1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheits PlugIns

Dieses Thema im Forum "Plugins und Widgets" wurde erstellt von Gast 100035, 18. Januar 2023.

  1. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    1.351
    Zustimmungen:
    345
    Wo hast du das her? Link?

    @threadi
    Schaue mir gerne iThemes auch mal an. Kenne ich noch nicht.
    Frage 1: Kann iThemes meine o.g. 4 Punkte?
    Frage 2: Warum hattest du XML-RPC nicht gleich und grundsätzlich geblockt?
     
  2. von hier

    Was ist das? o_O
     
  3. Ich komme jetzt doch in Fahrt dank @meisterleise und @threadi und habe meine Auswahl auf zwei Plugins eingeschränkt. Ich werde die jetzt auf zwei verschiedenen Websites anwenden und das nehmen, das ich als erstes verstehe (was ja auch Jahre dauern kann bei mir ;))

    Was ich aber dazu gelernt habe ist, dass das Einloggen maximal erschwert werden soll. Und das werde ich als erstes tun.
     
  4. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    1.966
    Zustimmungen:
    397
    Jain. Geoblocking nicht. Das begründen die Entwickler hier: https://help.ithemes.com/hc/en-us/articles/228222927-The-Misconceptions-of-GeoIP-Banning

    Da es leider tatsächlich noch von Plugins bei diesem (und anderen Projekten auf dem System) genutzt wird. Liegt leider außerhalb meiner Entscheidungsmacht.
     
  5. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    Du machst Dir das Leben unnötig schwer. Gegen Brute-Force-Angriffe genügt ein sicher Passwort und der Einsatz von fail2ban auf Serverebene. Dann hast du Ruhe. IP's, welche dann Fehlversuche starten, werden für die nächsten 24 Stunden einfach gebannt. Oder länger.

    Für fail2ban gibts sogar ein Plugin. Hab's aber nicht gestesten, da fail2ban bei mir auf Servereben bereits arbeitet.
     
  6. Ooch geht aber. Aber ich werde nun vor allem mal meine Einloggdaten überarbeiten.

    Hast Du einen eigenen Server oder läuft das auf dem Server Deiners Providers?
     
  7. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    Ich habe einen eigenen Server (Debian 11).
     
  8. Ah ja, das lohnt sich für mein Hobby nicht :). Aber das Plugin werde ich testen. Wird ja wohl ständig gepflegt, zuletzt vor 1 Monat. Danke.
     
  9. Und wie geht das? Ist das der Weg?
     
  10. Meine Frage und die Antworten darauf haben mich auf die Idee gebracht, eine Anleitung für Benutzer nicht gewerblicher Websites zu erstellen. Ich habe auf dieser nicht öffentlich zugänglichen Seite mein bisheriges Wissen zusammengefasst. Wer möchte, kann sich das ja gerne einmal anschauen, mir Änderungsvorschläge machen oder ergänzen. Und meine Idee ist, das dann hier im Forum als von mir aus Sicherheitsratschlag für alle zu veröffentlichen. Wie ist dazu die Meinung? Sollte ich die Absicherung über .htaccess noch dazu nehmen?

    Es wäre mir wirklich eine große Hilfe. ;)
     
    #30 Gast 100035, 22. Januar 2023
    Zuletzt von einem Moderator bearbeitet: 22. Januar 2023
  11. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    1.351
    Zustimmungen:
    345
    Aber dein gefundener Artikel auf die Sicherheitslücke ist von 2020, also in Webzeitrechnung uralt. Der Artikel ist 1. nicht mehr relevant und 2. wenn du keine neuere Warnung findest eher ein Hinweis darauf, dass die Entwickler ihre Arbeit getan haben und seit 2 Jahren es niemand mehr geschafft hat, das Plugin zu hacken.

    Danke für die Antwort, @threadi. Der Argumentation der Entwickler gegen das GeoBlocking würde ich allerdings nicht zustimmen. Durch das Geoblocking konnte ich idR 80-90% der Anmeldeversuche abblocken, da ein Großteil eben doch aus USA, China, Russland, Türkei kommt. Vor dem Krieg war auch die Ukraine sehr stark vertreten. Hier ein aktuelles Beispiel:
    upload_2023-1-22_22-12-50.png

    XML-RPC ist eine nostalgische Schnittstelle, die idR niemand braucht außer Hacker, weshalb man sich fragen darf, warum die WP Entwickler es nicht wenigstens standardmäßig deaktivieren und dem Ding einen Einschalter spendieren für die, die es nutzen möchten. :confused:
    Ja, dein Link ist richtig. Wobei ich jetzt nicht weiß, ob der ganze Kram mit der functions.php wirklich sein muss. Ich deaktiviere XML-RPC nur über htaccess.

    Liest sich so, als mache fail2ban nur auf eigenen Servern Sinn und nicht auf Hostingpaketen, richtig?

    Vielleicht ein bisschen zu schnell. Vielleicht solltest du die Sachen erst einmal ein Weilchen testen und Erfahrungen sammeln und Erkenntisse gewinnen? Du siehst ja, schon bei nur 3 Leuten: @threadi @B-52 @meisterleise geht die Vorgehensweise in unterschiedliche Richtungen. Der Nächste, der sich hier zu Wort meldet, sieht es möglicherweise wieder ganz anders.

