Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Wordfence ist das am häufigsten eingesetzte Sicherheits, Plugin für WordPress. Es kombiniert eine Web Application Firewall (WAF), einen Malware, Scanner, Brute, Force, Schutz und ein Live, Traffic, Monitoring. Wordfence prüft jede Anfrage auf PHP, Ebene und tauscht Bedrohungsdaten mit Servern von Defiant Inc. in den USA aus. Aus DSGVO, Sicht handelt es sich um ein technisch notwendiges Sicherheitswerkzeug, das IP, Adressen und Anfrage, Metadaten verarbeitet, um Angriffe zu erkennen und zu blockieren.
Wordfence ist ein WordPress, Sicherheits, Plugin von Defiant Inc., das vollständig innerhalb der Website als PHP, Code ausgeführt wird. Es kombiniert eine Web Application Firewall (WAF) zur Prüfung von HTTP, Anfragen auf Applikationsebene, einen Malware, Scanner, der Kerndateien mit dem WordPress, Repository abgleicht, ein Modul zum Schutz vor Brute, Force, Angriffen und ein Live, Traffic, Monitoring. Es ist eines der am weitesten verbreiteten WordPress, Plugins mit mehreren Millionen aktiven Installationen in der Europäischen Union.
Serverseitig protokolliert Wordfence IP, Adressen, User, Agents, Request, URIs sowie bei authentifizierten Nutzern die mit fehlgeschlagenen Login, Versuchen verknüpften Benutzernamen. Die WAF prüft Request, Bodies, sodass Formular, Payloads durch die Mustererkennung von Wordfence laufen. Clientseitig setzt Wordfence eine geringe Anzahl von Cookies, die zur Identifikation des Administrator, Browsers (Varianten wfwaf_authcookie) und zur Verfolgung von Login, Versuchen dienen. Diese Cookies sind funktional und an den Sicherheitszweck gebunden, nicht an Nutzer, Profiling.
IP, Adressen sind personenbezogene Daten im Sinne der DSGVO. Wordfence verarbeitet sie systematisch und unterliegt damit der Verordnung. Vorteilhaft ist, dass Erwägungsgrund 49 DSGVO Netz, und Informationssicherheit ausdrücklich als berechtigtes Interesse des Verantwortlichen anerkennt, sodass als Rechtsgrundlage üblicherweise Art. 6 Abs. 1 lit. f DSGVO und nicht die Einwilligung herangezogen wird. Die für den Sicherheitsmechanismus zwingend erforderlichen Wordfence, Cookies fallen unter die Sicherheitsausnahme von Art. 5 Abs. 3 ePrivacy, Richtlinie und benötigen keine vorherige Einwilligung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Defiant Inc. ist ein US, Unternehmen und der Threat Defense Feed wird auf US, Infrastruktur gehostet. Wenn das Plugin den Feed abfragt, wenn Premium, Nutzer Angriffstelemetrie hochladen oder wenn Website, Betreiber Wordfence Central nutzen, werden personenbezogene Daten (insbesondere IP, Adressen und Angreifer, Fingerprints) außerhalb des EWR übermittelt. Die Übermittlung stützt sich auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Übermittlungs, Folgenabschätzung (Transfer Impact Assessment) wird für Organisationen mit erhöhter Sensibilität gegenüber US, Überwachungsgesetzen empfohlen.
Dokumentieren Sie Wordfence im Verzeichnis von Verarbeitungstätigkeiten (VVT) als Sicherheitswerkzeug auf Basis berechtigter Interessen. Führen Sie eine kurze LIA durch, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung belegt. Erwähnen Sie Wordfence und die US, Übermittlung in der Datenschutzerklärung und verweisen Sie auf die SCC. Halten Sie die Speicherdauer der Protokolle kurz (die Aufbewahrungsdauer des Live Traffic ist konfigurierbar). Für Websites in stark regulierten Bereichen (Gesundheit, öffentlicher Sektor) sollten selbst gehostete Alternativen oder eine strengere Log, Bereinigung erwogen werden.
Websites using Wordfence must obtain user consent under GDPR regulations.
DPIA considerations
Wordfence verarbeitet IP, Adressen, User, Agents, Request, Payloads und Login, Metadaten zum Zweck der Angriffserkennung und , abwehr. Wesentliche DSFA, Aspekte: (1) systematische Verarbeitung von Besucher, IP, Adressen, die nach DSGVO personenbezogene Daten darstellen; (2) Übertragung von Angriffs, Telemetrie und in Premium, Tarifen detaillierter Bedrohungsdaten an Defiant Inc. in den USA; (3) potenzielle Protokollierung von POST, Request, Bodies, die inzident in Formularen übermittelte personenbezogene Daten enthalten können; (4) Verarbeitung von Authentifizierungs, Metadaten (fehlgeschlagene Logins, 2FA, Ereignisse) legitimer Nutzer; (5) Anbindung an das Cloud, Dashboard Wordfence Central für die Mehrstandortverwaltung. Eine formale DSFA ist für typische Installationen meist nicht erforderlich, da Wordfence unter die Sicherheitsausnahme (Erwägungsgrund 49 DSGVO) fällt, jedoch wird eine Abwägung berechtigter Interessen (LIA) dringend empfohlen, insbesondere für Premium, Stufen mit Echtzeit, Threat, Feed.
Sample consent text
Unsere Website nutzt Wordfence zum Schutz vor Hacking, Versuchen, Malware und missbräuchlichem Datenverkehr. Hierzu prüft Wordfence eingehende Anfragen, protokolliert IP, Adressen verdächtiger Besucher und tauscht Bedrohungsdaten mit Defiant Inc. in den USA aus. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit der Website (Art. 6 Abs. 1 lit. f DSGVO), wie in Erwägungsgrund 49 DSGVO ausdrücklich anerkannt.
Third-party domains contacted
wordfence.comwww.wordfence.comnoc1.wordfence.comnoc4.wordfence.comnoc7.wordfence.comwfcentral.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| wfwaf-authcookie-<hash> | Functional / Security | Session (4 hours by default) | Identifies the browser of an authenticated WordPress user so that the Wordfence Web Application Firewall (WAF) can apply the trusted user ruleset and avoid blocking legitimate admin actions. |
| wordfence_verifiedHuman | Functional / Security | 24 hours | Marks a visitor as human after a successful CAPTCHA challenge or interaction, reducing the friction of subsequent firewall checks during the same session. |
| wfvt_<id> | Functional / Security | Session | Stores a visitor tracking identifier used by the Live Traffic feature to group requests from the same browser when admins review traffic in real time. |
| wf_loginalerted_<hash> | Functional / Security | 1 year | Records that a successful login alert email has already been sent for a given user and IP combination, to avoid sending duplicate alerts on every subsequent login. |
Wordfence erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Wordfence setzt eine geringe Anzahl funktionaler Cookies, vorrangig Varianten von wfwaf-authcookie, die den Browser des Administrators erkennen und die Firewall für vertrauenswürdige Sitzungen umgehen. Hinzu kommen kurzlebige Cookies der Module Live Traffic und Login Security. Diese Cookies sind funktional und an den Sicherheitszweck gebunden, ohne Nutzer, Profiling.
In den meisten Fällen nein. Wordfence ist ein technisch notwendiges Sicherheitswerkzeug. Die Cookies fallen unter die Sicherheitsausnahme nach Art. 5 Abs. 3 ePrivacy, Richtlinie, und die Datenverarbeitung wird durch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO sowie Erwägungsgrund 49 (Netz, und Informationssicherheit) gestützt. Eine Einwilligung ist in der Regel nicht erforderlich.
Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Erwägungsgrund 49 erkennt die Sicherheit von Netzen und Informationssystemen ausdrücklich als berechtigtes Interesse des Verantwortlichen an. Eine kurze LIA (Legitimate Interest Assessment) sollte dokumentiert werden.
Ja. Defiant Inc. ist ein US, Unternehmen. IP, Adressen, Angriffs, Patterns und Bedrohungstelemetrie werden über den Threat Defense Feed und Wordfence Central an US, Server übermittelt. Grundlage sind Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
Eine formale DSFA ist selten erforderlich, da die Verarbeitung unter die Sicherheitsausnahme fällt und nur begrenzte Datenkategorien betrifft. Dokumentieren Sie stattdessen eine LIA und ziehen Sie eine TIA in Betracht, sofern Ihre Organisation gegenüber US, Überwachungsgesetzen besonders sensibel ist.
Installieren Sie das Plugin, halten Sie IP, Anonymisierung und Protokollaufbewahrung kurz, listen Sie Wordfence in der Datenschutzerklärung mit Verweis auf USA, Transfer und SCC, aktivieren Sie die Premium, Telemetrie nicht ohne erneute LIA und vermeiden Sie die Protokollierung von POST, Bodies bei Formularen mit besonderen Kategorien personenbezogener Daten.
Auf WordPress, Plugin, Ebene: Sucuri (US, HQ, aber globales CDN), Solid Security (vormals iThemes), Patchstack (Estland, EU, basierte Threat Intelligence) sowie Cloudflare WAF am Edge. Für selbst gehostete Setups bleibt ModSecurity mit dem OWASP Core Rule Set eine vollständig in der EU kontrollierbare Option.
Wordfence sollte in der Cookie, Richtlinie unter „technisch notwendig" oder „Sicherheit" geführt werden, mit einer kurzen Beschreibung jedes Cookies (Name, Zweck, Laufzeit), Erwähnung des US, Transfers mit SCC und klarem Hinweis, dass keine Einwilligung erforderlich ist, da die Verarbeitung auf berechtigtem Interesse mit Sicherheitsausnahme beruht.