Beschreibung
DAS BESTBEWERTETE WORDPRESS SICHERHEITS- UND FIREWALL-PLUGIN
All-in-One Security (AIOS) ist ein Sicherheits-Plugin, das speziell für WordPress entwickelt wurde und jetzt vom Team von UpdraftPlus für dich bereitgestellt wird.
Kunden lieben All-In-One Security, weil es einfach zu bedienen ist und eine Menge kostenlos bietet.
All-In-One Security bietet dir Login Security Tools, um Bots in Schach zu halten und deine Website vor Brute-Force-Angriffen zu schützen.
Unsere Web Application Firewall bietet dir automatischen Schutz vor Sicherheitsbedrohungen.
Inhaltsschutzfunktionen schützen das, was du so hart aufgebaut hast; All-In-One Security verhindert Kommentarspam und hindert andere Websites daran, deine Inhalte zu stehlen, mit Funktionen wie iFrame-Schutz und Kopierschutz.
Du bist noch unentschlossen?
- Wir sind derzeit das einzige WordPress Sicherheits-Plugin mit einer 5-Sterne-Bewertung bei mehr als 1 Million Installationen.
- Unser Sicherheitsteam führt eine Liste mit bekannten Schwachstellen, entwickelt aktiv Schutzmaßnahmen dagegen und veröffentlicht diese als neue Firewall-Regeln für kostenlose und zahlende Kunden zur gleichen Zeit.
- Wir sind bereits die weltweite Nummer eins für Backups, also kannst du uns auch bei der Sicherheit deiner Website vertrauen.
LOGIN-SICHERHEITS-FEATURE-SUITE
Schütze dich vor Brute-Force-Angriffen und halte Bots in Schach. All-In-One Security hebt die Standard-Login-Sicherheitsfunktionen von WordPress auf ein ganz neues Niveau.
- Unterstützt bewährte Praktiken: All-In-One Security erkennt, wenn ein Konto den Standardbenutzernamen „admin“ hat oder wenn ein Benutzer identische Anmelde- und Anzeigenamen hat, und fordert den Benutzer auf, dies zu ändern, um bessere Sicherheitspraktiken zu unterstützen.
- Anmeldeseite vor Bots verstecken: Konfiguriere eine benutzerdefinierte URL für die WordPress-„Admin“-Anmeldeseite, damit sie für Bots schwerer zu finden ist.
- Standardpräfix
wp_
ändern: Hacker nutzen automatisierten Code, um Websites wie deine anzugreifen. Mach ihnen das Leben schwer und schütze deine Website mit dieser einfachen, aber effektiven AIOS-Sicherheitsfunktion. - Anmeldesperre: Externe Benutzer, die mehrere Anmeldeversuche unternehmen, können für einen bestimmten Zeitraum gesperrt werden. Du kannst auch Benutzer mit ungültigen Benutzernamen sperren. Du kannst dir eine Liste aller gesperrten Benutzer anzeigen lassen und die Sperre mit einem Klick aufheben.
- Berichterstattung: All-In-One Security bietet eine Fülle von Informationen über Website-Benutzer. Sieh dir die Aktivitäten nach Benutzernamen, IP-Adresse, Datum und Uhrzeit der An- und Abmeldung an. Sieh dir eine Liste der Benutzer an, die gerade angemeldet sind, und eine Liste aller fehlgeschlagenen Anmeldeversuche.
- Abmeldungen erzwingen: Sorge dafür, dass Benutzer nicht unbegrenzt eingeloggt bleiben. Mit All-In-One Security kannst du die Abmeldung aller Benutzer nach einer konfigurierbaren Zeitspanne erzwingen.
- Roboter-Verifizierung: Für zusätzliche Sicherheit und um Spam-Registrierungen zu verhindern, implementiere Cloudflare Turnstile, Google reCAPTCHA, ein einfaches Mathe-CAPTCHA oder einen Honeypot auf den Registrierungsseiten oder aktiviere stattdessen die manuelle Genehmigung von Benutzerkonten.
- Stoppt die Benutzeraufzählung: Verhindere, dass externe Benutzer und Bots Benutzerinformationen über den Autoren-Permalink abrufen.
- Zwei-Faktor-Authentifizierung: All-in-One Security TFA unterstützt Google Authenticator, Microsoft Authenticator, Authy und viele mehr.
- Passwortstärke-Tool: Berechnet, wie lange es dauern würde, bis dein Passwort durch einen Brute-Force-Angriff geknackt wird.
- Allgemeine Besuchersperre Versetze deine Website in den „Wartungsmodus“ und sperre das Frontend für alle Besucher. Das kann nützlich sein, wenn du Backend-Aufgaben erledigst, z. B. Upgrades durchführst oder Sicherheitsbedrohungen untersuchst.
- WordPress Salts Security Feature Extended: All-In-One Security fügt 64 neue Zeichen zum WordPress Salz hinzu und ändert sie wöchentlich, damit es für Hacker noch schwieriger wird, die WordPress Passwörter deiner Nutzer zu knacken.
FIREWALL- & DATEISCHUTZ-SICHERHEITS-SUITE
Eine Web Application Firewall (WAF) ist die erste Verteidigungslinie deiner Website. Sie schützt deine Website, indem sie den Datenverkehr überwacht und bösartige Anfragen blockiert.
- Schrittweise Aktivierung der Firewall-Einstellungen: Diese reichen von grundlegend über mittel bis hin zu fortgeschritten.
- Automatischer Schutz vor den neuesten Bedrohungen: Unser Team pflegt eine Liste bekannter Exploits und erstellt aktiv Schutzmaßnahmen dagegen, die dann als neue Firewall-Regeln für kostenlose und zahlende Kunden freigegeben werden.
- 6G Blacklist: All-In-One Security enthält „6G Blacklist“-Firewall-Regeln, die deine Website vor einer bekannten Liste von bösartigen URL-Anfragen, Bots, Spam-Referrern und anderen Angriffen schützen (mit freundlicher Genehmigung von Perishable Press).
- Schutz vor gefälschten Google-Bots: Bots, die sich als Google-Crawler ausgeben, können deine Inhalte stehlen und deine Webseite mit Kommentarspam übersäen. Schütze dich davor mit der All-In-One Security Web Application Firewall.
- Blacklist-Funktionalität: Sperre Benutzer nach IP-Adresse, IP-Adressbereich oder durch Angabe von Benutzeragenten.
- Verhindere DDOS-Angriffe: Verhindere, dass böswillige Nutzer über eine bekannte Schwachstelle in der WordPress XML-RPC Pingback-Funktionalität DDOS-Angriffe durchführen können.
- Bild-Hotlinking verhindern: Schütze die Bandbreite deines Servers und den Inhalt deiner Website, indem du verhinderst, dass andere Websites dein Bildmaterial per Hotlinking verwenden.
- Schutz vor Cross-Site-Scripting (XSS): All-In-One Security verhindert, dass Angreifer über ein spezielles Cookie bösartige Skripte in deine Website einschleusen.
- Erkennung von Datei-Änderungen: Sicherheitsscanner machen dich auf Datei-Änderungen in deinem WordPress-System aufmerksam, damit du erkennen kannst, ob eine Änderung legitim oder verdächtig ist, und sie gegebenenfalls untersuchen kannst.
- PHP-Dateibearbeitung deaktivieren: Schütze deinen PHP-Code, indem du die Möglichkeit deaktivierst, Dateien im WordPress-Administrationsbereich zu bearbeiten.
- Warnungen zu Berechtigungseinstellungen: Identifiziere Dateien oder Ordner, deren Berechtigungseinstellungen nicht sicher sind und korrigiere sie mit einem Klick.
- Benutzerdefinierte Regeln erstellen: Fortgeschrittene Benutzer können benutzerdefinierte Regeln hinzufügen, um den Zugang zu verschiedenen Ressourcen auf deiner Website zu blockieren.
- Zugriffsschutz: Verhindere, dass externe Nutzer auf die Dateien readme.html, license.txt und wp-config-sample.php deiner WordPress-Website zugreifen.
INHALTSSCHUTZ-SICHERHEITS-SUITE
Beseitige Spam, schütze deine WordPress-Inhalte und deine Suchmaschinenplatzierungen mit diesen wichtigen Sicherheitsfunktionen von All-In-One-Security.
- Kommentar-SPAM-Prävention : Webseiten, die mit Spam-Kommentaren übersät sind, schaden deiner Marke, beeinträchtigen das Nutzererlebnis und wirken sich auf die Suchmaschinenoptimierung aus.
All-In-One Security stoppt SPAM an der Quelle, indem es Kommentare verhindert, die von anderen Domains stammen. AIOS blockiert automatisch und dauerhaft die IP-Adressen von Spammern. Website-Betreiber können Cloudflare Turnstile oder Google reCAPTCHA verwenden, um Kommentarspam zu reduzieren und böswillige Nutzer mit nur einem Klick zu blockieren. - iFrame-Schutz: Andere Websites daran zu hindern, deine Inhalte über einen „iFrame“ zu reproduzieren, ist eine nützliche Sicherheitsfunktion, die dein geistiges Eigentum und deine Website-Besucher schützt.
- Kopierschutz: Halte Benutzer davon ab, deine Inhalte zu stehlen, indem du die Funktion Rechtsklick, Auswählen und Text kopieren deaktivierst.
- RSS- und Atom-Feeds deaktivieren: RSS- und Atom-Feeds können von Bots genutzt werden, um den Inhalt deiner Website zu „scrapen“ und ihn als ihren eigenen auszugeben. Mit dieser Funktion kannst du das verhindern, indem du RSS- und Atom-Feeds auf deiner Website deaktivierst.
NEUESTE UND ALLGEMEINE SICHERHEITSMERKMALE
- Audit Protokoll: Das All-In-One Security Audit-Protokoll gibt Admins einen Überblick über die Ereignisse, die auf ihrer WordPress-Website stattfinden. Sie können sehen, ob etwas Ungewöhnliches passiert und Sicherheitsrisiken erkennen. Du kannst zum Beispiel sehen, ob ein Plugin oder Theme ohne dein Wissen oder deine Zustimmung hinzugefügt, entfernt, aktualisiert, aktiviert oder deaktiviert wurde.
INTERESSE AN AIOS PREMIUM?
Für noch mehr Schutz solltest du All-In-One Security (AIOS) Premium in Betracht ziehen. Es ist eines der kostengünstigsten und umfassendsten WordPress-Sicherheits-Plugins auf dem Markt und erweitert die Möglichkeiten der „kostenlosen” Version um:
MALWARE SCANNING (nur Premium)
Wenn du zufällig feststellst, dass die Sicherheit deiner Website durch Schadsoftware beeinträchtigt wurde, ist es zu spät.
Malware kann dramatische Auswirkungen auf die Suchergebnisse haben. Sie kann deine Website verlangsamen, auf Kundendaten zugreifen, unerwünschte E-Mails verschicken, deine Inhalte verändern oder den Zugriff auf sie verhindern.
- Warnt dich vor Blacklisting: Suchmaschinen können eine mit bösartigem Code gehackte Website sehr schnell auf eine schwarze Liste setzen. All-In-One Security Premium überwacht den Status deiner Website täglich und warnt dich, wenn du auf eine schwarze Liste gesetzt wurdest.
- Benachrichtigung, wenn etwas nicht in Ordnung ist: Wir benachrichtigen dich innerhalb von 24 Stunden über alle Malware-Probleme, damit du handeln kannst, bevor es zu spät ist.
- Antwortzeitüberwachung: Du erfährst sofort, wenn die Antwortzeit der Website negativ beeinflusst wird.
- Überwachung der Betriebszeit: All-In-One Security überprüft die Betriebszeit deiner Website alle 5 Minuten. Wir benachrichtigen dich, wenn deine Website/Server ausfällt.
- Flexible Zuordnung: Melde WordPress-Seiten jederzeit zur Sicherheitsüberprüfung an und entferne sie wieder.
- Sicherheitsberichte: Sicherheitsberichte sind über die Seite „Mein Konto“ und direkt per E-Mail verfügbar.
FLEXIBLE ZWEI-FAKTOR-AUTHENTIFIZIERUNG (NUR PREMIUM)
TFA ist in unseren kostenlosen Paketen verfügbar. All-In-One Security Premium bietet ganz neue Möglichkeiten der Kontrolle über die Implementierung von TFA.
- Rollenspezifische Konfiguration: Mache TFA für bestimmte Rollen verpflichtend, z.B. für die Rollen Admin und Editor.
- Erfordere TFA nach einer bestimmten Zeitspanne: Du könntest zum Beispiel von allen Admins verlangen, dass sie TFA haben, sobald ihre Accounts eine Woche alt sind.
- Vertrauenswürdige Geräte: Fordere die TFA nach einer bestimmten Anzahl von Tagen für vertrauenswürdige Geräte an, anstatt bei jeder Anmeldung.
- Anti-Bot-Schutz: Option, um die Existenz von Formularen auf WooCommerce-Anmeldeseiten zu verbergen, wenn JavaScript nicht aktiv ist.
- Anpassen des Design-Layouts: Passe das Design von TFA so an, dass es mit deinem bestehenden Webdesign übereinstimmt.
- Notfallcodes: Erstelle einen einmalig zu verwendenden Notfallcode, um den Zugang zu ermöglichen, wenn dein Gerät verloren geht.
- Multisite-kompatibel: Kompatibel mit WordPress Multisite-Netzwerken und Unterseiten.
- Unterstützung für Login-Formulare: Unterstützung für WooCommerce und Affiliates-WP, Elementor Pro, bbPress und alle Login-Formulare von Drittanbietern ohne weiteren Programmieraufwand. Auch kompatibel mit ‚Theme my Login‘
SMARTE 404-BLOCKIERUNG (NUR PREMIUM)
404-Fehler treten auf, wenn sich jemand bei der Eingabe einer URL vertippt, aber sie werden auch von Hackern erzeugt, die nach Sicherheitslücken auf deiner Website suchen.
- Blockiere Bots, die 404-Fehler erzeugen: All-In-One Security Premium blockiert automatisch und dauerhaft IP-Adressen von Bots und Hackern, basierend darauf, wie viele 404-Fehler sie erzeugen.
- Berichterstattung: Praktische Diagramme halten dich auf dem Laufenden, wie viele 404s aufgetreten sind und welche IP-Adresse oder welches Land sie produziert hat
LÄNDERSPERRE (NUR PREMIUM)
Die meisten Angriffe auf die Sicherheit kommen aus einer Handvoll Länder und so ist es möglich, die meisten Angriffe mit unserem Länderblockierungs-Tool zu verhindern.
Verkehr nach Herkunftsland blockieren: All-In-One Security Premium nutzt eine IP-Datenbank, die 99,5 % Genauigkeit verspricht.
Blockiere den Datenverkehr zu bestimmten Seiten: Blockiere den Zugriff auf deine gesamte WordPress-Website oder auf jeder einzelnen Seite.
Nutzer aus gesperrten Ländern auf die Whitelist setzen: IP-Adressen oder IP-Bereiche auf die Whitelist setzen, auch wenn sie zu einem gesperrten Land gehören.
PREMIUM-UNTERSTÜTZUNG
- Unbegrenzter Support: Persönlicher E-Mail-Support, wann und wo immer du ihn brauchst.
- Schnellste Reaktionszeiten: Wir bieten eine Reaktionszeit von drei Tagen. 99% der All-In-One Security Premium Kunden erhalten eine Antwort auf
ihre Anfrage innerhalb von 24 Stunden.
Plugin-Support
- Wenn du eine Frage oder ein Problem mit dem All-In-One Security Plugin hast, poste es im Support-Forum und wir werden dir helfen. Premium-Kunden können über aiosplugin.com Anfragen direkt an das Team stellen.
Entwickler
- Wenn du ein Entwickler bist und einige zusätzliche Hooks oder Filter für dieses Plugin brauchst, dann lass es uns wissen.
Übersetzungen
- Das All-In-One Security-Plugin kann in jede Sprache übersetzt werden.
Aktuell verfügbare Übersetzungen:
- Englisch
- Deutsch
- Spanisch
- Französisch
- Ungarisch
- Italienisch
- Schwedisch
- Russisch
- Chinesisch
- Portugiesisch (Brasilien)
- Persisch
Datenschutzerklärung
Dieses Plugin kann IP-Adressen aus Sicherheitsgründen sammeln, wie z.B. zur Abwehr von Brute-Force-Anmeldebedrohungen und bösartigen Aktivitäten.
Die gesammelten Informationen werden auf deinem Server gespeichert. Es werden keine Informationen an Dritte oder entfernte Serverstandorte übermittelt.
Benutzung
Gehe nach der Aktivierung des Plugins in das Einstellungsmenü und folge den Anweisungen.
Screenshots
Blöcke
Dieses Plugin unterstützt 1 Block.
- Twofactor User Settings
Installation
Um damit zu beginnen deine WordPress-Website sicherer zu machen:
- Lade die Datei „all-in-one-wp-security.zip“ von der Seite Plugins-> Installieren-> Plugin hochladen im WordPress-Dashboard hoch.
- Aktiviere das Plugin mittels des „Plugins“-Menüs in WordPress
- Gehe zum Menü Einstellungen unter „WP-Security“ und beginne mit der Aktivierung der Sicherheitsfunktionen des Plugins.
FAQ
-
Wie wird All-In-One Security (AIOS) unterstützt?
-
Kunden des „kostenlosen“ AIOS können auf dieser Webseite Unterstützung erhalten. Wähle „Support“ aus den obigen Registerkarten und schreibe ein Thema. Wir bemühen uns, alle Supportanfragen innerhalb von 24 Stunden während der Arbeitswoche zu beantworten.
-
Ist All-In-One Security mit anderen Plugins kompatibel?
-
Ja. AIOS funktioniert reibungslos mit den meisten gängigen WordPress-Plugins.
-
Wird All-in-One-Security regelmäßig aktualisiert?
-
Ja. WordPress-Sicherheit ist etwas, das sich mit der Zeit weiterentwickelt. Wir aktualisieren AIOS regelmäßig mit neuen Sicherheitsfunktionen (und Korrekturen, falls erforderlich), damit du sicher sein kannst, dass deine Website so lange von neuen Sicherheitstechniken profitieren wird, wie du sie brauchst.
-
Wird All-In-One Security meine Website verlangsamen?
-
Nein.
-
Die Entscheidung liegt bei dir. Die „kostenlose“ Version von AIOS enthält eine Web Application Firewall, umfassende Anmeldesicherheitstools wie eine Zwei-Faktor-Authentifizierung sowie alle aktuellen, empfohlenen Sicherheitspraktiken und -techniken für WordPress.
Wenn deine WordPress-Website jedoch ein Geschäftsauftritt ist, deine Dienstleistungen präsentiert oder dich selbst repräsentiert, empfehlen wir im Allgemeinen AIOS Premium. Die Preise beginnen bereits bei 70 $ pro Jahr. -
AIOS Premium scannt deine WordPress-Website auf Schadsoftware und überwacht gleichzeitig die Reaktions- und Betriebszeit deiner Website. Bei Problemen wirst du innerhalb von 24 Stunden benachrichtigt, und AIOS Premium-Kunden profitieren von einem praktischen Ticket-Support per E-Mail (statt über WP Support-Foren).
Zu den zusätzlichen Sicherheitstools gehören Country Blocking, Smart 404 Error Blocking und Advanced Two Factor Authentication.
Weitere Informationen findest du auf unserer All-In-One Security Website -
Kaufe im Webshop dein gewünschtes Abonnement. Nachdem du den Kauf abgeschlossen hast, erhältst du per E-Mail einen Link zum Download des Plugins. Du kannst den Link auch über deine „Mein Konto“-Seite aufrufen.
Nachdem du die Zip-Datei heruntergeladen hast, installierst und aktivierst du das Plugin über WP Admin->Plugins->Add New->Upload Plugin.
Die Premium-Version erweitert die kostenlose Version. Daher solltest du die kostenlose Version installiert und aktiv lassen. Du wirst außerdem aufgefordert, deinen AIOS-Benutzernamen und dein Passwort einzugeben, um deine Website mit den Lizenzen zu verbinden. So kann das Plugin Updates empfangen. -
Ja, du musst die kostenlose Version des Plugins installiert und aktiviert haben, bevor du Premium installieren kannst. Das Premium-Plugin ist ein Add-on, für das die kostenlose Version erforderlich ist.
-
Funktioniert All-In-One Security mit Multisite-Netzwerkinstallationen?
-
Ja, AIOS Premium ist mit WordPress-Multisites kompatibel. Bei Multisite-Netzwerken gilt der Schutz für das gesamte Netzwerk, und das Dashboard und die Optionen sind auf der Hauptseite der WordPress-Multisite verfügbar.
-
Kann ein WordPress-Sicherheitsplugin alle Angriffe auf meine Website stoppen?
-
Es gibt keine 100-prozentige Garantie dafür, dass ein Sicherheits-Plugin vor allen Angriffen schützen kann, denn es gibt immer die Möglichkeit unbekannter WordPress-Schwachstellen oder anderer unerwarteter Faktoren, und Angreifer versuchen immer wieder, neue Wege zu entwickeln, um Schutzmaßnahmen zu umgehen. All-In-One Security bietet jedoch einen guten Schutz gegen bekannte Angriffsmethoden und wird ständig weiterentwickelt, um den Schutz zu überwachen und zu verbessern.
-
Funktioniert All-In-One Security auf allen Servern und Hosts?
-
AIOS sollte mit den meisten Hosts kompatibel sein, es sei denn, der Host hat die Verwendung von Sicherheitsplugins ausdrücklich eingeschränkt. Ebenso können bestimmte Funktionen auf manchen Servern nicht funktionieren, insbesondere auf Windows/IIS-Plattformen. Funktionen, die die ‚.htaccess‘-Datei verwenden, funktionieren nicht auf einem Windows IIS- oder NGINX-Server (es wird jedoch daran gearbeitet, diese Schutzmaßnahmen auf alle Server zu portieren).
-
Entwicklungs- und Test-Sites benötigen eine eigene Lizenz, wenn Updates für das Plugin erforderlich sind.
Diese Websites können jedoch von der Lizenz getrennt werden, wenn sie ihren Zweck erfüllt haben. Du kannst die Lizenz über die WP Admin->Plugins-Seite der Website trennen, damit sie einer anderen Website wieder zugewiesen werden kann. -
Ist das All In One Security & Firewall Plugin GDPR- und andere Datenschutzgesetze konform?
-
Bitte lies mehr über die Einhaltung der GDPR hier: https://aiosplugin.com/privacy-policy/.
Rezensionen
Mitwirkende & Entwickler
„All-In-One Security (AIOS) – Security and Firewall“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende„All-In-One Security (AIOS) – Security and Firewall“ wurde in 15 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.
Übersetze „All-In-One Security (AIOS) – Security and Firewall“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.
Änderungsprotokoll
5.3.8 – 16/Dec/2024
- FIX: Die Plugin-Hinweise wurden aktualisiert, um übersetzungsbezogene fatale Fehler zu beheben.
5.3.7 – 5/Dec/2024
- ANPASSUNG: Ändere den Antwortcode für blockierte unautorisierte REST-Anfragen auf 403.
- ANPASSUNG: Firewall-Protokollierung vorübergehend entfernt
5.3.6 – 3/Dec/2024
- FIX: Ein Problem mit der Klasse AIOS_Firewall_Resource wurde behoben.
5.3.5 – 24/Nov/2024
- FIX: Benutzerdefinierte .htaccess-Regeln werden jetzt korrekt escaped, d.h. ohne Backslashes.
- FIX: Import-Einstellungen schlugen fehl, wenn Besucher-Sperrmeldungen eine Textausrichtung oder andere Formatierungen aufwiesen
- FIX: Der Audit-Protokoll-Filter für den Ereignistyp funktioniert jetzt korrekt, auch wenn der Ereignistyp in andere Sprachen als Englisch übersetzt wurde.
- FIX: Textüberlauf in der blauen Box auf der Seite Einstellungen > WP Versionsinfo behoben
- FIX: Einige Benutzer-Meta-Schlüssel wurden nach der Deinstallation des Plugins nicht entfernt
- FIX: Unter-Websites erkennen die Funktion Datenbank-Präfix nicht mehr fälschlicherweise als aktiv
- FIX: Fatale Fehler bei fehlenden Firewall-Ressourcen wurden verhindert und durch Debug-Log-Einträge ersetzt
- FIX: WordPress-Datenbankfehler: BLOB-, TEXT-, GEOMETRY- oder JSON-Spalten können nicht mit einem Standardwert versehen werden
- FIX: Die Funktion load_plugin_textdomain wird während der Init-Aktion aufgerufen, und die Übersetzungen werden erst danach angewendet
- FIX: Die umbenannte Login-Seite verwendet jetzt die WordPress-Übersetzungen
- ANPASSUNG: Ein Filter für PHP-Firewall-Regelvorlagen wurde hinzugefügt
- ANPASSUNG: Das Feld für den Ländercode in Audit-Protokollen wurde aktualisiert und basiert nun auf der IP-Adresse (Premium).
- ANPASSUNG: Der Text auf der Registerkarte „404-Erkennung“ wurde verbessert.
- TWEAK: Die Zulassen-Liste wurde in die Registerkarte „Schwarze Liste“ verschoben und in „Block & Zulassen-Listen“ umbenannt.
- ANPASSUNG: Die WP REST API-Funktion wurde in die Registerkarte PHP-Regeln verschoben
- ANPASSUNG: Mehrere Befehlsklassen wurden überarbeitet, um die neue AJAX-Response-Helfer-Methode zu verwenden: Tools, Dateiscan, Dateien, Einstellungen und Log-Befehlsklassen
- ANPASSUNG: Die Benutzeroberfläche für die .htaccess-Regeln, Captcha-Einstellungen und Dateischutz-Registerkarten wurde aktualisiert.
- ANPASSUNG: Hinweis im Reiter Einstellungen > Plugin-Einstellungen löschen hinzugefügt
- ANPASSUNG: Frühe Aufrufe von get_plugin_data() erfordern keine Übersetzungen mehr
- ANPASSUNG: Die Firewall-Befehlsklasse wurde überarbeitet, um die Response-Helper-Methode zu verwenden.
- ANPASSUNG: Eine Konstante AIOS_DISABLE_HTTP_AUTHENTICATION wurde hinzugefügt. Definiere diese in deiner wp-config.php, um die HTTP-Authentifizierung zu deaktivieren
5.3.4 – 21/Oct/2024
- FUNKTION: Es wurde eine HTTP-Authentifizierungsfunktion hinzugefügt, die es ermöglicht, die Website mit einem Benutzernamen/Passwort-Login zu schützen.
- FIX: Neue Methode zum Zurücksetzen der Firewall-Regeln in den allgemeinen Einstellungen hinzugefügt
- FIX: Problem mit dem Post-Cache behoben, das ein Problem bei der Verhinderung von Kommentarspam verursachte
- ANPASSUNG: Eine Hilfsklasse für API-Anfragen hinzugefügt
- ANPASSUNG: Whitespaces am Ende von Sätzen entfernt
5.3.3 – 16/Sep/2024
- FUNKTION: Captcha-Option für die klassische WooCommerce-Gastkassenseite hinzugefügt.
- FIX: Responsive Layout-Probleme mit dem Dashboard-Benachrichtigungslogo auf mobilen Geräten behoben.
- FIX: Drehkreuz-Captcha-Widget wird mehrfach angezeigt
- FIX: Speicherproblem beim Lesen größerer Hostsystem-Logdateien behoben
- FIX: Entfernte .htaccess-Optionen aus dem Menü Einstellungen auf Nginx, IIS und nicht unterstützten Webservern
- FIX: UX-Popup-Problem und Bereinigung der Firewall-Zulassungsliste behoben
- FIX: Es wurde ein Problem behoben, bei dem Massentabellenaktionen auch dann noch ausgeführt wurden, wenn der Bestätigungsdialog abgebrochen wurde.
- FIX: Null-Check hinzugefügt, um PHP-Warnungen in Firewall-Regeln zu verhindern
- ANPASSUNG: Die Aktionen in den Menüs Einstellungen, Dateisystemsicherheit, Spamschutz und Benutzersicherheit wurden ajaxiert.
- ANPASSUNG: Ajax-Unterstützung für Listentabellen und das Audit-Protokoll hinzugefügt
- ANPASSUNG: CAPTCHA-Feld zu MemberPress Passwort vergessen und Registrierungsformularen hinzugefügt
- ANPASSUNG: Ausschluss von .htaccess Tabs aus den Einstellungen, wenn der Server nicht unterstützt wird
- ANPASSUNG: Die Benutzeroberfläche der Firewall-Regeln und die Beschreibung des Malware-Scanners wurden aktualisiert.
- ANPASSUNG: Die htaccess-Backup-Methode wurde optimiert, um den zufälligen Dateinamen zu generieren
- ANPASSUNG: ‚Zugriff auf WP-Standarddateien verhindern‘ aus der .htaccess entfernt und ‚license.txt‘ zur Löschliste hinzugefügt.
5.3.2 – 06/Aug/2024
- FIX: Fehler, der es Unter-Website-Administratoren ermöglichte, Audit-Protokolle anderer Unter-Websites zu löschen
- FIX: Deaktivierte Blacklisting auf Unterseiten, da die PHP-basierte Firewall derzeit für die gesamte Multisite gilt
- FIX: Ein Problem bei der Ermittlung der Google Bot IP-Bereiche
- ANPASSUNG: Zusätzliche Schutzmaßnahmen vor dem Ändern der .htaccess-Datei hinzugefügt
- ANPASSUNG: Aktionen im Menü Werkzeuge, Firewall und Scanner werden jetzt über AJAX verarbeitet
- ANPASSUNG: Führende und abschließende Leerzeichen aus den Eingaben in der Registerkarte WHOIS-Lookup entfernt
- ANPASSUNG: Ein Bestätigungs-Pop-up wurde hinzugefügt, wenn Benutzer Datensätze in der Tabelle Debug Logs löschen.
- ANPASSUNG: Captcha-Unterstützung für das MemberPress-Plugin hinzugefügt
- ANPASSUNG: Die UX der WP REST API Optionen wurde verbessert
- ANPASSUNG: Interne Code-Verbesserungen zur Verbesserung der Wartbarkeit
- ANPASSUNG: Der Feature Manager wurde aktualisiert, um die Leistung zu verbessern
- ANPASSUNG: Das Problem der leeren Tabellen in der mobilen Ansicht wurde behoben
5.3.1 – 26/Jun/2024
- FUNKTION: CAPTCHA für passwortgeschützte Seiten/Beiträge hinzugefügt
- FIX: Captcha wird auf der BuddyPress-Registrierungsseite nicht angezeigt
- FIX: WooCommerce-Logout-Problem, wenn die Funktionen „Umbenannte Anmeldeseite“ und „Login-Whitelist“ beide aktiviert sind
- FIX: Fehlende CAPTCHAs, wenn sich mehrere WooCommerce-Anmelde- und Registrierungsformulare auf derselben Seite befinden
- FIX: Ein Problem mit den 404-Erkennungsaktionen wurde behoben
- FIX: Ein UI-Problem mit dem 2FA-QR-Code-Bild
- ANPASSUNG: Das Attribut data-cfasync=“false“ wurde zur Standard-Captcha-URL hinzugefügt, um das Laden über Cloudflare Rocket Loader zu ermöglichen.
- ANPASSUNG: Lösche die Datensätze der Anmeldesperrentabelle nach 90 Tagen, um die Größe zu begrenzen. Die Konstante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS wurde hinzugefügt, um den Standard zu ändern.
- ANPASSUNG: Die Häufigkeit des Malware-Scanners wurde von täglich auf wöchentlich aktualisiert.
- ANPASSUNG: Die Benutzeroberfläche des Passwort-Tools zur Messung der Passwortstärke wurde aktualisiert.
- ANPASSUNG: Füge einen Link „IP sperren“ und „IP auf die schwarze Liste setzen“ zur IP-Spalte des Audit-Protokolls hinzu.
- ANPASSUNG: Verbessert die Erkennung von gefälschten Googlebots. Wenn gethostbyaddr fehlschlägt, greift die Firewall auf die Überprüfung bekannter Googlebot-IP-Bereiche zurück
- ANPASSUNG: Die Spaltenüberschrift für die Tabelle „Dauerhaft gesperrte IP-Adressen“ wurde aktualisiert, damit sie mit anderen Tabellen übereinstimmt.
- ANPASSUNG: Warnung verhindern, wenn DISALLOW_FILE_EDIT bereits definiert wurde
- ANPASSUNG: Behebt Fälle, in denen eine Übersetzungsfunktion für mehrere Sätze verwendet wird
- ANPASSUNG: Verbesserte UX bei AJAX-Aufrufen
- ANPASSUNG: Entfernte Trash-Spam-Kommentare mit doppelter Beschreibung
5.3.0 – 01/May/2024
- FUNKTION: Bulk-Force-Logout-Funktion für eingeloggte Benutzer hinzugefügt
- FIX: Ein Problem mit der Abmeldefunktion der WooCommerce-Seite „Mein Konto“, wenn die Cookie-basierte Brute-Force-Funktion aktiviert ist
- FIX: Warnung undefinierter Array-Schlüssel SCRIPT_FILENAME
- FIX: Benutzerdefinierte Umleitung nach dem Login funktioniert nicht, wenn die Url den Parameter redirect_to enthält
- FIX: Liste der Administratorkonten wird nicht auf der Benutzersicherheitsseite angezeigt
- FIX: Problem mit Cookie-basierter Bruteforce-Verhinderung behoben, wenn die Salt-Postfix-Funktion aktiviert ist.
- FIX: Das Länderfeld wurde in den 404-Ereignisprotokollen nicht angezeigt (Premium)
- FIX: Das Länderfeld wurde nicht im Smart 404 Blocked IP Log angezeigt (Premium)
- ANPASSUNG: Das Übersetzungsproblem wurde behoben, da die vom Administrator eingestellte Sprache nicht in den Website-Einstellungen angezeigt wurde.
- ANPASSUNG: Firewall-Upgrade-Änderungen werden ohne Zugriff auf die Admin-Oberfläche angewendet
- ANPASSUNG: Ändere die Beschriftungen für die Schalter in einen angemesseneren Wortlaut
- ANPASSUNG: In den Ergebnissen des Dateiscanners werden die Dateigrößen in einem für Menschen lesbaren Format angezeigt
- ANPASSUNG: Die Standardmeldung für Zugriffsversuche auf wp-admin wurde aktualisiert
- ANPASSUNG: Interne Überarbeitung des Update-Codes, um die Klarheit des Codes zu verbessern.
- ANPASSUNG: Portiere die Funktion „Gefälschte Googlebots blockieren“ auf die PHP-basierte Firewall
- ANPASSUNG: Die Anforderung, dass mindestens eine IP für „Blacklist“, „Login Whitelist“ und „Login Lockout IP Whitelist“ aktiviert sein muss, wurde entfernt.
- ANPASSUNG: Fehlermeldung hinzugefügt, wenn ein Nutzer versucht, seine eigene IP bei der Registrierungsgenehmigung zu blockieren
- ANPASSUNG: Methode zur Aktualisierung von Badges bei AJAX-Aufrufen hinzugefügt
- ANPASSUNG: Interne Umstrukturierung der Klasse AIOWPSecurity_Utility_File zur Verbesserung der Übersichtlichkeit des Codes
- ANPASSUNG: Inhaltliche Aktualisierung der saisonalen Ankündigung für 2024
5.2.9 – 06/Mar/2024
- FIX: Entfernen des Aufrufs von update_event_table_column_to_timestamp in der Aktualisierungsroutine
- FIX: Entfernen des Aufrufs von wp_timezone(), der nur in WP 5.3+ verfügbar ist
5.2.8 – 05/Mar/2024
- FIX: Die Benutzerprüfung, die das Duo-Authentifizierungs-Plugin betrifft
- FIX: Die Datenbank-Update-Routine wird jetzt ausgeführt, ohne dass die Verwaltungsoberfläche oder jede einzelne Website in einer Multisite besucht werden muss
- FIX: Einige Einstellungen im Firewall-Menü wurden nach dem Deaktivieren und Reaktivieren des Plugins nicht zurückgesetzt.
- ANPASSUNG: Die Zeitspalte in der CSV-Exportdatei für Audit-Protokoll und 404-Ereignisse ist jetzt in einem für Menschen lesbaren Format und nicht mehr als Unix-Zeitstempel.
- ANPASSUNG: Vorhandenes Datetime-Feld in der Debug-Log-Tabelle in einen Zeitstempel umgewandelt, um unabhängig von der Zeitzone zu sein
- ANPASSUNG: Globale Metatabelle: Vorhandenes Datetime-Feld in Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
- ANPASSUNG: Vorhandenes datetime-Feld der permanenten Blocktabelle in einen Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
- ANPASSUNG: Überarbeitung von Listenelement-Aktionen zur weiteren Verbesserung der Code-Klarheit
- ANPASSUNG: Das Admin-Menü der schwarzen Liste wurde wie angekündigt entfernt.
- ANPASSUNG: Diverses Admin-Menü entfernt, wie bereits angekündigt
- ANPASSUNG: Wie bereits angekündigt, wurden verschiedene Admin-Menü-Tabs entfernt
- ANPASSUNG: IP-Lookup-Ergebnis für andere Arten von Einträgen in der Anmeldesperrentabelle speichern
- ANPASSUNG: Aktualisiere die Aufforderung zur Überprüfung in der Fußzeile
- ANPASSUNG: Begrenzung der maximalen Datei-Upload-Größe auf 250 MB durch den Filter aiowps_max_allowed_upload_config entfernt
- ANPASSUNG: Verbesserte Erkennung von Kommentarspam, um andere Formulare nicht zu beeinträchtigen
5.2.7 – 06/Feb/2024
- SICHERHEIT: Verschiedene Aktionen in der Listentabelle werden nun auf ihre Unbedenklichkeit geprüft, um eine CSRF-Schwachstelle zu verhindern. Danke an dhakal_ananda für den Hinweis auf diesen Fehler. Dadurch könnte ein Angreifer, der einen eingeloggten Administrator dazu bringt, einen speziell gestalteten Link zu besuchen, Aktionen in den 404-Ereignisdatensätzen durchführen.
5.2.6 – 06/Feb/2024
- SICHERHEIT: Die unnötige Verwendung des Abfrageparameters „tab“ auf verschiedenen Admin-Menü-Seiten wurde entfernt, um eine nicht-persistente XSS-Schwachstelle zu verhindern. Danke an Matthew Rollings für den Hinweis auf diesen Fehler. (Dadurch könnte ein Angreifer, der dich gezielt angreift, während du als Administrator eingeloggt bist, und dich dazu bringt, einen von ihm kontrollierten Link zu besuchen, bei einem einzigen Besuch deiner AIOS-Admin-Seite unerwünschte Skripte einspeisen).
- FUNKTION: Abmelde-Ereignis zu den Audit-Protokollen hinzugefügt
- FUNKTION: Hinzufügen der Möglichkeit, die Standarddateien readme.html und wp-config-sample.php zu löschen
- FIX: Korrektur einiger Übersetzungsaufrufe, die die falsche Textdomäne verwendet haben
- FIX: PHP-Meldung, dass der Dateiscanner seine Datendatei nicht lesen kann
- FIX: Schaltfläche zum Entsperren wurde nicht angezeigt und leitete auf 127.0.0.1 um
- FIX: Datenbankfehler für die Tabelle aiowps_login_lockdown bei der Plugin-Installation
- ANPASSUNG: Refaktorierung der 6G UI
- ANPASSUNG: Option hinzugefügt, um das Cloudflare Turnstile CAPTCHA Thema einzustellen
- ANPASSUNG: CSS-Styling für die Spalte mit den Audit-Protokoll-Details hinzugefügt
- ANPASSUNG: Die Links zum Status kritischer Funktionen im Dashboard wurden korrigiert und zeigen nur noch Funktionen an, die in einer Multisite-Unterwebsite aktiviert werden können.
- ANPASSUNG: Das Deaktivieren des Plugins entfernt jetzt die gespeicherten Anmeldeinformationen, damit die Benutzer bei der nächsten Aktivierung nicht zwangsweise ausgeloggt werden
- ANPASSUNG: Anzeige eines json-Strings anstelle von null, wenn json_decode für Audit-Protokoll-Details nicht funktioniert
- ANPASSUNG: Vorhandenes datetime-Feld in der Ereignistabelle in einen Zeitstempel umgewandelt, um unabhängig von der Zeitzone zu sein
- ANPASSUNG: Verschiedene Optimierungen, um die Codebasis auf den Stand der Technik zu bringen
- ANPASSUNG: Verschiedene Optimierungen, um sicherzustellen, dass nicht mehrere Sätze an eine einzige Übersetzungsfunktion übergeben werden
- ANPASSUNG: Behebe die fehlerhafte Benutzeroberfläche für RSS- und Atom-Firewall-Einstellungen und füge eine weitere Info-Box hinzu
- ANPASSUNG: Behebung des Problems der eindeutigen ID im DOM
- ANPASSUNG: Zusammenführen der Registerkarten Benutzername und Anzeigename in den Benutzer-Sicherheitseinstellungen
- ANPASSUNG: Die Registerkarte „404-Erkennung“ wurde in das Admin-Menü „Brute Force“ verschoben.
- ANPASSUNG: Die Registerkarte „PHP-Dateibearbeitung“ wurde in die Registerkarte „Dateischutz“ verschoben
- ANPASSUNG: Die Registerkarte „Benutzeraufzählung“ wurde in die Registerkarte „Benutzerkonten“ im Menü „Benutzersicherheit“ verschoben.
- ANPASSUNG: Die Registerkarte „WP Rest API“ wurde in das Firewall-Menü verschoben
- ANPASSUNG: Die Reiter „Kopierschutz“ und „Frames“ wurden in das Menü „Dateisystem-Sicherheit“ verschoben
- ANPASSUNG: Die Registerkarte „Salz“ wurde in das Menü „Benutzersicherheit“ verschoben.
- ANPASSUNG: Die Registerkarte „Blacklist Manager“ wurde in das Menü „Firewall“ verschoben.
- ANPASSUNG: Das Zurücksetzen von Passwörtern, das Entfernen und Löschen von Benutzern wird jetzt im Audit-Protokoll aufgezeichnet
- ANPASSUNG: Verhindere, dass 404 IPs gesperrt werden, wenn diese IP aktuell gesperrt ist
- ANPASSUNG: Vereinheitlichung der Datums- und Zeitumrechnung mit Unterstützung von Zeitzonen für Benutzer
- ANPASSUNG: Geändert, wie leere Daten im ip-Lookup-Ergebnis in der Datenbank gespeichert werden
- ANPASSUNG: Überarbeite die Firewall-Menüseite, um zwei Registerkarten für PHP- und .htaccess-Regeln zu haben
- ANPASSUNG: Captcha-Unterstützung für Contact Form 7 hinzufügen
- ANPASSUNG: Eine AJAX-Funktion zum Speichern von Einstellungen und Abrufen von Funktionsdetails wurde als Teil der laufenden Arbeit an der AJAX-Unterstützung der Plugin-Einstellungen hinzugefügt.
- ANPASSUNG: Verbessere die E-Mail zum Zurücksetzen des Passworts durch Hinzufügen von IP-Informationen
- ANPASSUNG: Entferne den überflüssigen imagetoolbar Meta-Tag
- ANPASSUNG: Login-Sperrtabellen – bestehendes Datetime-Feld in Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
- ANPASSUNG: Code-Verbesserungen – Verwendung von WP_Error-Objekten anstelle von Arrays
5.2.5 – 25/Oct/2023
- SICHERHEIT: Wenn bei einer Multisite-Installation die AIOS-Funktion zum Umbenennen und Verstecken der Anmeldeseite verwendet wurde, gab es einen Weg für einen Angreifer, die versteckte Anmeldeseite zu entdecken, wodurch der Nutzen der Funktion zunichte gemacht wurde. Vielen Dank an Naveen Muthusamy für den Hinweis auf diesen Fehler.
- FUNKTION: Blockiere POST-Anfragen, die einen leeren User-Agent und Referer haben
- FUNKTION: Reverse-IP-Lookup-Daten zur E-Mail-Benachrichtigung über die Anmeldesperre hinzugefügt
- FIX: Verhinderung eines fatalen Fehlers beim Einrichten der Firewall, wenn der Host die Funktion parse_ini_file deaktiviert hat
- FIX: Verhindern, dass sich der Meldungsspeicher der Firewall mit unbenutzten Einträgen füllt
- FIX: Verhindert, dass legitimer Googlebot-Verkehr auf Websites blockiert wird, auf denen die Funktion gethostbyaddr fehlschlägt oder deaktiviert ist
- FIX: Ein Problem, das dazu führte, dass MainWP-Updates nicht korrekt durchgeführt werden konnten
- FIX: Verhinderung der Benutzeraufzählung über die REST API und das oEmbed-Protokoll
- FIX: Schwarze Liste für Benutzer-Agenten stimmt nicht mit allen Zeichenketten überein
- FIX: Tabelle für eingeloggte Benutzer zeigt nicht die richtigen Informationen an
- ANPASSUNG: Verbessere die Erkennung von Kommentarspam durch versteckte Felder und Cookies
- ANPASSUNG: Login-Whitelist schlägt sowohl IPv4- als auch IPv6-Adressen zur Whitelist vor
- ANPASSUNG: Die Menüaktionen im Dashboard-Adminmenü werden jetzt über AJAX verarbeitet
- ANPASSUNG: Kontrollkästchen in den Admin-Menüseiten in Schalter umgewandelt
- ANPASSUNG: Hinzufügen der Spalten network_id und site_id zur Tabelle Debug-Protokolle zur Unterscheidung von Protokollen zwischen Websites auf einer Multisite
- ANPASSUNG: Verschiedene Benutzerverwaltungsmenüs in einem neuen Verwaltungsmenü „Benutzersicherheit“ zusammengefasst
- ANPASSUNG: Der Dateiname der Exportkonfiguration spiegelt jetzt die lokale Zeitzone wider.
- ANPASSUNG: Verbesserung des UI/UX des Dateiscanners, um Platz für zukünftige Verbesserungen zu schaffen
- ANPASSUNG: Überarbeitung der Feature-Manager-Badges
- ANPASSUNG: Wie bereits angekündigt, wurden verschiedene Admin-Menü-Tabs entfernt
- ANPASSUNG: Füge Features, die von anderen Plugins abhängen, bedingt zum Feature Manager hinzu
- ANPASSUNG: Die Funktion, die wp-Meta-Informationen aus Skripten und Styles src entfernt, wurde mit einem Null-Check versehen, um eine PHP-Deprecation-Warnung zu vermeiden.
- ANPASSUNG: Datum und Uhrzeit des Audit-Protokolle werden jetzt in der Zeitzone der Website angezeigt
- ANPASSUNG: PHP-Warnung undefinierter Array-Schlüssel REQUEST_METHOD in rule-proxy-comment-posting.php
- ANPASSUNG: Wenn TranslatePress aktiv ist, sollte beim Ausloggen über WooCommerce keine 404-Seite angezeigt werden, wenn die Einstellung „Login-Seite umbenennen“ aktiviert ist.
5.2.4 – 16/Aug/2023
- FIX: Portierte Firewall-Einstellungen werden beim Upgrade nicht mehr deaktiviert
5.2.3 – 09/Aug/2023
- FIX: Fataler Fehler „set_value() on null“, wenn die Firewall-Konfiguration fehlt
- FIX: PHP bemerkt, wenn es unter Cron läuft
- FIX: Rückgängigmachung einer Änderung, die dazu führte, dass die Brute-Force-Login-Whitelist die Server-IPs und nicht die Benutzer anzeigte
- ANPASSUNG: Kommunikationsmechanismus hinzufügen, damit die Firewall Daten an WordPress senden kann
- ANPASSUNG: Falsche Erwähnung der .htaccess-Datei in PHP-Firewall-Regeln entfernen
5.2.2 – 04/Aug/2023
- FUNKTION: Eine Zulassungsliste von IP-Adressen, die die Firewall-Regeln umgehen
- FIX: Behebung des fatalen Fehlers bei get_class() on null bei der Aktualisierung über ManageWP
- FIX: Hinweis auf fehlende Dateien oder Verzeichnisse in der Konfigurationsdatei der Firewall
- FIX: Die Upgrade-E-Mail wurde nur gesendet, wenn eine oder mehrere der portierten Regeln aktiviert waren
- FIX: Gefälschte Google-Bots werden jetzt blockiert, wenn die IP-Adresse des Bot-Servers nicht in einen Hostnamen aufgelöst werden kann
- FIX: Google reCaptcha erscheint jetzt korrekt auf der WooCommerce-Kassenseite
- FIX: Automatische Anmeldung bei Woocommerce verhindern, wenn die manuelle Anmeldebestätigung aktiviert ist
- FIX: Premium-Upgrade-Registerkarte überschneidet sich mit der Benutzeroberfläche.
- FIX: Steuerung des Wartungsmodus über WP-CLI zulassen (Premium)
- FIX: Verwendung der korrekten Site-ID für Login-Erfolgsereignisse in der Audit-Protokoll-Tabelle auf Multisite Installationen
- FIX: Fehlende Features in der Feature Manager Liste hinzugefügt
- FIX: Eine Warnung bei der Verwendung des Befehls update all über WP-CLI
- ANPASSUNG: Die auf AIOS-Einstellungen basierende IP-Adresse wird jetzt anstelle der Servervariablen REMOTE_ADDR für die Benachrichtigung über mehrere falsche 2FA-Codes verwendet
- ANPASSUNG: Filter „aios_audit_log_record_event” hinzugefügt, damit Ereignisse nicht aufgezeichnet werden können
- ANPASSUNG: Verbesserung der Code-Struktur des Feature Item Managers, um Platz für zukünftige Verbesserungen zu schaffen
- ANPASSUNG: Die Login-Whitelist schlägt sowohl IPv4- als auch IPv6-Adressen für die Whitelist vor.
- ANPASSUNG: Verschiebe die Registerkarte „Benutzerdefinierte Regeln“ aus dem Abschnitt „Firewall“ in eine eigene Registerkarte im Abschnitt „Tools“.
- ANPASSUNG: Verschiebe die Registerkarte „Hotlinking verhindern“ in die Registerkarte „Dateischutz“ im Menü „Dateisystemsicherheit“.
- ANPASSUNG: Alle CAPTCHA-Einstellungen wurden in den Reiter „CAPTCHA-Einstellungen“ im Menü „Brute Force“ verschoben.
- ANPASSUNG: Die Registerkarte „Passwort-Werkzeug” wurde in das Admin-Menü „Werkzeuge” verschoben.
- ANPASSUNG: Die Registerkarte „Besuchersperre” wurde in das Admin-Menü „Werkzeuge” verschoben.
- ANPASSUNG: Die Registerkarte „Honigtopf für Benutzerregistrierung” wurde in das Admin-Menü „Brute Force” verschoben.
- ANPASSUNG: Entferne „Kontoaktivitätstabelle”, da diese Einträge auch im Audit-Protokoll aufgezeichnet werden
- ANPASSUNG: Die Registerkarte „Fehlgeschlagene Anmeldungen“ wurde wie angekündigt entfernt; diese werden nun im Audit-Protokoll aufgezeichnet.
- ANPASSUNG: Verbesserung der Leistung des Listentabellencodes
- ANPASSUNG: Die Verwendung von $_GET, $_POST, $_REQUEST wurde aus allen Vorlagendateien entfernt, um Platz für zukünftige Verbesserungen zu schaffen.
5.2.1 – 12/Jul/2023
- FIX: Hilfsklassendatei vom Loader einbinden
- ANPASSUNG: TFA-Block JavaScript bedingt laden
5.2.0 – 10/Jul/2023
- SICHERHEIT: Entferne die Authentifizierungsdaten aus dem Stacktrace, bevor du sie in der Datenbank speicherst. Dieser Fehler führte dazu, dass ein Website-Administrator zwischen den Versionen 5.1.9 und 5.2.0 (in denen die vorhandenen Daten gelöscht wurden) die Passwörter der Website-Benutzer kennen konnte. Diese Informationen sind nur von begrenztem Wert (ein Administrator kann bereits das Passwort eines Benutzers zurücksetzen), es sei denn, die Passwörter können von Benutzern auf anderen Websites wiederverwendet werden. In diesem „feindlichen Admin“-Szenario hat deine Website andere Probleme (da der feindliche Admin eine ganze Reihe von gleichwertigen Möglichkeiten hat, den Nutzern Unheil zuzufügen, vor allem wenn es sich nicht um eine Multisite handelt, bei der ein Website-Admin möglicherweise kein Super-Admin ist und keine Plugins installieren oder konfigurieren kann). Dieses Changelog wurde als Reaktion auf falsche Berichte erweitert, die auf ein größeres Problem hindeuteten (zum Beispiel wurde nicht erwähnt, dass der Angreifer bereits als Admin angemeldet sein muss, um das Log zu lesen, oder dass ein Upgrade auf 5.2.0 die betroffenen Daten löscht).
- SICHERHEIT: Lege strengere Beschränkungen dafür fest, was Unterseiten-Admins in einer Multisite tun können.
- FIX: Nach dem Bearbeiten einer Datei werden die Berechtigungen wieder auf die ursprünglichen Berechtigungen zurückgesetzt
- FIX: Einige fehlerhafte Links im Plugin korrigiert
- FIX: Fataler Fehler: Klasse kann nicht deklariert werden
- FIX: Normalisiere alle Argumente im Stacktrace
- FIX: Falsche Login-Einträge in der Tabelle der Login-Aktivitäten auf einer Multisite, wenn sich ein Nutzer auf einer Subsite anmeldet, zu der er nicht gehört.
- FIX: Fehler „Zu viele Weiterleitungen“ für Benutzer mit erzwungenem Logout behoben
- ANPASSUNG: Für Cronjob, WP CLI und AIOS_DISABLE_EXTERNAL_IP_ADDR definierte Konstante, verwende keine externen Dienste für Benutzer-IP-Adressen. Die Warnung über die fehlgeschlagene api.ipify.org-Anfrage wurde abgeschaltet.
- ANPASSUNG: Fehlende Übersetzung der Seite „Passwort zurücksetzen” und Schaltfläche „Passwort generieren” für die umbenannte Anmeldeseite hinzugefügt
- TWEAK: Filter „aios_audit_log_event_user_ip” hinzugefügt, um das Filtern von IP-Adressen im Audit-Protokoll zu ermöglichen
- ANPASSUNG: Action Hook „aios_reset_all_settings” zum Zurücksetzen aller Einstellungen hinzugefügt.
- ANPASSUNG: Die Anmeldeseite wurde umbenannt, um ein Dropdown-Menü für den Sprachwechsel zu haben, und andere Anpassungen an WordPress 6.2
5.1.9 – 09/May/2023
- FUNKTION: IP-Adressen – Sperrlisten-Manager Funktionalität basiert auf PHP statt auf .htaccess Regeln. Die Konstante AIOS_DISABLE_BLACKLIST_IP_MANAGER wurde hinzugefügt. Definiere sie in deiner wp-config.php, um den IP Blacklist Manager zu deaktivieren.
- FUNKTION: Erkenne Spambots, die Kommentare posten und verwerfe sie komplett oder markiere sie als Spam.
- FUNKTION: Verschlüssle TFA-Geheimschlüssel, die in der Datenbank gespeichert sind (zusätzlicher Schutz, falls deine Datenbank gehackt wird)
- FUNKTION: Hinzufügen einer Massenaktion „Alles löschen” und „Gefiltert löschen” zur Audit-Protokoll-Tabelle
- FIX: Verhindert, dass Cloudflare Turnstile zu Anmeldeformularen hinzugefügt wird, wenn keine Anmeldedaten festgelegt wurden
- FIX: Änderung der Stelle, an der der Audit-Protokoll-Event-Handler geladen wird, um einen Fehler beim Löschen des Plugins zu vermeiden
- FIX: Korrektur der Kontextklassenprüfungen zur Unterstützung von cli
- ANPASSUNG: Multisite-Superadmin kann auf das Dashboard der Subsite zugreifen, ohne sich erneut anzumelden, wenn Salt Postfix aktiviert ist
- ANPASSUNG: Captcha JavaScript-Datei wird auf einigen Seiten unnötig geladen, wenn Kommentar-Captcha oder benutzerdefiniertes Login-Captcha aktiviert ist
- ANPASSUNG: Ändere einige NONCE-Prüfungen, um unsere interne Funktion zur Prüfung von Benutzerfähigkeiten und Nonces zu verwenden
- ANPASSUNG: Benutzerregistrierungen und erfolgreiche Anmeldungen werden jetzt im Audit-Protokoll aufgezeichnet
- ANPASSUNG: Eine Befehlsklasse hinzugefügt und die AJAX-Handler überarbeitet
- ANPASSUNG: Captcha-Verifizierung, um Konflikte mit einigen Plugins zu vermeiden, die den WordPress-Authentifizierungscode abrufen
- ANPASSUNG: Verbessere die Benutzeroberfläche der Datenbanktabellen-Präfix-Funktion.
- ANPASSUNG: WordPress Core-Updates werden jetzt im Audit-Protokoll aufgezeichnet
- ANPASSUNG: Übersetzungsaktualisierungen werden jetzt im Audit-Protokoll aufgezeichnet
- ANPASSUNG: Hinzufügen eines Entitätsänderungsereignisses zum Audit-Protokoll, wenn keine Upgrader-Informationen verfügbar sind
- ANPASSUNG: Automatisierte E-Mails von AIOS, die aufgrund der Absenderadresse nicht gesendet werden konnten
5.1.8 – 11/April/2023
- FIX: 404-Erkennung – Einzelne Datensatz-Blacklisting-, Lösch- und Temp-Block-Aktionen funktionieren nicht mehr in 5.1.7
- FIX: Unerwarteter fataler Fehler bei null ’set_value‘
- FIX: Entfernen von Audit-Protokoll-Event-Handler-Aktionen beim Löschen von Plugins, um einen Fehler zu vermeiden
- FIX: Entfernen einiger Audit-Protokoll-Event-Handler beim Löschen von Plugins, um einen Fehler zu vermeiden
- FIX: Korrekten wp-config-Pfad ermitteln, wenn in einem Unterverzeichnis installiert
- ANPASSUNG: AIOS_Helper::request_remote timed out exception ignoriert.
- ANPASSUNG: Der Klassenname Requests_IPv6 ist in WordPress 6.2 veraltet.
- ANPASSUNG: Fehlgeschlagene Anmeldeversuche werden jetzt im Audit-Protokoll aufgezeichnet
5.1.7 – 24/March/2023
- FIX: Verhinderung eines fatalen Fehlers beim Aufruf von get_server_detected_user_ip_address(), wenn die Firewall nicht eingerichtet ist
- ANPASSUNG: Klarstellung des Dashboard-Hinweises und Änderung des Bildes.
5.1.6 – 21/March/2023
- FUNKTION: Ein Audit-Protokoll wurde hinzugefügt
- FUNKTION: Füge die Option salt postfix hinzu, um die Sicherheit deiner Website zu verbessern
- FUNKTION: Gemeinsame Bibliothek, die von der Firewall aus genutzt werden kann.
- FIX: Umbenennung des Login-Slugs in wp-login-RANDOM_SUFFIX mit 404-Seite Problem behoben und Code für Multisite-Aktivierung bereinigt.
- FIX: Divi Child Theme Konflikt – Aufruf der undefinierten Funktion et_builder_get_fonts() in functions.php auf Zeile 208 gelöst.
- FIX: Captcha-Einstellungen in der Multisite-Installation für Unter-Websites werden nicht angezeigt
- FIX: Fehler bei der Cron-Verschiebung für den Hook aios_15_minutes_cron_event, wenn das Plugin deaktiviert oder deinstalliert wurde
- ANPASSUNG: Benutzer-Aufzählung verhindern zeigt jetzt 403 forbidden Fehlercode anstelle von 500 server error
- ANPASSUNG: PHP 8.1 Warnung rawurldecode Übergabe von null statt type string ist veraltet für block request string 6g rule
- ANPASSUNG: Codebereinigung zur Deaktivierung der Cookie-basierten Brute-Force-Konstante, da Regel in die Firewall verschoben
- ANPASSUNG: Kommentar-Spam-IP-Überwachungsseite UI
- ANPASSUNG: Aktualisierte saisonale Aushänge
- ANPASSUNG: Verbesserung der internen Codestruktur als Grundlage für zukünftige Verbesserungen
- ANPASSUNG: Entferne den Hinweis, dass die 6g-Firewall-Regeln auf .htaccess basieren, da sie jetzt php-basiert sind.
- ANPASSUNG: Neue interne Funktion zur Überprüfung von Benutzerberechtigung und Nonces hinzugefügt
- ANPASSUNG: Verbesserter Konfigurationscode mit Inline-Speicherung.
- ANPASSUNG: Erlaubt das Filtern und Exportieren des Audit-Protokolls nach CSV
5.1.5 – 13/February/2023
- FUNKTION: Cloudflare Turnstile CAPTCHA Unterstützung hinzugefügt
- FIX: Hinweise auf undefinierten Array-Schlüssel HTTP_USER_AGENT behoben.
- FIX: Neue v5-Funktionen werden nicht in der Exportdatei gespeichert und nach der Deinstallation nicht richtig zurückgesetzt.
- FIX: Die Änderung der Dateiberechtigung wird auf den letzten Datensatz angewendet, nicht auf den ausgewählten. Außerdem werden die Berechtigungen nicht mehr geändert, wenn sie bereits strenger sind als vorgeschlagen.
- FIX: Fataler Fehler ‚Aufruf einer Memberfunktion contains_contents() auf null‘
- ANPASSUNG: Falsche Information über die Implementierung der Login-Whitelist über htaccess entfernt.
- ANPASSUNG: Überarbeitung der Einstellungsaufgaben für WP CLI AIOS Premium-Befehle.
- ANPASSUNG: Das Problem mit der Seitenladeleistung aufgrund der inkompatiblen Aktivitätsprüfung des tfa-Premium-Plugins wurde verbessert.
- ANPASSUNG: Sicherstellung, dass die Übersetzungsdomain registriert ist, bevor versucht wird, sie zu verwenden
- ANPASSUNG: Ersetzte „Klick“ durch „Drücken“ im Text, weil Nutzer auf mobilen Geräten usw. sein könnten und keine Maus verwenden.
- ANPASSUNG: Registrierungs-, Kommentar-, Buddypress- und bbPress-Admin-Seiten zeigen an, dass die Captcha-Einstellungen aktiviert sind.
- ANPASSUNG: Verbessere die UI/UX für die Registerkarte 404-Erkennung
- ANPASSUNG: Verbesserung der internen Codestruktur als Grundlage für zukünftige Verbesserungen
- ANPASSUNG: PHP 8.2-Warnung zur Deprecation von dynamischen Eigenschaften
- ANPASSUNG: Entfernen der unbeabsichtigten Möglichkeit zur Verzeichnis-Durchquerung und fehlendem Entwerten bei der Dateiausgabe mit der „Systemprotokoll anzeigen“-Funktion. Diese Funktion steht nur Administratoren zur Verfügung (die ohnehin vollständigen Zugriff auf die Website haben, sodass dies keine Sicherheitsimplikationen hat) und erlaubt es ihnen, die letzten 50 Zeilen beliebiger Dateien anzuzeigen oder Verzeichnisse aufzulisten, auf die der Webserver Lesezugriff hat.
- FIX: Fataler Fehler ‚Aufruf einer Memberfunktion contains_contents() auf null‘
- ANPASSUNG: Die Firewall bezieht Konstanten aus einer einzigen Quelle.
5.1.4 – 14/December/2022
- FUNKTION: Option hinzugefügt, um RSS- und ATOM-Feeds zu deaktivieren.
- FIX: Der IP-Adressen-Blacklist-Manager hat nicht funktioniert.
5.1.3 – 09/December/2022
- SICHERHEIT: Die Importdateien für Einstellungen werden nicht mehr in einem öffentlich zugänglichen Ordner gespeichert, in dem sie möglicherweise von Suchmaschinen indiziert werden können, wenn der Administrator die Einstellungen nicht tatsächlich importiert (wodurch die Importdatei gelöscht wird).
- FUNKTION: Firewall-Ereignis-System implementieren
- FIX: Unterseiten schützen, wenn Firewall über plugins_hook geladen wird
- ANPASSUNG: Die UX für das Hochladen von Importdateien verbessert
- ANPASSUNG: Hinzufügen einer Standard-CAPTCHA-Option, die den Weg für neue CAPTCHAs in der Zukunft ebnet
5.1.2 – 07/December/2022
- FUNKTION: User-Agent – Die Blacklist-Manager-Funktion sollte auf PHP statt auf .htaccess-Regeln basieren.
- FIX: Sortierung nach „Status“ in der Kommentar-Spam-Tabelle
- FIX: Kopierschutzfunktion funktioniert nicht auf dem iPhone
- FIX: Cookie-basierter Brute-Force-Schutz sperrt sich, wenn das Plugin deaktiviert und wieder aktiviert wird.
- FIX: Der Hinweis, die .htaccess-Regeln nach der Reaktivierung des Plugins erneut anzuwenden, wird auf Unter-Websites angezeigt.
- FIX: Verschiedene WordPress-Kommandozeilen-Hinweise zu undefinierten $_SERVER-Indizes
- FIX: Deaktivieren und reaktivieren der Plugin-Firewall-Einstellungen Dateisynchronisation Problem behoben.
- ANPASSUNG: 2FA-Einstellungsseite, um Premium-Optionen für AIOS Premium anzuzeigen.
- ANPASSUNG: Zeichen entfernen, die nicht auf der Scannerseite sein sollten
- ANPASSUNG: Firewall-Regeln in Unterverzeichnissen organisieren
- ANPASSUNG: Antwort auf die DSGVO-Fragen im FAQ-Bereich des AIOS WP org-Plugins hinzugefügt.
- ANPASSUNG: Erlaube die Filterung der AIOS-Verwaltungsberechtigung über den
aios_management_permission
-Filter - ANPASSUNG: Nutze die Funktion is_main_site().
- ANPASSUNG: Kopiere die IP in die Zwischenablage, wenn du sie bei WP Security -> Brute Force -> Login Whitelist anklickst.
- ANPASSUNG: Bessere Kontexterkennung für die Firewall
5.1.1 – 16/November/2022
- SICHERHEIT: Es wurde ein Fehler bei der Überprüfung von Bulk Action Nonces behoben, der zu einer CSRF-Schwachstelle führte. Um die Schwachstelle auszunutzen, müsste ein Angreifer einen Link speziell für deine Website erstellen und dich dazu bringen, darauf zu klicken, während du eingeloggt bist. Wenn du dies tust, könnte dies dazu führen, dass Massenaktionen in AIOS-Listentabellen durchgeführt werden (z. B. Löschen von Einträgen aus Listen gesperrter IP-Adressen), wobei der Angreifer nur Einträge anhand von Datenbank-ID-Nummern löschen kann, die er nicht direkt kennen kann (z. B. 15, 16, 17) und nicht anhand von IP-Adressen (z. B. 100.101.102.103).
- FUNKTION: Cookie-basierte Brute-Force-Prävention mit dem neuen PHP-basierten Firewall-System implementiert.
- FIX: Sichtbarkeit der Methode AIOWPSecurity_WP_Loaded_Tasks::site_lockout_tasks()
- FIX: Verhindert, dass die Schaltfläche zum Entlassen von Hinweisen alle Hinweise von der Seite entfernt, einschließlich der Hinweise, die wichtige Informationen enthalten
- FIX: Brute Force > Login Whitelist Problem beim Zugriff auf passwortgeschützte Seiten durch Benutzer behoben.
- FIX: Der Link „Abmelden erzwingen“ funktioniert nicht in der Liste der aktuell angemeldeten Benutzer.
- FIX: Google reCAPTCHA Website-Key und Secret Key werden nicht sofort verifiziert.
- ANPASSUNG: Code-Änderungen für scannerbasierte Seiten und die zukünftige Item Manager-Klasse.
- ANPASSUNG: Großschreibung für Firewall-Menü-Tabs wurde angepasst.
- ANPASSUNG: Statt Login-Lockdown wurde das Wort Login-Lockout in der Benutzeroberfläche und im Mail-Inhalt verwendet. Die Konstante AIOWPS_DISABLE_LOGIN_LOCKDOWN wurde in AIOWPS_DISABLE_LOGIN_LOCKOUT geändert.
- ANPASSUNG: Aktualisiere die Tabs und Links, um sie an die Großschreibung der anderen UpdraftPlus-Plugins anzupassen.
- ANPASSUNG: Der Filter
aios_server_type
wurde hinzugefügt, um den Rückgabewert derAIOWPSecurity_Utility::get_server_type()
Methode zu überschreiben. - ANPASSUNG: Hinweis – Kontoaktivitätsprotokolle, 404 Ereignisprotokolle, die älter als 90 Tage sind, werden automatisch gelöscht und angezeigt.
- ANPASSUNG: Die FAQs der Premium-Upgrade-Seite sind mit der richtigen URL verlinkt.
- ANPASSUNG: Die IP-Adressensuche wird nur einmal in derselben Seitenanfrage aufgerufen. Besucherblockierung wird aufgerufen, wenn der Nutzer nicht eingeloggt ist. Die Online-Informationen des Nutzers werden nur bei der Anmeldung aktualisiert.
- ANPASSUNG: Sperrung der Benutzeranmeldung – die minimale Sperrzeit sollte kürzer sein als die bestätigte maximale Sperrzeit.
- ANPASSUNG: Mach ein Backup der wp-config, bevor du den Inhalt der Firewall einfügst.
- ANPASSUNG: Die Möglichkeit, den Schutz der Firewall herabzustufen, ermöglicht es den Nutzern, die Änderungen bei der Einrichtung der Firewall rückgängig zu machen.
- ANPASSUNG: Setze einen globalen Kontext für den $wp_file_descriptions-Kontext, so dass er korrekt zugewiesen wird, was eine subtile visuelle Veränderung im Theme-Editor verhindert
- ANPASSUNG: Hinweis zum Black-Friday
- ANPASSUNG: Liesmich.txt-Datei aktualisieren
5.1.0 – 12/October/2022
- FIX: Der Login-Loader ist unendlich lange auf dem Anmeldebildschirm sichtbar und Administratoren können sich nicht anmelden, wenn der Benutzer den Wartungsmodus und die 2FA-Authentifizierung gleichzeitig aktiviert hat.
- FIX: Das Drücken der Schaltfläche „Firewall deaktivieren“ hat neue 6G-Firewall-Regeln nicht gelöscht.
- FIX: Das Anwendungspasswort war bei der Aktivierung des AIOS-Plugins standardmäßig deaktiviert.
- FIX: Der Fehler trat mit der Fehlermeldung auf: Uncaught TypeError: …