Kein Login in WP-Adminbereich mehr möglich, PW-Änderung->Webseite nicht erreichbar

Hallo zusammen,

ich wollte die Möglichkeit nutzen um nach einiger Zeit in den WP-Adminbereich einzuloggen und die Seite sowie Plugins upzudaten. Leider schien es, als hatte ich mein Admin PW verlegt. Über die PW-Resetmöglichkeit forderte ich den Reset und neues setzen des PW an. Ich erhalte die Zurücksetzen Mail und URL-Link und kann über den Zurücksetzenscreen von WP ein neues PW setzen, siehe Screenshot:
1_Loginbereich.jpg

Doch jedes mal, wenn ich das PW neu gesetzt habe, war plötzlich die gesamte Website offline und nicht erreichbar, probiert mit Firefox, Chrome und mobil über Android.

Da ich dadurch nicht weiterkomme, beschränkt sich momemtan meine Anpassungsmöglichkeit auf die Konfigurationsmöglichkeiten im Adminbereich meines Servicesproviders, z.B. Datenbankzugriff, Upgrades, Wiederherstellungen, Plugins deaktivieren, usw...

Versucht hatte ich teilweise schon:
1. PW setzen, Webseite wieder offline, wiederherstellen Backup über Serviceprovider
2. PW für Adminuser über Datenbanktabelle gesetzt, mit gleichen Verhalten
3. Vereinzelt Plugins deaktiviert, dann alle Plugings deaktiviert, PW setzen, Webseite wieder offline, wiederherstellen Backup über Serviceprovider
4. Plugin + Wordpressupdate gemacht, PW setzen, Webseite wieder offline, wiederherstellen Backup über Serviceprovider

Ich hatte nach Installation der Webseite das Securityplugin "WP Hide & Security Enhancer" genutzt, mit dem man den Standard-Login der Seite ändert und mir den Loginbereich standardmäßig ändert
von:https://www.*meinedomain*.com/wp-login.php
auf: https://www.*meinedomain*.com/newwp-login.php

Ob es damit zusammenhängt?

Inzwischen werden vom Serviceprovider mehrere Hinweise auf veraltete Fehler, Security-fehler, usw. gemeldet, siehe Screenshot: 2_Serviceprovider_Screenshot.jpg


Allerdings wie gesagt, vor meinen aktuellen Loginversuchen, konnte ich mich noch in die WP-Seite im WP-Adminbereich als Seitenadmin anmelden und administrieren, konfigurieren usw.

Ich möchte mich grundsätzlich wieder wie gewohnt anmelden können, Updates machen und die Seite aktualisieren können usw.

Habt Ihr Tipps was ich prüfen, anpassen oder tun kann? Ich freue mich auf eure Unterstützung!

Viele Grüße Schokokeks

 

Danke für den Tipp mit dem Protokoll, das ist natülich sinnvoll und die beiden Tipps von den Vorpostern werde ich probieren.

Ich habe mir von heute ab 6 Uhr morgens das Protokoll für die zumindest funktionierende Webseite angehängt (d.h. das Backup der funkionierenden Webseite wiederhergestellt).
Es sind mehrere 404 und 500-Fehler zu sehen.

Reicht das aus dem Protokoll oder soll ich das Protokoll im Fehlerzustand einstellen, d.h. wenn Webseite nach PW setzen nicht verfügbar ?

 

Das Verhalten war jetzt äußerst merkwürdig und der Login hat funktioniert! Folgendes habe ich gemacht:

1. Entsprechend Beitrag #2 und #3 alle Plugins im Serviceportal Plesk deaktiviert, dann Ordner Plugins zu Pluings-test umbennant. Allerdings wurde das WP Portal zum Reset des PW noch angezeigt, es kam allerdings nie eine Reset-Mail im Postfach an. Also dann alle Plugins aktiviert und Plugins-Ordner Umbenennungen rückgängig gemacht

2. Plugin wp-hide-security-enhancer deaktiviert und nur Ordner des Plugins wp-hide-security-enhancer zu wp-hide-security-enhancer-test umbennant. Weiterhin wurde das WP Portal zum Reset des PW noch angezeigt, es kam allerdings immer noch keine Reset-Mail im Postfach an.

