Zum Inhalt springen
20. January 2026: HelloBlog.io ist gestartet: 22 Sprachen, werbefrei und mit Open-Source-Fokus
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
Wordfence per Terminal steuern: WP-CLI-Commands plus Abilities API (WordPress 6.9)
Julia Schneider
Julia Schneider 21. January 2026 · 4 Min. Lesezeit

Wordfence per Terminal steuern: WP-CLI-Commands plus Abilities API (WordPress 6.9)

wordpress-Ökosystem abilities api security wordfence wordpress wp-cli

Wer mehrere WordPress-Instanzen betreibt oder ohnehin lieber im Terminal arbeitet, kennt das Problem: Security-Workflows laufen oft im Admin-UI zusammen. Mit einem neuen Open-Source-Plugin ändert sich das für Wordfence deutlich: Es ergänzt Wordfence Security um eine WP-CLI-Command-Suite (wp wfsec) und implementiert gleichzeitig eine der ersten Integrationen für die neue WordPress Abilities API aus WordPress 6.9.

Der praktische Effekt: Du kannst Wordfence-Scans anstoßen, den Status verfolgen, Firewall-/WAF-Optionen (Web Application Firewall) schalten, IPs blocken und Findings verwalten – komplett skriptbar. Und über die Abilities API wird das Ganze zusätzlich über eine standardisierte, von Tools (inkl. AI Agents) entdeckbare Schnittstelle zugänglich.

Was das Plugin konkret liefert

Das Plugin erweitert WP-CLI um den Namespace wfsec. Darüber stehen zentrale Wordfence-Funktionen als Terminal-Kommandos bereit – ideal für Admins, SRE/DevOps-nahe Workflows, Cronjobs und Automatisierung.

1) Security Scanning

  • Quick- oder Full-Malware-Scans starten
  • Scan-Fortschritt in Echtzeit überwachen
  • Scan-Historie und detaillierte Logs ausgeben

2) Firewall-Management

  • IP-Adressen blockieren oder entblocken
  • Block-Dauer und Begründung setzen
  • Prüfen, ob eine bestimmte IP geblockt ist
  • WAF-Schutz aktivieren oder deaktivieren

3) Issue Tracking (Funde/Threats verwalten)

  • Alle erkannten Security-Issues listen
  • Nach Status filtern (new, ignored, resolved)
  • Einzelne Threats löschen oder gezielt verwalten

4) Konfiguration & Lizenz

  • Wordfence-Settings lesen und setzen
  • Lizenzstatus prüfen
  • Konfiguration exportieren und importieren

Schnelleinstieg: typische WP-CLI-Aufrufe

Ein paar Beispiele, wie sich das im Alltag anfühlt (z. B. auf einem Maintenance-Host, in CI oder einfach lokal via SSH):

# Overall-Status von Wordfence
wp wfsec status

# Full Scan starten
wp wfsec scan start --type=full

# Scan-Fortschritt beobachten
wp wfsec scan status

# Alle Issues ausgeben
wp wfsec issues ls --status=all

# IP für 24h blocken (86400 Sekunden)
wp wfsec firewall block 192.168.1.100 --duration=86400 --reason="Brute force attempt"

# Lizenzstatus prüfen
wp wfsec license status

Für Scripting und Automatisierung wichtig: Alle Commands unterstützen --format=json. Damit kannst du Ausgaben stabil parsen und in eigene Tools, Pipelines oder Monitoring-Checks einspeisen.

Abilities API in WordPress 6.9: warum das hier der eigentliche Gamechanger ist

Neben WP-CLI ist das Plugin spannend, weil es die WordPress Abilities API implementiert. Diese Schnittstelle wurde mit WordPress 6.9 als standardisierte Möglichkeit eingeführt, WordPress-Funktionalität für Automatisierungstools und AI Agents (Agenten, die Aufgaben anhand von Tools/APIs selbstständig ausführen) auffindbar und nutzbar zu machen.

Statt individueller, plugin-spezifischer Integrationen setzt die Abilities API auf eine self-describing und schema-validierte Beschreibung von Fähigkeiten. Tools können damit programmgesteuert erkennen, welche Aktionen verfügbar sind und wie sie korrekt aufzurufen sind – ohne dass du für jedes Plugin eine eigene Custom-Integration bauen musst.

Diese 7 „Abilities“ stellt das Plugin bereit

  • scan-status – aktuellen Scan-Status und Fortschritt abfragen
  • scan-start – Security-Scans programmatisch starten
  • issues-list – erkannte Security-Issues abrufen
  • issues-count – Issue-Anzahlen nach Severity liefern
  • firewall-status – WAF-Status prüfen
  • firewall-block – IPs über API blockieren
  • license-status – Lizenzinformationen abfragen

Damit wird Wordfence z. B. in folgenden Szenarien deutlich einfacher integrierbar: AI-gestütztes Security-Monitoring, eigene Admin-/Ops-Dashboards, automatisierte Routine-Checks (z. B. täglicher Scan-Status + Issue-Counts) oder standardisierte Workflows, die IP-Blocks nach bestimmten Signalen setzen.

Auth: Application Passwords via Basic Auth

Die Authentifizierung erfolgt über WordPress Application Passwords (Anwendungs-Passwörter) per Basic Auth. Das ist besonders relevant für Automations-Setups, bei denen ein externer Dienst oder Agent gezielt und nachvollziehbar mit minimalen Rechten zugreifen soll.

Voraussetzungen

  • WordPress 6.9+
  • PHP 8.0+
  • WP-CLI 2.5+
  • Wordfence Security Plugin (Free oder Premium)

Installation & Download

Du kannst die aktuelle Version als ZIP herunterladen und in dein /wp-content/plugins/-Verzeichnis hochladen:

Download WP CLI for Wordfence v1.0.0 wpcli-for-wordfence-1.0.0.zip

Alternativ ist laut Projekt auch eine Installation via Composer möglich, wenn du ein Bedrock-ähnliches Setup nutzt.

Einordnung für den Betrieb: wann sich das besonders lohnt

Wenn du viele Sites betreibst, ist der Mehrwert schnell spürbar: WP-CLI macht Wordfence-Operationen wiederholbar, testbar und in vorhandene Admin-Prozesse integrierbar (Deployments, Wartungsfenster, Incident Response). Die Abilities-API-Schicht legt zusätzlich eine standardisierte Automations-Spur darüber – interessant, sobald du Security-Tasks nicht nur „ausführen“, sondern auch systematisch orchestrieren willst (Agenten, Runbooks, zentrale Dashboards).

Wichtig ist dabei vor allem die Kombi aus --format=json (für robuste Automations-Outputs) und der Abilities API (für Tool-Discovery und standardisierte Interaktion).

Referenzen / Quellen

Julia Schneider

Julia Schneider

Leiterin der deutschen Redaktion, Softwarearchitektin und technische Mentorin. Java- und Spring-Framework-Expertin. Präzision und Qualität über alles.

Alle Beiträge

Mehr von Julia Schneider

WP Media Cleanup von Duplicator: Unbenutzte WordPress-Bildvarianten sicher löschen (inkl. WP-CLI) WP Media Cleanup von Duplicator: Unbenutzte WordPress-Bildvarianten sicher löschen (inkl. WP-CLI) Acorn Prettify: Der Soil-Nachfolger für ein aufgeräumteres WordPress Acorn Prettify: Der Soil-Nachfolger für ein aufgeräumteres WordPress

Tritt der HelloWP-Community bei!

Chatte mit uns über WordPress, Webentwicklung und teile Erfahrungen mit anderen Entwickler*innen.

- Mitglieder
- online
Beitreten

Wir verwenden Cookies, um Ihre Erfahrung zu verbessern. Wenn Sie fortfahren, stimmen Sie unserer Cookie-Richtlinie zu.