    Ich kann nur sagen, ich habe mit meinem 4. Punkte System bisher gute Erfahrungen gemacht. Seiten, die vorher mehrfach gehackt worden waren sind seitdem (seit 2-3 Jahren) nicht mehr gehackt worden. (Kann an meinem System liegen, kann natürlich auch einfach nur Glück sein).

    Schonmal technisches Feedback zu deiner Seite @Kurt Singer : ich habe es hier schon mehrmals erwähnt: der DIVI Builder hat irgendwie einen Bug. Webseiten, die mit DIVI gebaut wurden, lassen sich auf einem Macbook mit Trackpad nicht richtig scrollen. :(
     
  12. @meisterleise Danke für Deine Anmerkungen. Hätte ich am Anfang schon gewußt, wohin der Thread steuert, hätte ich eine andere Überschrift gewählt, z.B. Teststation oder so.

    Ja natürlich, auch wenn man im Web surft findet man tausend Anleitungen zum Sichern einer Website. das ist es ja, was dann Leute wie mich und meinesgleichen verunsichert. Was mache ich denn, und zwar so, dass es der weitgehend unbedarfte Websiteersteller auch händeln kann. Der stellt seine Katzen vor, seinen Hund oder sein Blumenbeet, auch seinen Verein oder seine Kaninchen. Der wird sicher auch nur zufällig durch Bots entdeckt. Aber wer seine Website durch einfach durchzuführende Maßnahmen vor Zugriffen schützt, verhindert auch, dass ohne das Wissen des Betreibers ein gemeinsames Ziel angegriffen und dabei Spam-Mails verschickt werden, Malware verbreiten und/oder DDoS-Angriffe durchgeführt werden. Ob da jetzt wirklich jeder auch noch Plugins wie fail2ban einsetzt und die . access bemüht werden muss sei ja dahin gestellt. Vielleicht sollte man noch eine Kurzanleitung hinzufügen, wie man XML-RPC gleich und grundsätzlich blockt.

    Dann hat doch die private Website schon mehr Schutz, als jetzt - was weiß ich - 80 % aller privaten Websites.

    Und das "langsam mit den Hühnern" mache ich ja dadurch, dass ich diese Ratschläge noch nicht öffentlich mache, sondern erstmal auf der nicht öffentlichen Seite sammele und hier um Hilfe und Unterstützung bitte. Ob dann irgendwann eine solche Anleitung hier im Forum allen Privatiers ampfohlen wird überlasse ich letztendlich der Meinung der Community und der Entscheidung der Admins/Mods.

    Und was den Divi Builder betrifft: nach meinem Umstieg von NetObjects Fusion kam ich zu Wordpress und habe mir dann willkürlich einen Pagebuilder gesucht, bin dann haltt da gelandet, wo der Divi Builder als Grundlage dient. Auf meinen Seiten lege ich so gut wie keinen Wert auf Smartphone- oder Tablet - Kombatibilität, ich passe die Seiten meiner Bildschirmgröße an und sorge dafür, dass sie mit Tablet und Smartphone zumindest erreichbar und lesbar sind. Sorry dafür, aber dabei bleibe ich. Zumindest so lange, bis ich meine Kenntnisse weiter entwickelt habe, was ich allerdings für unwahrscheinlich halte.

    Und für die Sicherheit meiner Seiten habe ich heute alle Benutzernamen geändert und neue Passwörter mit mindestens 20 Stellen, Groß- und Kleinschreibung und einige Sonderzeichen vergeben. Das muss erstmal reichen. Meine restliche Einstellung ist ja bekannt.

    P.s.: leider weiß ich nicht, ob ich diesen Thread irgendwie auf "nichtöffentlich" setzen kann. Gibt es denn so etwas wie einen nichtöffentlichen Raum? Ich kenne das aus anderen Foren.
     
    #32 Gast 100035, 23. Januar 2023
    Zuletzt von einem Moderator bearbeitet: 23. Januar 2023
  13. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    Das weiss ich nicht, da ich das Plugin nicht kenne und nicht nachvollziehen kann, was es genau tut und welche log-Files dies genau ausliest. Auf Serverebene jedenfalls arbeitet das Paket sehr effizient.
     
  14. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    1.351
    Zustimmungen:
    345
    @Kurt Singer Deine Thailand Seite hat übrigens kein Scrollproblem wie die Kurt Singer Seite, obwohl beide mit DIVI erstellt sind. Vielleicht gibt es ja in DIVI irgendwo noch eine Einstellung zum Scrollverhalten? :rolleyes:
     
  15. Also ich habe auf meinem Samsung und dem iPhone keine Scrollprobleme, eher eins mit dem Hamburger Menu o_O
     
  16. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    1.351
    Zustimmungen:
    345
    Das glaube ich dir – dafür benötigst du nämlich ein Macbook mit Trackpad und macOS. ;)
     
  17. Oh je, jetzt soll ich auch noch Mac... berücksichtigen, also den Teil der Bevölkerung, der eh schon alles kann :rolleyes:
     
  18. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    1.351
    Zustimmungen:
    345
    Du musst überhaupt nichts berücksichtigen. War nur ein Ansatz, herauszufinden, warum DIVI Webseiten so oft auf Macs verrückt spielen...
    Mir im Prinzip egal, ob DIVI Seiten auf Macs laufen. :p
     
    Gast 100035 gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden