1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

[Contactform 7] Suche Sicherheitstools/Tipps

Dieses Thema im Forum "Plugins und Widgets" wurde erstellt von Tüddeldraht, 5. Februar 2015.

Schlagworte:
  1. Tüddeldraht

    Tüddeldraht Well-Known Member

    Registriert seit:
    7. März 2013
    Beiträge:
    86
    Zustimmungen:
    5
    Hollerö,

    bei uns in der Firma heben wir ein Problem, eine Kundenseite wird regelmäßig Opfer von Hacker-Angriffen. Das eine mal musste der Server sogar komplett neu aufgesetzt werden. Mittlerweile bin ich mir auch sehr sicher, dass die Angriffe über das Kontaktformular stattfinden.

    Wir verwenden hierfür Contactform 7, kein Captcha und auch kein Akismet (Akismet ist ja auch leider rechtlich nicht ganz so einwandfrei wegen den Senden der Daten an Dritte, wird also auch vom Kunden abgelehnt).

    Ich habe Festgestellt, dass man die Formularfelder recht einfach manipulieren kann. Das Resultat ist, dass die Felder nicht einzeln überprüft werden und die Daten so in das Mail-Script geladen werden, dort wird dann wahrscheinlich auch der PHP Befehl ausgeführt.

    Wie kann ich mich vor so etwas schützen? Gibt es eventuell andere Kontaktformular-Plugins, welche ich verwenden kann und die auch sicher sind?

    Vielen Dank schonmal,
    Tüddeldraht
     
  2. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.955
    Zustimmungen:
    175
    Mojn,

    Wenn ihr Akismet nicht einsetzen mögt, was ich auch durchaus verstehen kann, könntet ihr das Antispam Bee verwenden.
    Das erfüllt auch seinen Zweck und wird von vielen hier verwendet.
    Durchaus lesenswert auch dieser Artikel dazu.

    Hast du mal eine entsprechende Anfrage an den Plugin Autor gestellt, ob er das bestätigen kann? Ist ja möglich das er, wenn er es weiß diese Thematik in einem der kommenden Updates berücksichtigen kann. Contactform7 ist ja recht umgänglich und wird auch von vielen eingesetzt, eben weil es so einfach zu handhaben ist.
     
  3. Tüddeldraht

    Tüddeldraht Well-Known Member

    Registriert seit:
    7. März 2013
    Beiträge:
    86
    Zustimmungen:
    5
    Danke für den Antispam Bee Tipp. Werde ich gleich mal ausprobieren. Alternative wäre auch von mir die Formulare einfach selber zu schreiben (+Überprüfung) und die Entweder als Template-Seite oder als Funktion einzufügen.

    Dabei habe ich (wir in der Firma) uns eigentlich die Frage gestellt, ob bei dem Projekt Wordpress überhaupt sinnvoll ist/war (war eine Entscheidung vom Vorgesetzten die ich - vor allem im Nachhinein - nicht ganz verstehe).

    Bisher noch nicht, da meine Englischkenntnisse sich auf die normale IT und Gaming-Sachen beziehen ;). Werde aber denke ich mal probieren was da zusammenzureimen und da mal nachfragen.
     
  4. biker71

    biker71 Well-Known Member

    Registriert seit:
    22. September 2011
    Beiträge:
    102
    Zustimmungen:
    0
    warum kein Captcha? dann brauch man sich auch nicht wundern. Sowas gehört zum Standard, genauso wie Antispam bee, Rename WP Login,Sicherheitsschlüssel Änderung und viele weitere Sachen

    Zu Groß oder zu klein?.
     
  5. Tüddeldraht

    Tüddeldraht Well-Known Member

    Registriert seit:
    7. März 2013
    Beiträge:
    86
    Zustimmungen:
    5
    Da es sich um gezielte Angriffe handelt(e), nutzt auch dies nicht. Ist vielleicht Ratsam bei Spam-Mails, welche via Bot kommen. Hier handelt es sich um direkte Formularangriffe/Manipulation. Da bringt das Captcha auch nichts, ausser dass es eine Minute länger dauert.

    Die Webseite ist recht klein, und die Änderungen sind vom Zeitaufwand genauso schnell zu lösen, wie als wenn ich es per Hand in der HTML/PHP Datei einfüge. Wäre es eine zu GROSSE Seite/Firma, würde ich da auch auf ein anderes CMS setzen.
     
  6. maxe

    maxe Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.581
    Zustimmungen:
    277
    Für mich gehören Captchas keineswegs zum Standard. Wer behauptet sowas? Ich finde sie eher störend und lasse das ein oder andere Kommentar mit Captcha-Abfrage auch mal eher sein.
     
  7. Tüddeldraht

    Tüddeldraht Well-Known Member

    Registriert seit:
    7. März 2013
    Beiträge:
    86
    Zustimmungen:
    5
    Weitere Lücke die ich beiläufig erkannt habe (auch schon laaaange bekannt beim Entwickler) ist im Plugin Revolution Slider. Das wird ein Graus mittlerweile :D
     
  8. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
    der Rev Slider ist schon seit Ewigkeiten i.O..
     
  9. Tüddeldraht

    Tüddeldraht Well-Known Member

    Registriert seit:
    7. März 2013
    Beiträge:
    86
    Zustimmungen:
    5
    Stimmt, aber wir hatten ein Theme eingekauft wo eine asbachuralte Version eingebunden ist. Leider steht nirgendwo im Backend, dass ein Update verfügbar ist. Da muss dann alles manuell heruntergeladen werden und geupdatet. Also eigentlich wird das Plugin dann neu installiert...
     
  10. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
    das liegt dann aber am themeentwickler. der rev slider ist i.0.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden