1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress Sicherheit: Ein paar Bugs (Sicherheit)?

Dieses Thema im Forum "Konfiguration" wurde erstellt von nbc, 24. April 2016.

  1. nbc

    nbc Member

    Registriert seit:
    23. April 2016
    Beiträge:
    16
    Zustimmungen:
    0
    Hallo,

    ich beschäftige mich seit ein paar Tagen mit WP genauer und komme aus der Joomla Ecke. Ich habe ein paar Dinge bemerkt, die eigentlich keinen Sinn machen und evtl. hat jedem Rat, wie man dies umgehen kann, da ansonsten einige Plugins ihren Dienst nicht recht erfüllen.

    Es geht um:

    1. WP Admin .htaccess protected
    2. Passwort Wiederherstellung
    3. WP Admin URL ändern

    Zu Punkt 1:

    Ich habe den Adminbereich mittels .htaccess geschützt. Nun kommt meiner Meinung nach ein kleiner Fehler. Wenn man bei der .htaccess Abfrage das Passwort falsch eingibt oder diese umgehen will, wird man nicht auf eine 404 Seite, sondern auf die Admin Login Seite umgeleitet und kann das Passwort eingeben und ist angemeldet und hat die .htaccess Abfrage vorerst umgangen.

    Zu Punkt 2:

    Wenn ich nun das Passwort zurücksetzen möchten kann ich genau so vorgehen (.htaccess Abfrage wegklicken) und erhalte nach Eingabe einer richtigen Email auch die Email mit Link zum Zurücksetzen und kann dann das Passwort abändern ohne die .htacess Abfrage bestätigt zu haben.

    Anm.: Sollte man den Adminbereich mittels .htaccess schützen, ist es fuer den normalen Benutzer nicht möglich das Passwort zurück zusetzen, weil ja immer die .htaccess Abfrage kommt. Ich glaube nicht das dieser diese solange wegklickt, bis er sein Passwort eingeben kann.

    Zu Punkt 3 + 2:

    Wenn man die Admin ULR ändert, und das Passwort zurücksetzen will, erhält man in der Email den Link mit inkl. Admin URL. Bei einer Community-Seite nicht sehr sinnvoll.

    [HR][/HR]
    Fazit:

    Zu Punkt 1:


    Die .htaccess Abfrage erscheint immer wieder, auch wenn man eingeloggt ist, aber man findet evtl. Möglichkeiten durch immerwährendes wegklicken in einen Bereich zu kommen, wo die Abfrage ausgeschaltet werden kann.

    Zu Punkt 2:

    Hier wäre es vom Vorteil, wenn der User nicht zum Adminbereich geleitet wird um sein Passwort zurücksetzen zu können.

    Zu Punkt 3:

    Wenn man den Adminbereich mittels neuer URL schützen möchten, sollte diese auch nicht per Email versenden werden, Denn bei einer Community Seite kann man sich ein Konto registrieren, das Passwort zurücksetzen und erhält die veränderte Admin URL per Email.

    Evtl. ist jemanden dies bereits aufgefallen und ich möchte fragen, was man tun kann um dies zu beheben. Bilder im Anhang.

    Testseite: demo.w3webdesign.de

    Vielen Dank

    Andreas
     

    Anhänge:

    • 3.png
      3.png
      Dateigröße:
      17,5 KB
      Aufrufe:
      5
    • 2.png
      2.png
      Dateigröße:
      80,8 KB
      Aufrufe:
      5
    • 1.png
      1.png
      Dateigröße:
      18,1 KB
      Aufrufe:
      7
    #1 nbc, 24. April 2016
    Zuletzt bearbeitet: 24. April 2016
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582

    Wenn man deine .htaccess umgehen kann ist deine .htaccess leider falsch. Zeig mal den Inhalt... und deine Liste deiner Plug-Ins.


    Du möchtest mit WordPress eine Community-Seite aufbauen? und gleichzeitig den Admin vor der Community verstecken? Dies geht bei einer richtigen Community-Seite bei WordPress leider nicht. Da die Community über den Admin selber Beiträge / Artikel oder was du gerade erlaubst - veröffentlicht.

    Wenn deine Community keine Rechte für eigene Artikel hat, so ist dies keine Community-Seite mehr und du kannst mit wilden Plug-Ins deinen Admin verstecken und den Link für den Login - (für was noch einmal war dann der Login nötig?) löschen...
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden