iThemes Security (formerly Better WP Security)

Beschreibung

iThemes Security ist für WordPress das Sicherheits-Plugin Nummer 1

IThemes Security (formerly Better WP Security) bietet dir mehr als 30 Möglichkeiten deine WordPress-Website abzusichern und zu schützen. Im Durchschnitt werden täglich 30.000 neue Webseiten gehackt. WordPress-Websites können aufgrund von Plugin-Schwachstellen, schwachen Passwörtern und veralteter Software einfache Angriffsziele sein.

Die meisten WordPress-Admins wissen nicht, dass sie verwundbar sind. iThemes Security arbeitet aber daran WordPress abzusichern, gängige Sicherheitslücken zu beheben, automatisierte Angriffe zu stoppen und Benutzeranmeldeinformationen zu stärken. Durch erweiterte Funktionen kann unser WordPress-Sicherheits-Plugin erfahrenen Benutzer helfen WordPress zu härten.

Gepflegt und unterstützt von iThemes

IThemes erstellt und unterstützt Werkzeuge für WordPress seit 2008. Zum Beispiel BackupBuddy, unser WordPress-Backup-Plugin. Mit unserer Palette an WordPress-Plugins, -Themes und -Schulungen, ist die WordPress-Sicherheit der nächste Schritt dich mit dem zu versorgen, was du benötigst, um das WordPress-Web zu erstellen.

Erhalte Plugin-Support und Pro-Funktionen

Hole dir zusätzlichen Seelenfrieden mit professioneller Unterstützung von unserem Expertenteam und Pro-Funktionen, um die Sicherheit deiner Website mit iThemes Security Pro auf die nächste Ebene anzuheben.

Pro-Funktionen:

  • Zwei-Faktor-Authentifizierung – Verwende eine mobile App wie Google Authenticator oder Authy, um einen Code zu generieren oder einen generierten Code per E-Mail zu erhalten.
  • WordPress-Salts & Sicherheitsschlüssel – Das iThemes Security-Plugin vereinfacht es deine WordPress-Schlüssel und Salts zu aktualisieren.
  • Malware-Prüfungsplan – Lasse automatisch deine Website täglich nach Malware prüfen. Sobald ein Problem gefunden wurde, wird eine E-Mail mit Details gesendet.
  • Passwortsicherheit – Erstelle direkt auf deiner Profilseite sichere Passwörter.
  • Passwortverfall – Lege ein maximales Passwortalter fest und zwinge Benutzer ein neues Kennwort zu wählen. Du kannst auch alle Benutzer zwingen (falls erforderlich) sofort ein neues Passwort zu wählen.
  • Google reCAPTCHA – Schützt deine Website vor Spam.
  • Benutzeraktionenprotokollierung – Verfolge, wenn Benutzer Inhalte bearbeiten, sich anmelden oder abmelden.
  • Import / Export von Einstellungen – Spart Zeit beim Einrichten mehrerer WordPress-Websites.
  • Dashboard Widget – Verwalte wichtige Aufgaben wie Benutzersperren und Systemüberprüfungen direkt von dem WordPress-Dashboard aus.
  • Online-Dateivergleich – Wenn eine Dateiänderung erkannt wird, wird der Ursprung der Dateien geprüft, um festzustellen, ob die Änderung böswillig war oder nicht. Derzeit funktioniert es nur für den WordPress-Kern – aber Plugins und Themes kommen.
  • Temporäre Berechtigungseskalation – Gib einem Auftragnehmer oder jemand anderem temporäre Adminrechte oder Editor-Zugriff für deine Website, die automatisch wieder entzogen werden.
  • wp-cli Integration – Verwalte die Sicherheit deiner Website über die Befehlszeile.

iThemes Sync Integration

Verwaltest du mehr als eine WordPress-Website? Verwalte den Abwesenheitsmodus, hebe Aussperrungen auf und halte über ein Dashboard mit iThemes Sync deine Themes, Plugins und den WordPress-Kern aktuell. Beginne mit der kostenlosen Verwaltung von 10 WordPress-Websites über iThemes Sync.

iThemes-Brute-Force-Attackenschutznetzwerk

IThemes Security hebt den Brute-Force-Angriffsschutz, durch das Aussperren von Benutzern, die versucht haben in andere Websites einzudringen, auf die nächste Stufe. Das iThemes-Brute-Force-Angriffsschutznetzwerk meldet automatisch IP-Adressen von fehlgeschlagenen Anmeldeversuchen und blockiert diese für einen Zeitraum, der zum Schutz deiner Website erforderlich ist. Der Zeitraum richtet sich nach der Anzahl der Websites, die einen ähnlichen Angriff festgestellt haben.

Schützt

IThemes Security schützt deine Website, indem schlechte Benutzer blockiert werden, die Sicherheit von Passwörtern erhöht wird und durch andere unerlässliche Angaben.

  • Verhindert Brute-Force-Angriffe durch das Aussperren von Hosts und Benutzern mit zu vielen ungültigen Anmeldeversuchen
  • Überprüft deine Website, um Schwachstellen sofort zu melden und behebt sie in Sekunden
  • Sperrt störende Benutzeragenten, Bots und andere Hosts aus
  • Stärkt die Server-Sicherheit
  • Erzwinge starke Kennwörter für alle Konten einer konfigurierbaren Mindestrolle
  • SSL für Admin-Seiten erzwingen (auf unterstützten Servern)
  • Erzwingt SSL für beliebige oder jede Seite oder Beitrag (auf unterstützenden Servern)
  • Schaltet die Dateibearbeitung über den WordPress-Admin-Bereich aus
  • Erkennt und blockiert zahlreiche Angriffe auf dein Dateisystem und deine Datenbank

Erkennt

IThemes Security überwacht deine Website und meldet Änderungen an dem Dateisystem und der Datenbank, die auf eine Kompromittierung hindeuten könnten. IThemes Security dient auch bei der Erkennung von Bots und bei anderen Versuchen Schwachstellen zu finden.

  • Erkennt Bots und andere Versuche nach Schwachstellen zu suchen.
  • Überwacht das Dateisystem auf nicht autorisierte Änderungen.
  • Führe eine Überprüfung nach Malware und schwarzen Listen auf der Startseite deiner Website aus.
  • Empfange E-Mail-Benachrichtigungen, wenn jemand nach zu vielen fehlgeschlagenen Anmeldeversuchen ausgesperrt wird oder wenn eine Datei auf deiner Website geändert wurde.

Verschleiert

IThemes Security verbirgt gängige WordPress-Sicherheitslücken, das Angreifer daran hindert, zu viel über deine Website zu erfahren und von sensiblen Bereichen deiner Website wie den Anmeldebereich, den Adminbereich usw. fernhält.

  • Ändert die URLs für WordPress-Dashboard-Bereiche; einschließlich Anmelden, Admin und mehr
  • Schaltet die Anmeldefunktion für einen bestimmten Zeitraum vollständig aus (Abwesenheitsmodus)
  • Entfernt Theme-, Plugin- und die WordPress-Kernaktualisierungsbenachrichtigungen für Benutzern, die keine Berechtigungen zum Aktualisieren haben
  • Entfernt Header-Informationen für Windows Live Writer
  • Entfernt RSD-Header-Informationen
  • Benennt das „admin“-Konto um
  • Ändert die ID für den Benutzer mit der ID 1
  • Ändert das WordPress-Datenbanktabellenpräfix
  • Ändere den wp-content-Pfad
  • Entfernt Anmeldefehlermeldungen

Wiederherstellen

IThemes Security macht regelmäßige Backups deiner WordPress-Datenbank, sodass du schnell wieder, im Falle eines Angriffs, online bist. Verwende iThemes Security, um Datenbanksicherungen nach einem anpassbaren Zeitplan zu erstellen und per E-Mail zu versenden.

Für vollständige Website-Backups und die Möglichkeit WordPress unter einem neuen Host oder einer neue Domain wiederherzustellen oder zu verschieben, besuche BackupBuddy.

Andere WordPress-Sicherheitsvorteile

  • Macht es für unerfahrene Benutzer einfacher, die nicht an WordPress gewöhnt sind, sich an Anmelde- und Admin-URLs zu erinnern, indem Standard-Admin-URLs angepasst werden können
  • Erkennt verborgene 404-Fehler deiner Website, die dein SEO durch schlechte Links und fehlende Bilder beeinflussen können

WordPress-Sicherheitsanleitungen

Wie du unser WordPress-Sicherheits-Plugin benutzen kannst, kannst du in unserer Serie detaillierter Schulungsvideos lernen (engl.):

Kompatibilität

  • Funktioniert mit Netzwerk-Websites (Multisites) und Einzel-Website-Installationen
  • Funktioniert mit Apache, LiteSpeed oder NGINX (Anmerkung: NGINX erfordert, dass du deine virtuelle Host-Konfiguration manuell bearbeitest)
  • Funktionen wie Datenbank-Backups und Dateiüberprüfungen können auf Servern ohne mindestens 64 MB RAM problematisch sein. Alle Test-Server weisen WordPress 128 MB zu und haben in der Regel keine anderen Plugins installiert.

Übersetzungen

Bitte lasse es uns wissen, wenn du zu einer Übersetzung beitragen möchtest.

Warnung

Bitte lies die Installationsanweisungen und die FAQ, bevor du dieses WordPress-Sicherheits-Plugin installierst. IThemes Security macht erhebliche Änderungen an deiner Datenbank und anderen Website-Dateien. Diese können problematisch sein, sodass ein Backup dringend empfohlen wird, bevor du mit diesem Plugin Änderungen an deiner Website durchführst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

Lizenz

Veröffentlicht unter den Bestimmungen der GNU General Public License.

Screenshots

  • Die WordPress-Sicherheitseinstellungen sind in einem einfach zu bedienenden Dashboard organisiert.
  • Einstellungen können auch in einer Listenansicht verwaltet werden.
  • Die Einstellungen sind einfach zu konfigurieren und mit Beschreibungen dargelegt.
  • Durch erweiterte WordPress-Sicherheitseinstellungen kannst du komplexere Änderungen an deiner Website vornehmen.
  • Kostenlose Malware-Prüfung powered by Sucuri SiteCheck.

Installation

HINWEIS: iThemes Security nimmt signifikante Änderungen an deiner Datenbank und anderen Website-Dateien vor, die problematisch sein können. Daher ist ein Backup dringend angeraten, bevor du Änderungen an deiner Website mit diesem Plugin vornimmst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

  1. BEVOR DU BEGINNST: Sichere bitte deine WordPress-Datenbank, die Konfigurationsdatei und die .htaccess-Datei. Wir empfehlen die Verwendung von BackupBuddy, unserem WordPress-Backup-Plugin für ein vollständiges Website-Backup.
  2. Die Zip-Datei in das Verzeichnis /wp-content/plugins/ hochladen.
  3. Entpacken
  4. Aktiviere das Plugin in WordPress über das Menü „Plugins“
  5. Besuche das Sicherheitsmenü für die Kontrollliste und Einstellungen

DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.

FAQ

Installationsanweisungen

HINWEIS: iThemes Security nimmt signifikante Änderungen an deiner Datenbank und anderen Website-Dateien vor, die problematisch sein können. Daher ist ein Backup dringend angeraten, bevor du Änderungen an deiner Website mit diesem Plugin vornimmst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

  1. BEVOR DU BEGINNST: Sichere bitte deine WordPress-Datenbank, die Konfigurationsdatei und die .htaccess-Datei. Wir empfehlen die Verwendung von BackupBuddy, unserem WordPress-Backup-Plugin für ein vollständiges Website-Backup.
  2. Die Zip-Datei in das Verzeichnis /wp-content/plugins/ hochladen.
  3. Entpacken
  4. Aktiviere das Plugin in WordPress über das Menü „Plugins“
  5. Besuche das Sicherheitsmenü für die Kontrollliste und Einstellungen

DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.

Warum verlangt iThemes Security die neueste WordPress-Version? Kann nicht eine etwas ältere Version verwendet werden?
  • Eine der besten Sicherheitspraktiken für einen WordPress-Website-Inhaber ist die Software auf dem aktuellen Stand zu halten. Aus diesem Grund testen wir dieses Plugin nur mit der neuesten stabilen Version von WordPress und garantieren nur, dass es mit der aktuellsten Version funktioniert.
Wird dieses Plugin alle Angriffe auf meine Website stoppen?
  • Nein. IThemes Security wurde entwickelt um die Sicherheit deiner WordPress-Installation vor vielen verbreiteten Angriffsmethoden zu verbessern. Es kann aber nicht verhindern, dass jeder mögliche Angriff verhindert wird. Nichts ersetzt Sorgfalt und gute Praxis. Dieses Plugin macht es für dich ein wenig einfacher beides zu erzielen.
Ist dieses Plugin nur für neue WordPress-Installationen oder kann es auch bei bestehenden Websites verwendet werden?
  • Viele der durch dieses Plugin vorgenommenen Änderungen sind komplex und können bestehende Websites zerstören. Da iThemes Security sowohl für eine neue als auch für eine bestehende Website installiert werden kann, empfehlen wir dringend ein vollständiges Backup deiner bestehenden Website, bevor du damit beginnst Funktionen dieses Plugins anzuwenden.
Funktioniert dieses Plugin auf allen Servern und Hosts?
  • IThemes Security erfordert Apache oder LiteSpeed und mod_rewrite oder NGINX.
  • Obwohl dieses Plugin auf allen Hosts mit Apache oder LiteSpeed und mod_rewrite oder NGINX funktionieren sollte, ist es bekannt, dass es Probleme unter Shared-Hosting-Umgebungen gibt, bei denen es an Ressourcen wie verfügbare CPU-Leistung oder RAM fehlt. Aus diesem Grund ist es sehr wichtig, dass du vor der Installation bei einer bestehenden Website ein Backup deiner Website machst. Wenn dir während einer Operation, wie z. B. das Umbenennen deiner Datenbanktabelle, die Ressourcen ausgehen, wirst du möglicherweise dein Backup benötigen, um den Zugriff auf deine Website wiederherstellen zu können.
  • Zu guter Letzt stelle bitte sicher, dass dir genügend RAM zur Verfügung stehen, wenn du beabsichtigst die WordPress-Dateiänderungserkennung zu verwenden oder große Backups machst.
Funktioniert das bei Netzwerk-Installationen?
  • Ja. Wir arbeiten an der Weiterentwicklung der Dokumentation. Sobald diese fertig ist, aktualisieren wir dies.
Kann ich helfen?
Welche Änderungen macht dieses Plugin, die meine Website lahmlegen können?
  • iThemes Security nimmt erhebliche Änderungen an deiner Datenbank und anderen Website-Dateien vor, die für bestehende WordPress-Websites problematisch sein können. Wir empfehlen dir dringend, vor der Verwendung dieses Plugins eine vollständige Sicherung deiner Website zu erstellen. Probleme treten selten auf, doch bei den meisten Supportanfragen geht es auch darum, dass vor der Installation kein ordnungsgemäßes Backup erstellt wurde.
    DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
    Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.
  • Beachte, dass das Umbenennen des Verzeichnisses wp-content den Pfad des bereits vorhandenen Inhalts nicht aktualisiert. Verwende diese Funktion nur bei neuen Websites oder in einer Situation, bei der du alle vorhandenen Links einfach aktualisieren kannst.
  • iThemes Security Aussperrungen beheben
  • Was wird von iThemes Security geändert
Ich habe die Option „SSL erzwingen“ aktiviert und das legt meine Website lahm. Wie komme ich wieder hinein?
  • Öffne die Datei wp-config.php in einem Texteditor und entferne die folgenden 2 Zeilen:
  • define(‚FORCE_SSL_LOGIN‘, true);
  • define(‚FORCE_SSL_ADMIN‘, true);
Wo bekomme ich Hilfe, wenn etwas schief geht?
  • Offizieller Support für dieses Plugin steht für iThemes Security Pro-Kunden zur Verfügung. Unser Expertenteam steht dir gerne zur Verfügung.

Kostenlose Unterstützung kann durch die Hilfe der Community in den WordPress.org-Support-Foren bereitstehen (Hinweis: Dies ist ein community-basierter Support. IThemes überwacht nicht die WordPress.org-Support-Foren).

Rezensionen

Fantastic! An amazing Plugin!

Fantastic! An amazing Plugin!

Thank you iThemes Security for creating this amazing plugin, and for giving the free version such flexibility.

Highly Recommended!

Locking Google Bot, Bing Bot, Yahoo Bot, Alexa Bot, and Rank dropped with sales!

The funniest thing that I bought the Pro version for 2 sites, since 6+ months my websites (which include the pro plugin) has dropped significantly due to blocking important bots like I mentioned in the title (Locking Google Bot, Bing Bot, Yahoo Bot, Alexa Bot, and Rank dropped with sales! by IP.

I used to receive daily messages from Google Webmaster tools: says:
1- Googlebot found an increase in authorization permission errors on jodyshop.com.
2- Googlebot couldn’t crawl your URL.
3- Your server either requires authentication to access the page
4- Your server Blocking Googlebot from accessing your site.

And they are 100% true. Also, I found tons of:
– 404 not found (pages and posts already exist).
– Soft 404.
– 403.

I contacted the support team and nothing new they can provide to help to resolve the case! So, I decided to keep it for a final workout and whitelist important bots manually.

I found myself had to add tons of bots daily to whitelist them until I tired of such never end action! after searched for Google that there is (no way) to whitelist all Google Bots IP’s.

Finally, I deleted it… What happened after uninstall?

1- My rank and sales increased dramatically in a short time.
2- My pages get found by Google and other important search engines.
3- My sales and referrals increased by 300% (after everything gets locked).

I can prove my words (one by one) with screenshots of locked bots and issues with consoles of popular search engines.

Sent private information to users

There was a lockout notification sent to alot of users who were not Administrators which included e-mail addresses of all cc’d users. HUGE breach in security coming from a security plugin.

New „Password Requirements“ module does not work. Locking admins out of sites

The recently added „Password Requirements“ module does not work. It’s locking admins out of their sites. It demands a strong password, and when one is supplied, it does not save the new password, and an endless of loop of demanding a new password ensues. The only way to get back into the dashboard is for the admin to disable the plugin and then (if desiring to continue using the plugin) re-enabling it after logging in, and turning off the „Password Requirements“ feature.

My post (and replies by others with same issue) in the WORDPRESS.ORG support forum for the plugin, have no reply from developer and the issue persists.

Lies alle 3.812 Rezensionen

Mitwirkende & Entwickler

„iThemes Security (formerly Better WP Security)“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

„iThemes Security (formerly Better WP Security)“ wurde in 11 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „iThemes Security (formerly Better WP Security)“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

7.1.0

  • New Feature: Allow for globally setting recipients for admin-targeted notifications. All new notifications will default to the recipients in this list. Notifications can be set to use the default list or switch to a custom list.
  • Enhancement: Added a setting to enable/disable the Grade Report feature of Pro.
  • Tweak: Check if an IP is blacklisted on page load for compatibility with servers that cannot process server configuration level bans immediately.
  • Tweak: Display a time diff until the next event on the Debug page.
  • Tweak: Use Logging API for tracking Notification Center errors.
  • Tweak: Register Scheduler Events whenever the plugin build changes.
  • Tweak: Allow for filtering logs by any module recorded.
  • Tweak: Account for 3rd-party Backup Plugin in Security Check.
  • Bug Fix: 404 detection for plugins that mark is_404 later in the hook sequence.
  • Bug Fix: REST API Protection blocked the Taxonomies route for all users.
  • Bug Fix: Account for any CLI PHP SAPI instead of just WP-CLI in the SSL Module.
  • Bug Fix: Fixed how the Grade Report enable/disable status is stored to fix admin page loading issues on some sites.
  • Bug Fix: Fix serialization of closure error when a plugin registering a hook with a closure is in the boot-up stack and the notification center is triggered too early in the cycle.

7.0.4

  • Enhancement: Add mitigation for the WordPress Attachment File Traversal and Deletion vulnerability.
  • Tweak: Fire a WordPress action whenever settings are updated.
  • Bug Fix: Improved input sanitization on the logs page to prevent triggering warnings.

7.0.3

  • Security Fix: Fixed SQL injection vulnerability in the logs page. Note: Admin privileges are required to exploit this vulnerability. Thanks to Çlirim Emini, Penetration Tester at sentry.co.com, for reporting this vulnerability.
  • Bug Fix: Provide default values for enabled requirements.

7.0.2

  • Enhancement: Add UI to cancel in progress File Scan.
  • Enhancement: Add basic admin debug page to help diagnosing and resolving issues. Particularly with the events.
  • Enhancement: Add debug settings JSON editor.
  • Enhancement: Continually evaluate password strength for users instead of only during registration.
  • Enhancement: Introduce Password Requirements module for managing and enforcing password requirements.
  • Bug Fix: Accessing password requirement settings would not resolve properly in some instances.
  • Bug Fix: Away Mode would not lock out users who were already logged-in during the „away“ period.
  • Bug Fix: Enforce the Strong Passwords requirement during Security Check.
  • Bug Fix: Ensure scheduling lock is cleared by the Cron Scheduler when not proceeding with running events.
  • Bug Fix: If a password requirement has been disabled or is no longer available, don’t consider the password as needing a change.
  • Bug Fix: Only hide „Acknowledge Weak Password“ checkbox if the user was not allowed to use a weak password.
  • Bug Fix: Password strength would not be evaluated if password was set using custom PHP or CLI commands.
  • Bug Fix: Prevent File Change from getting stuck in an infinite rescheduling loop on the first step.
  • Bug Fix: Remove distributed storage table on uninstall.
  • Tweak: Don’t write to the tracked files setting if the file hash has not changed.
  • Tweak: If no last password change date is recorded for the user, treat their registration date as the last change date.

7.0.1

  • Bug Fix: Fixed an „Uncaught Error: Call to undefined function esc_like()“ error that could occur when exporting or erasing personal data.
  • Bug Fix: Skip recovery if File Change storage is empty.

7.0.0

  • New Feature: Added support for the new WordPress privacy features.
  • Enhancement: Added minimal API for adding additional entries to the Security admin menu.
  • Enhancement: File Change Scan uses a new batching mechanism to prevent crashing on hosts but still generating only one report per-day.
  • Enhancement: Introduce Distributed Storage framework for reducing the amount of data stored in the WordPress options table. This should improve performance for large sites using File Change.
  • Enhancement: Introduced Login Interstitial framework to consolidate code between Password Requirements & Two Factor.
  • Bug Fix: Added ability to show object data for classes that are not loaded to the Logs page.
  • Bug Fix: Changed the rules generated by the Filter Suspicious Query Strings feature in order to avoid blocking privacy export/erasure request confirmations.
  • Bug Fix: Ensure all users with the manage_options capability are available when selecting contacts in the Notification Center.
  • Bug Fix: Fix clearing or previous file scans results.
  • Bug Fix: Fix warnings on debug file change log items.
  • Bug Fix: Fixed logging system references to „fatal-error“ that should be „fatal“.
  • Bug Fix: Improve File Change recovery system on high-traffic websites.
  • Bug Fix: Improve clearing of previous File Change file hashes.
  • Bug Fix: Improved detection of REST API requests on sites without a home dir.
  • Bug Fix: Internal links to a filtered logs page.
  • Bug Fix: Prevent PHP warning about converting an array to a string when adding notification data.
  • Bug Fix: Prevent PHP warning when completing database backups that are not emailed to any recipients.
  • Bug Fix: Properly enforce strong passwords when on the WP Login Reset Password page.
  • Bug Fix: Resolve warnings when upgrading file change settings.
  • Minor: File Scan „chunk“ option is removed.
  • Minor: Make recovering file scan log smaller.
  • Minor: Page Load Scheduler: Unschedule single events before running them. This mirrors the behavior of the WP Cron scheduler.
  • Minor: Security Digest now includes all lockouts that have occurred since the last email.
  • Minor: Shrink storage size of file scans.
  • Minor: Specifying a manual file scan list has been removed.
  • Minor: Track raw memory used by the file change scanner as well.
  • Minor: Updated list of File Change excluded file types to include more media extensions.
  • Misc: Added comment to prevent Tide from marking the plugin as not compatible with PHP 5.3.
  • Tweak: Add description for File Change recovery related logs.
  • Tweak: Don’t report removed files if the removal is caused by a new file extension being excluded.
  • Tweak: File Change: Move „latest_changes“ entry to a separate storage bucket to improve performance on large sites.
  • Tweak: File Change: Only scan a maximum of 10 plugins in a single chunk.

6.9.2

  • Fehlerbehebung: Es wurde eine Situation behoben, die dazu führen konnte, dass Aussperrungsbenachrichtigungen für weiß gelistete IPs gesendet wurden.
  • Fehlerbehebung: Ein Problem behoben, bei dem das Speichern globaler Einstellungen durch einen nicht beschreibbaren „Pfad zu den Protokolldateien“ blockiert wurde, wenn der „Protokolltyp“ auf „Nur Datenbank“ eingestellt war.
  • Fehlerbehebung: Es wurde ein Problem behoben, das verhinderte, dass Protokolldatenbankeinträge gelöscht werden und Protokolldateieinträge nach einem Zeitplan rotierten.

6.9.1

  • Sicherheitskorrektur: Die Darstellung von unescapten Daten auf der Protokollseite wurde korrigiert.
  • Verbesserung: Das Protokollierungssystem unterscheidet jetzt zwischen WP-CLI-Befehlen, geplanten WP-Cron-Ereignissen und normalen Seitenanfragen.
  • Fehlerbehebung: Die Dateiänderungsüberprüfung wurde dahingehend korrigiert, dass ausgewählte Verzeichnisse auf manchen Systemen bisher nicht ausgeschlossen werden konnten.

6.9.0

  • Verbesserung: Das Protokollierungssystem wurde aktualisiert, um mehr Informationen zu sammeln und mehr Optionen zum Filtern und Sortieren von Protokolleinträgen zu haben.
  • Verbesserung: Verbesserte Effizienz bei der Überprüfung der Dateiänderungserkennung.
  • Fehlerbehebung: Es wurde ein Problem behoben, durch das das Laden der Protokollseite als fehlgeschlagener Anmeldeversuch auf einigen Websites registriert wurde.

6.8.1

  • Verbesserung: Anzeige der Benutzeraussperrungen in der Sperrseitenleiste.
  • Fehlerbehebung: Übersetzungen werden nun über den Hook plugins_loaded geladen.
  • Fehlerbehebung: Eine Methode berichtigt, mit der auf einigen Websites versteckte Anmeldetitelformen herausgefunden werden konnten.
  • Fehlerbehebung: Es wurde ein Fehler behoben, der dazu führen konnte, dass die Synchronisation Malware-Überprüfungsergebnisse nicht laden konnte, wenn zuvor eine Überprüfung fehlgeschlagen war.
  • Fehlerbehebung: Aktualisierung der REST-API-Funktion „Eingeschränkter Zugriff“, um sich vor Vorgehensweisen zu schützen, die den eingeschränkten Zugriff umgehen.
  • Fehlerbehebung: Unterbindung, dass die Anmeldeseite ausgeblendet wird, wenn du der Benachrichtigungs-URL „E-Mail-Adresse bestätigen“ folgst.
  • Fehlerbehebung: „Backend verstecken“-Benachrichtigungen wurden nicht korrekt gesendet, wenn sie zum ersten Mal aktiviert wurden.

6.8.0

  • Neue Funktion: Einführung eines Zeitplanungs-Frameworks für die Verarbeitung von Ereignissen. Cron wird nun standardmäßig verwendet und wechselt zu einem alternativen Zeitplanungssystem, wenn ein Fehler festgestellt wird. Lege ITSEC_DISABLE_CRON_TEST in deiner wp-config.php-Datei fest, um diese Erkennung zu deaktivieren.
  • Wichtig: Die Konstanten ITSEC_FILE_CHECK_CRON und ITSEC_BACKUP_CRON sind veraltet. Verwende stattdessen ITSEC_USE_CRON.
  • Verbesserung: Benachrichtigungseinstellungen bleiben erhalten, wenn das zuständige Modul deaktiviert ist.
  • Fehlerbehebung: Verarbeitung von 404-Sperrungen über den „wp“-Hook, um zu verhindern, dass ein Header eine Warnung bereits gesendet hat.
  • Fehlerbehebung: Sicherstellung, dass E-Mails der Funktion „Backend verstecken“ ordnungsgemäß gesendet werden, wenn die Option „Backend verstecken“ aktiviert wird und vor dem ersten Speichern der Benachrichtigungszentrale.
  • Fehlerbehebung: Es wird nun verhindert, dass bei neuen Installationen eine Warnung ausgegeben wird, indem die vorherigen Einstellungen beibehalten werden, sofern diese vorhanden sind.
  • Fehlerbehebung: Bessere Handhabung von WP_Error-Objekten bei E-Mail-Fehlern, die vor der Aktualisierung der ersten Patch-Veröffentlichung, aufgetreten sind.
  • Fehlerbehebung: Eine nicht statische Methode wurde statisch aufgerufen.
  • Fehlerbehebung: Gelegentliche doppelte Backups und Dateiüberprüfungen behoben.
  • Fehlerbehebung: Problem behoben, bei dem geplante Ereignisse auf Websites wiederholt werden konnten, die das Cron-System von WordPress nicht richtig unterstützen.
  • Fehlerbehebung: Das Reaktivieren des Abwesenheitsmodus erneuert jetzt die aktive Datei, wenn du sie zuvor entfernt hast.
  • Fehlerbehebung: Sicherstellung, dass Aussperrungen auch auf Systemen sofort wirksam werden, auf denen Änderungen an Serverkonfigurationsdateien nicht sofort wirksam werden.

6.7.0

  • Neue Funktion: Einführung der Benachrichtigungszentrale – Ein zentraler Ort für die Verwaltung und Anpassung von E-Mail-Benachrichtigungen, die von iThemes Security gesendet werden.
  • Verbesserung: Abfragen und Vorbereitungsanweisungen zur Berücksichtigung von Änderungen an der Funktion esc_sql() in WordPress 4.8.3 aktualisiert.
  • Fehlerbehebung: Einige JavaScript- und CSS-Links korrigiert, die auf Windows-Servern nicht korrekt erstellt wurden.

6.6.1

  • Fehlerbehebung: Ein Fehler der SQL-Abfrage wurde behoben, der dazu führte, dass die Einstellung „Speicherdauer von Anmeldefehlversuchen in Minuten (Prüfzeitraum)“ ignoriert wurde.
  • Fehlerbehebung: Fehler behoben, der verhindert, dass die Blockierung für wp-admin / install.php, ordnungsgemäß auf nginx-Servern funktioniert.
  • Fehlerbehebung: Kein Versuch eine SSL-Weiterleitung durchzuführen, wenn WP-CLI läuft.

6.6.0

  • Neue Funktion: Eine neue Einstellung unter WordPress-Optimierungen hinzugefügt: „Mit E-Mail-Adresse oder Benutzername anmelden“.
  • Verbesserung: Empfang der E-Mail-Bilder vom Plugin anstatt auf die iThemes-Server zu verweisen, um E-Mail-Anwendungen zu helfen, Nachrichten als Spam zu markieren oder Bilder zu blockieren.
  • Fehlerbehebung: Fehler beim Suchen nach Modulen, der verhindert, dass Module erscheinen.
  • Fehlerbehebung: Verwendung der Tabelle wp_options, wenn Sperrungen im Netzwerk akquiriert werden.
  • Fehlerbehebung: Verhindern von doppelten täglichen Zusammenfassungs-E-Mails auf Websites mit hoher Belastung.
  • Sonstiges: Magische Links wurden hinzugefügt. Eine neue Funktion, die durch die Sicherheitsüberprüfung aktiviert wird und nur unter Pro verfügbar ist.
  • Sonstiges: Module umgeordnet, um alphabetisch aufgelistet zu sein.

6.5.1

  • Fehlerbehebung: Logischen Fehler behoben, der verhindert, dass Backups ausgeführt werden.
  • Fehlerbehebung: Problem behoben, welches dazu führen könnte, dass Datenbanksperren die Datenbank überfluten.

6.5.0

  • Verbesserung: Das SSL-Modul vereinfacht, um eine einfache Aktivierungs-/Deaktivierungseinstellung und vereinfachte Erklärungen anzubieten. Die bisherigen Einstellungen sind über die Auswahl Erweitert verfügbar.
  • Verbesserung: Den itsec-get-ip-Filter hinzugefügt, damit der Quelltext die Remote-IP direkt versorgen kann.
  • Verbesserung: Die Aktivierung der SSL-Unterstützung wird dich nur dann abmelden, wenn du noch nicht über eine https-Verbindung verbunden bist.
  • Verbesserung: Passwortanforderungskompatibilität mit Plugins und Systemen verbessert, die mit WordPress-Benutzern verknüpft sind.
  • Alte Funktion entfernt: Die „jQuery mit einer sicheren Version ersetzen“-Funktion entfernt, da ihre Anwendung (Schutz gegen einen bestimmten jQuery-Fehler: https://bugs.jquery.com/ticket/9521) viele Jahre alt ist und keine Besorgnis mehr ist.
  • Fehlerbehebung: Versionsnummer einiger Skripts erhöht, um sicherzustellen, dass diese ordnungsgemäß aktualisiert werden.
  • Fehlerbehebung: Einen Weg das „Backend verstecken“ zu umgehen bei einigen Hosts behoben.

6.4.0

  • Verbesserung: Dateiaussperrungen mit Datenbanksperrungen ersetzt. Diese Methode der Aussperrung ist mit allen Systemen kompatibel, da sie nicht die Fähigkeit erfordert Dateien zu schreiben. Sie ermöglicht es auch, dass Aussperrungen auf Websites funktionieren, die mehrere Frontend-Server mit einer gemeinsamen Datenbank haben. Da die Dateiaussperrung nicht mehr verwendet wird, wurde die Globalen Einstellungen > Deaktivieren der Dateisperrungseinstellung entfernt.
  • Verbesserung: Hinzufügung der „In die Zwischenablage kopieren“-Funktionalität für Server- und wp-config-Regeln.
  • Fehlerbehebung: Verhindern von 404s, wenn Links in E-Mail-Benachrichtigungen auf einer Website mit aktiviertem „Backend verstecken“ gefolgt wird.
  • Fehlerbehebung: Sicherstellung, dass der der Deinstallationsprozess nicht ausgeführt wird, wenn eine andere Version der iThemes Security immer noch aktiv ist.
  • Fehlerbehebung: Methode behoben das „Backend verstecken“ zu umgehen.
  • Fehlerbehebung: Warnungen werden nicht mehr beim Speichern eines Benutzerprofils mit der ausgewählten Rolle „Keine Rolle für diese Website“ generiert.

6.3.0

  • Wichtig: Die Art und Weise, wie die „Backend verstecken“-Funktionen funktioniert, ändert sich in dieser Version. Früher, wenn deine „Backend verstecken“-Anmeldetitelform wplogin war und du example.com/wplogin aufriefst, würde die URL unter example.com/wplogin verbleibenden. Die neue Implementierung dieser Funktion führt zu einer Weiterleitung zu einer URL, die wie folgt aussieht: example.com/wp-login.php?itsec-hb-token=wplogin. Obwohl dies für einige Benutzer nicht wünschenswert ist, war diese Änderung notwendig, um langjährige Kompatibilitätsprobleme mit anderen Plugins zu beheben. Sobald du mit der Anmeldetitelformseite auf die Anmeldeseite zugreifst, wird ein Cookie mit einer Ablaufzeit von einer Stunde gesetzt. Solange das Cookie verbleibt, kannst du auf example.com/wp-login.php zugreifen, ohne vorher auf die „Backend verstecken“-Anmeldetitelform zuzugreifen. Wenn du sicher gehen möchtest, dass „Backend verstecken“ auf deiner Website ordnungsgemäß funktioniert, ist das Öffnen eines privaten Browser-Fensters eine schnelle Möglichkeit dies zu testen, ohne sich abmelden und die Cookies löschen zu müssen.
  • Neue Funktion: Unterstützung für iThemes Sync, um die Sicherheitsüberprüfungsfunktion aus dem Sync-Dienst auszuführen.
  • Neue Funktion: Unterstützung für die ITSEC_DISABLE_MODULES definiert.
  • Fehlerbehebung: Warnung: „Non-static method ITSEC_Setup::uninstall() should not be called statically“ entfernt.
  • Fehlerbehebung: Möglichkeit behoben, manuell eine Seitennummer einzugeben, um auf der Sicherheits- > Protokollseite zu navigieren.
  • Fehlerbehebung: Warnungsquelle behoben, die beim Erstellen eines Backups beim Ausführen einer PHP-Version unter 5.4 auftreten könnte.
  • Fehlerbehebung: Hinweisquelle behoben, die beim Zurücksetzen des Passworts eines Benutzers angezeigt werden könnte, wenn die Funktion „Sichere Passwörter“ aktiviert ist.
  • Fehlerbehebung: Fehler behoben, die die Berichterstattung über bestimmte Fehlermeldungen im Zusammenhang mit der Aktualisierung der Datei wp-config.php verhinderten.
  • Fehlerbehebung: Eine Endlosschleife wurde behoben, die auftreten könnte, wenn ein Cookie ausläuft und „Backend verstecken“ aktiviert ist.
  • Fehlerbehebung: Kompatibilitätsproblem mit dem Jetpack-Plugin behoben, wenn „Backend verstecken“ aktiviert ist, welches verhindern könnte, dass Jetpack-Benutzer auf die WordPress.com-Anmeldeseite weitergeleitet werden.
  • Fehlerbehebung: Problem bei dem der Zugriff auf wp-admin/admin-post.php behoben, wenn Backend verstecken aktiv ist.
  • Fehlerbehebung: Problem behoben, welches verhindern könnte, dass die „Registrieren“- und „Passwort verloren?“-Links auf der Anmeldeseite ordnungsgemäß funktionieren, wenn Backend verstecken aktiviert ist.
  • Fehlerbehebung: Schwerwiegender Fehler beim Aktualisieren eines Profils behoben.
  • Fehlerbehebung: Korrektur, dass Starke Passwörter nicht als stark auf der Profilseite erkannt werden.
  • Fehlerbehebung: Schwerwiegender Fehler bei der Registrierung eines neuen Benutzers ohne Angabe einer Rolle behoben (iThemes Exchange).
  • Fehlerbehebung: Kompatibilität mit JetPack SSO und Password Requirements.
  • Fehlerbehebung: Sicherstellung, dass das Viewport-Meta beim Laden des Passwortanforderungsaktualisierungs-Passwortformulars definiert ist.
  • Fehlerbehebung: Backend verstecken ist jetzt kompatibel mit Jetpack Single Sign On.
  • Fehlerbehebung: Backend verstecken versteckt nun Registrierungsseiten bei Netzwerk-Websites.
  • Fehlerbehebung: Behoben, dass passwortgeschützte Beiträge das Passwort nicht ordnungsgemäß behandeln haben, wenn Backend verstecken aktiv ist.
  • Verbesserung: AhrefsBot aus der schwarzen Liste von HackRepair entfernt, da sie legitim sind.
  • Verbesserung: Verbesserte Effizienz des „Backend verstecken“-Quelltextes zur Erhöhung der Website-Performance, wenn die Funktion aktiviert ist.
  • Verbesserung: Erzwingung von starken Passwörtern bei der Anmeldung. Kann über die Konstante ITSEC_DISABLE_PASSWORD_REQUIREMENTS deaktiviert werden.
  • Verbesserung: Verwendung der kanonischen Rollenbibliothek, um festzustellen, ob ein neuer Benutzer oder eine aktualisierte Rolle ein starkes Passwort benötigt.
  • Verbesserung: Passwortanforderungsmodul eingeführt, um die Handhabung von Passwortaktualisierungen zu zentralisieren.
  • Verbesserung: Die Backend verstecken verborgene Anmelde-URL ist nicht mehr durch passwortgeschützte Inhalte ersichtlich.
  • Verbesserung: Ermöglichung des Durchsuchens von Modulen und Einstellungen.
  • Verbesserung: Link zu anderen Modul-Einstellungsseiten, ohne die Seite zu aktualisieren.
  • Verbesserung: Ausführung einer Action, „itsec_change_admin_user_id“, wenn sich die Admin-Benutzer-ID ändert.
  • Verbesserung: Standard-„Backend verstecken“-Registerungstitelform von wp-register.php zu wp-signup.php geändert, da WordPress von wp-register.php auf wp-signup.php für Registrierungen umgestellt hat. Dies wirkt sich nicht auf bestehende Websites aus.
  • Verbesserung: „Backend verstecken“-Funktionen nun rein in PHP-Quelltext anstatt zur Hälfte auf PHP-Quelltext und die Hälfte auf .htaccess- und nginx.conf-Modifikationen zu setzen. Dies ermöglicht „Backend verstecken“ auf Webservern und Serverkonfigurationen zu funktionieren, mit denen es bisher nicht kompatibel war.
  • Sonstiges: phpDoc zu vielen Funktionen aktualisiert oder hinzugefügt.
  • Sonstiges: „Dateisperrungen deaktivieren“-Beschreibung aktualisiert.

6.2.1

  • Fehlerbehebung: Wenn eine anfordernde IP-Adresse nicht gefunden werden kann, wird diese standardmäßig auf 127.0.0.1 gesetzt. Dies behebt Probleme mit einigen alternativen Cron-Setups.
  • Fehlerbehebung: Mehr als eine Änderung durch iThemes Security in einer .htaccess-, nginx.conf- oder wp-config.php-Datei wird nicht mehr dazu führen, dass aller Dateiinhalt zwischen jedem Abschnitt beim Aktualisieren der Datei entfernt wird.
  • Fehlerbehebung: Änderungen an der wp-config.php-Datei, die von W3 Total Cache hinzugefügt wurden, behalten nun ihre neuen Windows-Style-Zeilen, wenn iThemes Security die Datei aktualisiert.

6.2.0

  • Verbesserung: Verbesserte Plugin-Performance durch die Verringerung der Anzahl der auf jeder Seite vorgenommenen Abfragen.
  • Verbesserung: Reduzierte Arbeitsspeicher- und CPU-Auslastung durch diverse Quelltextverbesserungen.
  • Fehlerbehebung: Bei der ersten Aktivieren des Plugins wird keine Datenbanksicherung mehr erstellt.
  • Fehlerbehebung: Kompatibilität für den MySQL Strict Modus im Datenbankerstellungs-Syntax hinzugefügt.
  • Fehlerbehebung: Warnung über einen „nicht gut gebildeten numerischen Wert“ unter PHP 7.1 entfernt.
  • Fehlerbehebung: Änderungen an den Dateien wp-config.php, .htaccess und nginx.conf werden nun bei der Reaktivierung ordnungsgemäß wieder hinzugefügt.
  • Fehlerbehebung: Nach dem Deaktivieren der Funktion und beim Speichern der Einstellungen wurden die vollständigen Einstellungen für „Backend verstecken“ angezeigt.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert den Abmelden-Link, sodass er wie erwartet funktioniert, ohne eine neue Seite laden zu müssen.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert nun die .htaccess/nginx.conf-Datei bei der Aktivierung und Deaktivierung, statt an einem zukünftigen Punkt.
  • Fehlerbehebung: Problem behoben, das eine falsche Datenbanktabellenerstellung bei Netzwerk-Websites verursachen könnte.
  • Fehlerbehebung: Ein Fehler wurde behoben der verhindert, dass Einstellungen ordnungsgemäß gespeichert wurden, wenn die Website auf einen neuen Server oder einen neuen „Home“-Pfad auf dem Server migriert wurde.

6.1.1

  • Fehlerbehebung: Ein Fehler wurde behoben, durch den der Abwesenheitsmodus auf einigen Websites nicht aktiviert werden konnte.

6.1.0

  • Verbesserung: Protokollierung für fehlgeschlagene Zwei-Faktor-, OAuth- und REST-API-Authentifizierungen hinzugefügt.
  • Verbesserung: Protokollierungsdetails über die Quelle der Anmeldefehler und die Art der Authentifizierung, die fehlgeschlagen ist, hinzugefügt.
  • Erweiterung: Durch Verbesserungen bei der Verfolgung von Authentifizierungsfehlern werden Brute-Force-Versuche, die alternative Authentifizierungsmethoden verwenden, zuverlässiger gefunden und blockiert.
  • Verbesserung: Die IP-Adresse des Servers wird als weiß gelistet behandelt und gilt nicht für Aussperrungen oder Verbote.
  • Verbesserung: Reduzierter Speicherverbrauch beim Erstellen eines Backups.
  • Verbesserung: Geänderte Protokolleintragsbeschreibung von „IP wurde als Bedrohung durch den iThemes IPCheck markiert“ zu „IP wurde durch den Netzwerk-Brute-Force-Schutz als Bedrohung markiert“. Dies sollte dazu beitragen, die Bedeutung des Protokolleintrags zu klären.
  • Verbesserung: Verbesserte Effizienz der Netzwerk-Brute-Force-Schutzfunktion.
  • Fehlerbehebung: Fehler behoben der verhinderte, dass der Netzwerk-Brute-Force-Schutz auf einigen Websites ordnungsgemäß funktioniert.

6.0.0

  • Fehlerbehebung: „comodo“ aus der Liste der blockierten User Agents der schwarzen Liste von HackRepair.com entfernt. Damit ist sichergestellt, dass Comodo’s AutoSSL-Funktion von cPanel/WHM funktionieren kann.
  • Funktion aktualisiert: Die „REST-API“-Funktion unter WordPress-Optimierungen wurde aktualisiert. Diese Funktion verfügt nun über eine ordnungsgemäße Unterstützung für den Schutz der Privatsphäre deiner Website ohne, dass die REST-API daran gehindert wird funktionsfähig zu bleiben.
  • Verbesserung: Sicherheitsüberprüfung zum Erzwingen des Setzens der Einstellung „REST API“ auf „Eingeschränkter Zugriff“ aktualisiert.

5.9.0

  • Neue Funktion: Eine „REST-API“-Funktion unter WordPress-Optimierungen hinzugefügt. Mit dieser neuen Funktion kann der Zugriff auf die REST-API blockiert oder einschränkt werden.

5.8.1

  • Fehlerbehebung: Problem behoben, das dazu führen konnte, dass Datenbanksicherungs-E-Mails ohne den ZIP-Backup-Anhang gesendet wurden.

5.8.0

  • Verbesserung: Aktualisierung der Benachrichtigungs-E-Mail für Aussperrungen auf ein neues Design. Das neue Design räumt auch die Übersetzungs-Strings auf, um bessere Übersetzungen zu ermöglichen.
  • Neue Funktion: „Gegen Tabnapping schützen“-Funktion unter dem Abschnitt WordPress-Optimierungen hinzugefügt. Informationen darüber, wovor diese Funktion schützt, sind hier zu finden: https://www.jitbit.com/alexblog/256-targetblank—the-most-underestimated-vulnerability-ever/
  • Sonstiges: Die Beschreibung für die Sperrzeitraumeinstellung wurde aktualisiert, um darauf hinzuweisen, dass der Standardwert von 15 Minuten empfohlen wird.

5.7.1

  • Fehlerbehebung: Remote-IPs werden nun korrekt identifiziert, wenn der Server hinter einem Reverse-Proxy ist, der Anfragen mit mehr als einer IP sendet, die in einem einzigen Header aufgelistet sind.
  • Fehlerbehebung: Den Link für Benutzer auf der Protokollseite wurde korrigiert, sodass dieser korrekt auf Websites funktioniert, die sich in einem Unterverzeichnis befinden.
  • Fehlerbehebung: Verbessert, wie Sichere Passwörter erzwingen mit zurückgesetzten Passwörtern umgeht, um die Kompatibilität mit verschiedenen Plugins zu verbessern.
  • Fehlerbehebung: Verbesserung der Logik für die Bestimmung, ob für einen Benutzer starke Passwörter erzwungen werden sollte. Dies umfasst Situationen, in denen der Benutzer eine individuelle Rolle, eine individuelle Standardrolle oder zusätzliche Kompetenzen über seine Rolle hinaus hinzugefügt wurden.
  • Verbesserung: Die Logik für die Bestimmung der anfordernden IP-Adresse wurde verbessert, um Situationen besser zu behandeln, in denen die Website hinter einem Reverse-Proxy liegt.
  • Verbesserung: Sichere Passwörter erzwingen verwendet jetzt einen PHP-Port von zxcvbn, um sicherzustellen, dass ein sicheres Passwort ausgewählt wurde.
  • Verbesserung: Alle Links unter Sicherheit, die über target=“_blank“ verfügen, besitzen nun zum Schutz vor Tabnapping über rel-Attribute.
  • Sonstiges: Verbleibende ip-lookup.net Links zu traceip.net verlinkt, um im Einklang mit anderen Links zu sein, die zuvor auf traceip.net aktualisiert wurden.

5.7.0

  • Fehlerbehebung: Fehler beim Speichern von Daten behoben, der dazu führen konnte, dass mehrere Benachrichtigungs-E-Mails in kurzer Zeit gesendet wurde.
  • Fehlerbehebung: Es wurde ein Problem behoben, welches dazu führen könnte, dass die Malware-Prüfung auf Websites versagt, die den Wert ph_sparator.output php.ini gegenüber seinem Standardwert geändert haben.
  • Fehlerbehebung: Redundante Einträge in der schwarzen Liste von HackRepair entfernt.
  • Fehlerbehebung: Das Aktivieren von Systemdateien schützen unter System-Optimierungen blockiert nun nur die install.php für die aktuelle Website. Dies behebt das Problem, bei dem die Einstellung die Installation einer Website in einem Unterverzeichnis blockieren kann.
  • Fehlerbehebung: Problem behoben, das aufgrund großer Mengen von Protokolleinträgen, Anfragen über iThemes-Sicherheitsdaten von iThemes Sync fehlschlagen könnten.
  • Fehlerbehebung: Geplante Backups werden nun auch ausgeführt, wenn die Definition ITSEC_BACKUP_CRON auf einen nicht-booleschen Wert gesetzt wurde.
  • Fehlerbehebung: Ersetzung von statischen Verweisen auf wp-includes mit der WPINC-Definierung.
  • Fehlerbehebung: Blockierung von Abfragezeichenfolgen mit den Zeichen %0[0-9A-F] aus der Einstellung „Nicht-Englische Zeichen“ in die Einstellung „Verdächtige Abfragezeichenfolgen“ verschoben, da diese Zeichen Kontrollcodezeichen sind und nicht mit einer Sprache verknüpft sind.
  • Fehlerbehebung: Escaping zu einigen Übersetzungszeichenfolgen hinzugefügt.
  • Fehlerbehebung: Ungenutzte Dateien aus dem WordPress-Optimierungen-Modulverzeichnis entfernt.
  • Fehlerbehebung: Behoben, dass in der tägliche Zusammenfassungs-E-Mail die Benutzer- und Host-Aussperrungen rückwärts zählen.
  • Fehlerbehebung: Die Datenbank-Backup-E-Mail wird nicht mehr von der E-Mail-Adresse unter Einstellungen > Allgemein gesendet. Es greift nun standardmäßig auf die gleiche Adresse zu, die die Funktion wp_mail() verwendet. Dies behebt das Problem, das die E-Mail von einigen E-Mail-Servern aufgrund einer Manipulation der Adresse blockiert wird.
  • Verbesserung: Die Server-Konfigurationsregeln wurden aktualisiert, die von den System-Optimierungseinstellungen erstellt wurden. Sie sind nun einheitlicher zwischen Apache, LiteSpeed und nginx. Sie sind auch effizienter und wurden verbessert, um die versehentliche Sperrung von nicht gezielten Anfragen zu begrenzen.
  • Verbesserung: Die Datenbank-Backup-E-Mail wurde auf ein neues Design aktualisiert.
  • Verbesserung: Eine Notiz hinzugefügt, dass die Einstellung „Anfragemethoden filtern“ unter System-Optimierungen nicht aktiviert werden sollte, wenn die WordPress-REST-API verwendet wird. Das liegt daran, weil die DELETE HTTP-Methode blockiert wird, wenn diese Einstellung aktiviert ist.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Plugin-Verzeichnis unter System-Optimierungen.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Theme-Verzeichnis unter System-Optimierungen.

5.6.4

  • Fehlerbehebung: Problem behoben, welches ungültige Zählungen für Host- und Benutzersperrungen in der täglichen Zusammenfassungs-E-Mail gemeldet hat.
  • Fehlerbehebung: Problem behoben, dass die tägliche Zusammenfassungs-E-Mail jeden Tag gesendet wurde, auch wenn keine Aussperrungen auftraten und keine Dateiänderungen gefunden wurden.
  • Fehlerbehebung: Problem behoben, welches das Speichern der Dateiänderungseinstellungen verhindern könnte, das zu einer Fehlermeldung von „Eine Validierungsfunktion für Dateiänderungen empfing Daten, die nicht den erforderlichen Eintrag für latest_changes hatte.“ führt.
  • Fehlerbehebung: Behoben, dass das iThemes Security-Pro-Logo in den täglichen Zusammenfassungs-E-Mails erscheint.

5.6.3

  • Fehlerbehebung: Den „Wget“ User Agent aus der schwarzen Liste von Hack Repair entfernt, da er wp-cron-Jobs auf einigen Hosts blockieren kann.
  • Fehlerbehebung: Fehler „PHP message: PHP Fatal error: ‚continue‘ not in the ‚loop‘ or ’switch‘ context“ behoben.
  • Verbesserung: Neues tägliches Zusammenfassungs-E-Mail-Design hinzugefügt.

5.6.2

  • Sicherheitskorrektur: Problem behoben, bei dem eine gesperrte IP/Benutzer, die aber noch nicht schwarzgelistet ist, bei der Überprüfung eines gültigen Benutzernamens/Passwortkombination unterschiedliche HTTP-Header erhalten konnte. Dank an Leon Atkinson von 18INT für die Kontaktaufnahme mit uns über diesen Fehler.
  • Sicherheitskorrektur: Protokollausgabe aktualisiert, um zu verhindern, dass bestimmte Arten von protokollierten Anfragen ohne Desinfektion (sanitization) angezeigt werden. Danke an Slavco Mihajloski für die Kontaktaufnahme zu diesem Thema.
  • Fehlerbehebung: Der Sicherheit > Sicherheitsüberprüfungslink funktioniert nun wie erwartet im Netzwerk.
  • Fehlerbehebung: Fehler behoben, der verhindern könnte, dass die Funktion „Lange URL-Zeichenfolgen filtern“ ordnungsgemäß funktioniert.
  • Fehlerbehebung: Einschränkungen in der „Lange URL-Zeichenfolgen filtern“-Funktion entfernt, die nicht mit der Länge der Anfrage verbunden waren.
  • Fehlerkorrektur: Ein Tippfehler einer Einstellungsbeschreibung unter Globale Einstellungen korrigiert.
  • Fehlerbehebung: Fehler behoben, der über XML-RPC zu Authentifizierungsproblemen führen könnte, wenn die Einstellung WordPress-Optimierungen > „Mehrere Authentifizierungsversuche per XML-RPC-Anfrage“ auf „Blockieren“ gesetzt ist.
  • Sonstiges: Platzhalter für das Versionsverwaltungsmodul von iThemes Security Pro hinzugefügt.
  • Sonstiges: Build-Nummer aktualisiert, um einige Aktualisierungen auszulösen.

5.6.1

  • Fehlerbehebung: Es wurde ein potenzielles Protokollierungsproblem behoben, welches verhindern könnte, dass einige Sperrhinweise auf nicht-englischen Websites protokolliert werden.
  • Fehlerbehebung: Unterbindung einiger Hinweise für Benutzer, die diese nicht sehen müssen.
  • Fehlerbehebung: Anzeige von Hinweisen auf bestimmte Seiten auf dem Dashboard begrenzt.
  • Kompatibilitätskorrektur: Name der Variable $HTTP_RAW_POST_DATA geändert, um eine fehlerhafte Auslösung von PHP 7-Kompatibilitätsprüfungen zu vermeiden.
  • Quelltextbereinigung: Legacycode entfernt, der nicht mehr benötigt wird.
  • Verbesserung: Tracking gestartet, wenn ein Benutzer zuletzt als angemeldet gesehen wurde und für die zukünftige Verwendung aktiv ist.
  • Sonstiges: Platzhalter für die Pro-Funktion „Benutzer-Sicherheitsüberprüfung“ hinzugefügt.

5.6.0

  • Neue Funktion: Auf der Einstellungsseite wurde ein neuer Sicherheitsüberprüfungsabschnitt hinzugefügt. Diese neue Funktion fügt ein Werkzeug hinzu, um schnell sicherzustellen, dass die empfohlenen Funktionen aktiviert sind und die empfohlenen Einstellungen verwendet werden.
  • Fehlerbehebung: Die Möglichkeit, die Datei itsec_away.confg zu entfernen, um den Abwesenheitsmodus zu deaktivieren, wurde behoben.
  • Verbesserung: Die Einstellung „Sperrlisten“ unter Benutzersperrung ist nun standardmäßig aktiviert.