3. Alle Plugins aktiviert und Plugins-Ordner Umbenennungen rückgängig gemacht, nach PW-Reset kam eine Reset-Mail im Postfach an. Neues PW für den früheren bzw. bestehenden Admin User gesetzt und siehe da, der Login in WP-Adminbereich hat plötzlich funktioniert !

Zur Verifikation habe ich mich nochmals ausgeloggt und eingeloggt und der Login in WP-Adminbereich funktioniert noch immer korrekt, aktuell.

Obwohl ich einzig das PW rücksetzen und Loginversuch gestern schon gemacht hatte, war jedesmal die Webseite nicht erreichbar.

Kann man das erklären?
Was würdet Ihr mir jetzt empfehlen zu tun, wenn es jetzt schon funktioniert?

 

Ich habe zuerst Backups gemacht und danach das Plugin wp-hide-security-enhancer deaktiviert, gelöscht und in .htaccess file relevante Einträge entfernt. Jetzt funktioniert der Login wie früher einwandrei über die Standard URL.

--> Was meinst du mit passend zu meiner Version? Welche Version von was ist hier gemeint?
Ich lade einfach die aktuellste Version über FTP hoch und habe das aktuellste Wordpress, richtig oder sollte ich vorher etwas abgleichen?

 

Hallo zusammen,

zwischenzeitlich habe ich ein manuelles Update über FTP auf zunächst Wordpress 6.1.1 gefahren mit dem Hintergrund, dass noch nicht alle Plugins mit WP 6.2 kompatibel waren. Außerdem habe ich das Theme und alle Plugins auf aktuelle Version geupdated, siehe Screenshot_14.05.

Ein Upgrade auf WP 6.2 steht meinerseits vermutlich in nächster Zeit an.

Ein Virenscan für mehr Sicherheit, kann man den über einen Webseitenservice direkt auf die Webseite durchführen oder zieht ihr euch dafür lokal eine Kopie eurer Server- bzw. Wordpress Dateien auf PC/Laptop und macht den Scan z.B. mit AntiVir oder dem Windows Virenscanner?

Die Meldung auf Sicherheitslücken mit der aktuellen Versionen betrifft:
1) Die jetzige WP 6.1, da neuere 6.2 Version verfügbar
2) 2x Security Schwachstellen im integrierten Page Builder Plugin "KingComposer", denn leider hat das Entwicklerteam die Arbeit eingestellt und es gibt keine Updates mehr seit letzter Version und ich habe diese Seite mit Empfehlungen für einen anderen Pagebuilder gefunden: https://wordpress.org/support/topic/kingcomposer-no-update-here-is-kingcomposer-best-replacement/

Somit muss ich dann kurz- bis mittelfristig nach einer Lösung für Punkt 2) schauen.

Eine Testumgebung hört sich interessant an, denn eigentlich möchte ich gerne auf Test/Dev-Umgebung testen und auf einer Prod-Umgebung die Änderungen nach erfolgreichen Tests nachziehen.

Habt ihr eine Empfehlung für eine Testumgebung oder Prozess, evtl. ein Plugin oder manuellen Vorgang mit positiven Erfahrungen?

VG

 

Das sind allesamt interessante Artikel. Im Moment interessiert mich das Thema Staging am Meisten und ich werde nach einer Lösung schauen. Auf Kinsta bin ich schon gestoßen und es ein mächtiges Tool!

Mittlerweise habe ich WP von 6.1.1 auf 6.2 angehoben und ich habe die Rückmeldung von meinem Themes/Design Entwickler, dass die genannten 2x Security Issues im Page Builder Plugin "KingComposer" vom Themes-Entwickler selber behoben wurde und es ist auch in Changelog dokumentiert. Allerdings sagt Plesk Security Modul, dass die 2x Issues weiterhin bestehen.

Weiß evtl. jemand auf was das Plesk Security Modul bei Provider Netcup.com seine Security-Informationen bezieht, schaut Plesk Security Modul aud Plugin Name und Version oder scannt es tatsächlich den Code von Wordpress, Plugins usw. auf Sicherheitslücken ?

Bzgl. jetziger 7.4 PHP Version und Update, siehe Screenshot: PHP_Möglichkeiten.jpg Reicht es nach ausgiebigen Check auf Kompatibilität der Softwarekomponenten aus, die Einstellung bei Plesk auf eine höhere und unterstützte Version, z.b. auf PHP 8.2 zu stellen oder sind grundstäzlich noch weitere manuelle PHP Software- und Skript Uploads für das PHP Update und Parameteränderungen auf dem Server notwendig ?

Viele Grüße

 

Die Issues sind die in KingComposer Page Builder Plugin, siehe Screenshot:


Kann man daraus weiteres Hilfreiches ableiten?

Wie gesagt, der Theme Entwickler hat die 2x wohl selber gefixt laut Changelog.

Wenn ich das richtig verstehe auf Basis der CVE Datenbank, dann wird in der Regel auf die gesammelten Metadaten für die Softwarekomponenten geschaut und die zugehörigen bekannten Schwachstellen gelistet, aber es wird kein eigentlicher Security Scan von Plesk in WCP Toolkit durchgeführt. Ich frage aber zur Sicherheit nochmal beim Hoster nach, ansonsten muss ich mich auf die Aussage

Die PHP Handbücher für Updates sind sehr umfangreich.Stellt PHP nicht extra noch Prüf-Skripte bereit, ob die Kompatibilität zu prüfen. Ich verstehe allerdings, dass die genannten externen Tools wie PHPCompatibility, Phpstan, psalm es tun könnten.
Ich habe es jetzt mal direkt von 7.4 auf 8.2 umgestellt und ein paar einfache Checks der Plugins und Design gemacht - scheint im Moment zu tun.
Sobald ich eine funktionierende Staging Umgebung habe, werde ich mir die Lösungen jedoch genauer anschauen und testen.

Glücklicherweise bietet Netcup eine einfache Staging Automatisierungslösung an wo eine Staging Umgebung angelegt wird und die Datenbank geklont und korrekt referenziert wird. Eine Doku/Anleitung habe ich hierzu jedoch nicht gefunden, aber ich denke es sollte unkompliziert sein.

Hat trotzdem jemand Erfahrung damit?

Viele Grüße

 

Hi, ja ich finde es auch enttäuschend, dass die Arbeit eingestellt wurde zum Unglück und mit negativen Folgen für die Anwender. Allerdings möchte ich nochmals klarstellen, weil evtl. missverständlich von mit weiter oben beschrieben:

Die Entwickler des KingComposer sind "King-Theme" und die haben die Arbeit eingestellt, siehe Post #19.
Allerdings hat mein Themes-Entwickler, welcher diesen KingComposer in seinem Theme lediglich eingesetzt und bei Envato mit im Kauf-Paket angeboten hatte, eigenhändig und laut Rückmeldung über meine Supportanfrage und dokumentiert in Changelog gefixt:



Ich schätze das ist nicht die optimalste Lösung für die zukünftige Themes Entwicklung, aber das finde ich zumindest verantwortungsvoll und fair gegenüber den früheren Käufern. Voraussgesetzt, das stimmt natürlich und es wurde ordnungsgemäß geprüft.
Die akuten Sicherheitslücken sind somit zumindest augescheinlich behoben, oder? Die Meldung in Plesk in Bezug auf die Version 2.9.6 bleibt verständlicherweise.

Wie bewertet ihr diesen Umstand, dass der eigentliche KingComposer so vermutlich nicht mehr verbessert wird, allerdings das eingesetzte Theme noch weiterhin auf dem KingComposer Plugin basiert und was empfiehlt ihr in dem Fall ?

Viele Grüße