InspectWP Logo
Glossar

Was ist eine Web Application Firewall (WAF)?

8. Februar 2026

Eine Web Application Firewall (WAF) sitzt zwischen deiner Website und dem Internet und untersucht jede eingehende HTTP-Anfrage, um solche zu blockieren, die bekannten bösartigen Mustern entsprechen. Anders als eine traditionelle Netzwerk-Firewall, die auf IP- und Port-Ebene arbeitet, versteht eine WAF die Struktur von Web-Traffic. Sie kann URLs, Header, POST-Bodies, Cookies und Query-Strings lesen, um Angriffe zu identifizieren, die speziell auf Webanwendungen wie WordPress abzielen.

Wie eine WAF funktioniert

Wenn ein Besucher (oder Angreifer) eine Anfrage an deine WordPress-Seite sendet, fängt die WAF sie ab, bevor sie deinen Webserver erreicht. Die WAF vergleicht die Anfrage mit einem Satz von Regeln, oft als Regelwerk oder Policy bezeichnet. Diese Regeln definieren Muster, die auf bösartige Absichten hindeuten. Zum Beispiel könnte eine Regel nach SQL-Syntax in Formularfeldern suchen, nach Script-Tags in URL-Parametern oder nach bekannten Exploit-Signaturen, die auf bestimmte Plugin-Schwachstellen abzielen. Wenn die Anfrage einer Regel entspricht, kann die WAF sie komplett blockieren, den Besucher mit einem CAPTCHA herausfordern, den Versuch zur Überprüfung protokollieren oder die Anfrage umleiten. Legitimer Traffic wird unberührt durchgelassen.

WAF vs traditionelle Firewall

Eine traditionelle Firewall arbeitet auf der Netzwerkschicht (Schichten 3 und 4 des OSI-Modells). Sie kontrolliert den Zugang basierend auf IP-Adressen, Ports und Protokollen. Sie kann Traffic aus bestimmten Ländern blockieren oder einschränken, welche Ports offen sind, aber sie kann den Inhalt von HTTP-Anfragen nicht untersuchen. Eine WAF arbeitet auf der Anwendungsschicht (Schicht 7). Sie versteht HTTP und kann zwischen einer normalen Formular-Eingabe und einem SQL-Injection-Versuch unterscheiden, selbst wenn beide von derselben IP-Adresse auf demselben Port kommen. Für eine gute WordPress-Sicherheit brauchst du idealerweise beides: eine Netzwerk-Firewall, um unerwünschten Traffic auf Infrastrukturebene zu blockieren, und eine WAF zum Schutz vor Angriffen auf Anwendungsebene.

Arten von WAFs

WAFs gibt es in drei Hauptbereitstellungsmodellen, jeweils mit eigenen Vor- und Nachteilen:

  • Cloud-basierte WAF: Traffic wird über einen Drittanbieter-Dienst geleitet, bevor er deinen Server erreicht. Du änderst typischerweise deine DNS-Einträge, damit sie auf den WAF-Anbieter zeigen, der dann sauberen Traffic an deinen Ursprungsserver weiterleitet. Cloud-WAFs sind am einfachsten einzurichten, weil sie keine serverseitigen Änderungen erfordern. Sie absorbieren auch DDoS-Angriffe, bevor der Traffic deine Infrastruktur erreicht. Der Nachteil ist eine geringe zusätzliche Latenz und die Abhängigkeit von einem Drittanbieter.
  • Server-Level-WAF: Direkt auf deinem Webserver als Modul oder Dienst installiert. ModSecurity (für Apache und Nginx) ist das bekannteste Beispiel. Server-Level-WAFs haben die niedrigste Latenz, weil sie Traffic lokal untersuchen, erfordern aber Serverzugang und technisches Wissen zur Konfiguration. Sie verbrauchen auch Serverressourcen für jede Anfrage, die sie untersuchen.
  • Plugin-basierte WAF: Ein WordPress-Plugin, das bei jeder Anfrage PHP-Code ausführt, um sie auf bösartige Muster zu analysieren. Plugin-WAFs sind einfach zu installieren (wie jedes WordPress-Plugin), aber sie werden ausgeführt, nachdem WordPress bereits zu laden begonnen hat, was bedeutet, dass sie Angriffe nicht auf Serverebene blockieren können. Sie fügen auch Verarbeitungs-Overhead zu jeder Seitenanfrage hinzu.

Cloud-basierte WAF-Lösungen für WordPress

Mehrere Cloud-WAF-Anbieter sind im WordPress-Ökosystem beliebt:

  • Cloudflare WAF: Bietet einen kostenlosen Tarif mit Grundschutz und kostenpflichtige Pläne mit verwalteten Regelwerken, die speziell für WordPress entwickelt wurden. Cloudflare bietet außerdem ein CDN, DDoS-Schutz und Bot-Management. Die WAF-Regeln werden regelmäßig aktualisiert, um neu entdeckte Schwachstellen abzudecken.
  • Sucuri Firewall: Eine cloud-basierte WAF, die speziell für Website-Sicherheit gebaut wurde. Sucuri leitet allen Traffic durch ihr Netzwerk, blockiert Angriffe und liefert gecachte Inhalte aus. Sie bieten auch Malware-Scanning und Entfernungsdienste an. Ihre WordPress-spezifischen Regeln decken bekannte Plugin- und Theme-Schwachstellen ab.
  • Astra Security: Eine Cloud-WAF mit einem WordPress-Plugin für einfache Einrichtung. Sie beinhaltet Bot-Schutz, Login-Schutz und ein Echtzeit-Dashboard, das blockierte Bedrohungen anzeigt.

Plugin-basierte WAF-Lösungen für WordPress

Wenn du einen plugin-basierten Ansatz bevorzugst, sind dies die etabliertesten Optionen:

  • Wordfence: Das beliebteste WordPress-Sicherheitsplugin mit über 4 Millionen aktiven Installationen. Es enthält eine WAF auf PHP-Ebene, einen Malware-Scanner, Login-Sicherheitsfunktionen und Echtzeit-Bedrohungsintelligenz. Die Premium-Version erhält Firewall-Regelupdates in Echtzeit; die kostenlose Version bekommt sie nach einer 30-Tage-Verzögerung.
  • NinjaFirewall: Eine leichtgewichtige WAF, die sich sehr früh im WordPress-Ladeprozess einklinkt, bevor die meisten Plugins und Themes geladen werden. Das gibt ihr bessere Performance als typische Plugin-WAFs, weil sie bösartige Anfragen blockieren kann, bevor WordPress vollständig initialisiert ist.
  • All In One WP Security: Ein kostenloses Sicherheitsplugin mit eingebauter Firewall, das grundlegenden Schutz durch .htaccess-Regeln und PHP-basierte Filterung bietet. Es ist weniger ausgereift als Wordfence oder NinjaFirewall, bietet aber eine einfachere Oberfläche für Anfänger.

Wovor WAFs schützen

Eine korrekt konfigurierte WAF schützt vor einer Vielzahl von Angriffstypen:

  • SQL-Injection: Angreifer schleusen bösartige SQL-Abfragen über Formularfelder, URL-Parameter oder Cookies ein, um Datenbankinhalte zu lesen, zu ändern oder zu löschen.
  • Cross-Site Scripting (XSS): Angreifer schleusen JavaScript in Seiten ein, die andere Benutzer sehen, um Session-Cookies zu stehlen oder Besucher auf bösartige Seiten umzuleiten.
  • Brute-Force-Angriffe: Automatisierte Tools, die Tausende von Benutzernamen-Passwort-Kombinationen gegen deine Login-Seite versuchen. WAFs können Login-Versuche begrenzen oder IPs nach wiederholten Fehlversuchen blockieren.
  • Bot-Angriffe: Automatisierte Bots, die Inhalte scrapen, Kommentarformulare zuspammen oder nach Schwachstellen suchen. WAFs können Bot-Traffic anhand von Verhaltensmustern und bekannten Bot-Signaturen identifizieren und blockieren.
  • File-Inclusion-Angriffe: Ausnutzung verwundbarer Plugins, um bösartige Dateien von entfernten Servern (Remote File Inclusion) oder vom Server selbst (Local File Inclusion) einzubinden.
  • Zero-Day-Exploits: Wenn eine neue Schwachstelle entdeckt wird, können WAF-Anbieter innerhalb von Stunden virtuelle Patches bereitstellen, die deine Seite schützen, bevor der Plugin- oder Theme-Entwickler einen offiziellen Fix veröffentlicht.

