.
  • Kleine oplossingen en aanpassingen.

4.5.10

  • Added compatibility with blogs that don’t have a database prefix.
  • In the “Custom HTTP headers” section, NinjaFirewall will automatically convert header names to lowercase.
  • Fixed a potential “Timezone ID is invalid” PHP notice when viewing the log.
  • Updated Charts.js library.
  • WP+ Edition (Premium): Updated GeoIP databases.
  • Kleine oplossingen en aanpassingen.

4.5.9

  • Added a new policy to protect against user accounts deletion. It can be found in the “Firewall Policies > WordPress > Permissions” section.
  • Fixed an issue with the firewall log where the time and date could be using the wrong timezone.
  • Fixed a PHP deprecated notice in the sodium_crypto_generichash function.
  • WP+ Edition (Premium): Fixed a bug in the firewall where some uploaded images could be wrongly blocked.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5.8

  • Added a “Line wrapping” checkbox in the “Live Log” page: it can be used to wrap or unwrap the lines in the textarea field.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5.7

  • You can now select to block access to the REST API only if the user is not authenticated. See “Firewall Policies > WordPress REST API > Allow logged-in users to access the API”.
  • Fixed an accessibility issue with the toggle switches used in NinjaFirewall’s settings. They were not compatible with screen readers.
  • Added a new constant that can be used to change the frequency used by the firewall to monitor the database: NFW_DBCHECK_INTERVAL. It can be added to the wp-config.php or .htninja script. For instance, a 300-second interval: define('NFW_DBCHECK_INTERVAL', 300);. The lowest possible value, which is also the default, is 60 seconds.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5.6

  • WP+ Edition (Premium): Updated GeoIP databases.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.

4.5.5

  • NinjaFirewall will always rely on the timezone that was set by WordPress and PHP, and will no longer attempt to set it.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5.4

  • Fixed a potential “syntax error” on sites running PHP <=7.2.
  • Fixed a bug where quotes in “Custom HTTP headers” values were escaped with slashes.
  • Updated Charts.js library.
  • WP+ Edition (Premium): Updated GeoIP databases.
  • Kleine oplossingen en aanpassingen.

4.5.2

  • Fixed several deprecated messages on websites running PHP 8.1.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5.1

  • Fixed a PHP “Cannot use object of type WP_Error as array” error.
  • Activating/deactivating NinjaFirewall from WP CLI doesn’t require the --user parameter anymore.
  • On websites running PHP 7.3 or above, NinjaFirewall will use the hrtime() function instead of microtime() for its metrics, because it is more reliable as it is not based on the internal system clock.
  • WP+ Edition (Premium): Fixed a bug with right-to-left (RTL) WordPress sites where the checkboxes below the log were all messed up.
  • The detection of base64-encoded injection has been slightly tweaked to lower the risk of false positives.
  • WP+ Edition (Premium): The Bot Access Control input now accepts the following 6 additional characters: ( ) , ; ' ".
  • The “Monthly Statistics” graph and tooltip colours were improved.
  • Updated Charts.js library.
  • Kleine oplossingen en aanpassingen.
  • WP+ Edition (Premium): Updated GeoIP databases.

4.5

  • Added the possibility to enter custom HTTP response headers. See “Firewall Policies > Advanced Policies > HTTP response headers > Custom HTTP headers”.
  • Added the possibility to view the server’s HTTP response headers. Click on the “Firewall Policies > Advanced Policies > HTTP response headers > HTTP headers test” button.
  • Added a warning if WordPress is running inside a Docker image and the user wants to upgrade NinjaFirewall to Full WAF mode.
  • Fixed a PHP “Undefined array key pluginzip” warning when reinstalling a plugin from a ZIP archive.
  • WP+ Edition (Premium): The Access Control URI whitelist and blacklist now support permalinks.
  • Fixed an issue where the daily report could be sent multiple times on some multisite installations.
  • Fixed deprecated readonly() function message on WordPress 5.9.
  • Fixed an issue where the firewall would wrongly send a WordPress update notification.
  • WP+ Edition (Premium): Updated Stripes webhook notifications IP addresses in the Access Control section.
  • Updated Charts.js library.
  • WP+ Edition (Premium): Updated GeoIP databases.
  • Veel kleine aanpassingen en aanpassingen.