False Positives und WAF-Tuning

Eine der größten Herausforderungen bei jeder WAF sind False Positives, also Fälle, in denen legitime Anfragen blockiert werden, weil sie einer Sicherheitsregel entsprechen. Das passiert häufiger als man denkt. Zum Beispiel könnte ein Blogbeitrag mit SQL-Code-Beispielen eine SQL-Injection-Regel auslösen. Ein Admin, der eine Datei mit ungewöhnlichen Zeichen im Namen hochlädt, könnte blockiert werden. Ein benutzerdefiniertes Formular mit HTML-Eingabe könnte für die WAF wie ein XSS-Versuch aussehen. WAF-Tuning bedeutet, blockierte Anfragen regelmäßig zu überprüfen, Ausnahmen (Allowlist-Regeln) für legitime Traffic-Muster zu erstellen und Empfindlichkeitsstufen anzupassen. Die meisten WAFs bieten einen "Lernmodus" oder "Überwachungsmodus", in dem sie verdächtige Anfragen protokollieren ohne sie zu blockieren, damit du False Positives identifizieren kannst, bevor du die Durchsetzung aktivierst.

WAF vs Sicherheitshärtung

Eine WAF ist kein Ersatz für gute Sicherheitspraktiken. Sie ist eine zusätzliche Verteidigungsschicht. Du musst weiterhin WordPress, Plugins und Themes aktuell halten. Du brauchst weiterhin starke Passwörter und Zwei-Faktor-Authentifizierung. Du brauchst weiterhin korrekte Dateiberechtigungen und eine sichere Hosting-Umgebung. Stell dir eine WAF wie einen Türsteher vor. Er stoppt offensichtliche Störenfriede, aber er behebt keine strukturellen Probleme im Gebäude. Die effektivste WordPress-Sicherheit kombiniert eine WAF mit regelmäßigen Updates, Sicherheitshärtung, Malware-Scanning und ordentlichen Backups.

Verwaltete Regeln vs benutzerdefinierte Regeln

Die meisten WAFs werden mit verwalteten Regelwerken geliefert, die vom Sicherheitsteam des Anbieters gepflegt werden. Diese Regeln werden regelmäßig aktualisiert, um neue Schwachstellen und Angriffstechniken abzudecken. Verwaltete Regeln funktionieren gut für die Mehrheit der WordPress-Seiten, weil sie gängige Angriffsvektoren abdecken, ohne manuelle Konfiguration zu erfordern. Benutzerdefinierte Regeln lassen dich eigene Blockierungsbedingungen basierend auf deinen spezifischen Bedürfnissen erstellen. Zum Beispiel könntest du eine Regel erstellen, die alle Anfragen an /xmlrpc.php von außerhalb deines Landes blockiert, oder eine Regel, die API-Anfragen von einem bestimmten IP-Bereich begrenzt. Benutzerdefinierte Regeln sind mächtig, erfordern aber ein gutes Verständnis deiner Traffic-Muster, um zu vermeiden, dass legitime Besucher blockiert werden.

Was InspectWP prüft

InspectWP kann mehrere WAF-Lösungen über Response-Header und DNS-Einträge erkennen. Cloud-basierte WAFs wie Cloudflare und Sucuri verändern DNS-Einträge und fügen charakteristische Header hinzu, die InspectWP identifiziert. So kannst du bestätigen, dass deine WAF korrekt konfiguriert ist und deine WordPress-Seite aktiv schützt.

Vorheriger Artikel

Was sind Core Web Vitals?

Verwandte Artikel

Was sind Core Web Vitals?

Was ist WordPress Multisite?

Was ist Lazy Loading?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren