Solid Security – Password, Two Factor Authentication, and Brute Force Protection


Reduce your WordPress website’s risk to nearly zero with Solid Security

Formerly iThemes Security. Looking for iThemes? Learn more here.

On average, 30,000 websites are hacked every day.* Cyberattacks in the US increased by 57% in 2022.** Bad actors who want to hack your site, steal your data, and cripple your business are a 24/7/365 threat.

You need a proactive, strategic approach to WordPress website security that protects your site from brute force attacks, malware infections, and other cyber threats.

Solid Security shields your site from cyberattacks and prevents security vulnerabilities. It automatically locks out bad users identified by our Brute Force Protection Network that is nearly 1 million sites strong and leverages your own blacklist. It secures and protects your most commonly attacked part of your WordPress website – user login authentication.

With Patchstack integration (Pro) protects your site before you even have a chance to address vulnerabilities and before a plugin or theme vendor or developer can even issue a patch.

That’s 24/7/365 always-on truly Solid Security.

🌐 Secure your Website in Minutes

The Solid Security setup and onboarding experience allows anyone to secure their WordPress website in under 10 minutes, regardless of technical acumen. Knowing that you have enabled all the right security settings for your website will leave you feeling like your site has never been more secure.

📚 Security Site Templates to Fit Your Type of Site

Enabling the correct security settings based on the type of website you are building or maintaining is essential for proper security. An eCommerce site requires a different level of security than a basic blog. Solid Security Site Templates make it quick and easy to apply the right security settings for your website.

Choose from six different site templates to apply the type of security your site needs:

  1. Ecommerce – websites that sell products or services
  2. Network – websites that connect people or communities
  3. Non-Profit – websites that promote your cause and collect donations
  4. Blog – websites that share your thoughts or start a conversation
  5. Portfolio – websites that showcase your craft
  6. Brochure – simple websites that promote your business

⌚ Real-Time Website Security Dashboard

Every day, lots of activity is happening on your website that you can’t see. Many of these activities can be related to your site’s security, so monitoring these events is vital to keeping your site secure.

The Solid Security Pro plugin provides a real-time WordPress security dashboard that monitors security-related events on your site around the clock. The Solid Security Dashboard is a dynamic dashboard with all your WordPress website’s security activity stats in one place, including brute force attacks, banned users, active lockouts, site scan results, and user security stats (Pro).

🗝️ WordPress Login Security

Setting up and maintaining proper WordPress configurations and managing user account access are essential aspects of hardening your site against threats and vulnerabilities. Basic and Pro include features that address both of these factors.

  • Two Factor Authentication (2FA) – Make your WordPress login nearly impenetrable to attack by requiring users to enter a security code along with a password to login. The Solid Security plugin allows you to add two-factor authentication to your WordPress login with several authentication methods, including mobile apps like Authy and Google Authenticator, email, and backup codes.

  • Password Requirements – Create and enforce a password policy for your users in less than a minute.

  • reCAPTCHA (Pro) – Stop bad bots from engaging in abusive activities on your website, such as attempting to break into your website using compromised passwords, posting spam, or even scraping your content.

  • Passwordless Logins (Pro) – WordPress security made easy. Secure your user accounts with 2fa & strong passwords while allowing real users login with a click of a mouse.

  • Trusted Devices (Pro) – Identify the devices you and other users use to block session hijacking attacks and limit Administrator privileges to Trusted Devices.

  • Automated Vulnerability Patching (Pro) – Solid Security Pro includes Patchstack which patches vulnerabilities before you have a chance to and applies fixes even before a plugin developer or vendor has issued a patch.

Learn more about how passwordless login is the future and how Solid Security can help you implement it today.

👨‍👩‍👧‍👦 The Right Amount of Security for Every User Level

Different types of user levels require different levels of security. During the Solid Security setup process, you can identify your website’s key user groups. Once the different types of users are identified, you can apply the level of security that is just right for each user group.

Here are a couple of examples of how User Groups are useful for securing your site:

  • For Clients – Let’s say you are configuring Solid Security on a client’s website. You will decide whether or not they are required to use two-factor authentication and if they should have access to the Solid Security settings.

  • For Customers – If you have an eCommerce website, you will decide whether or not you want to protect customer accounts with a password policy.

Privilege Escalation (Pro) also adds a safe, secure way to grant temporary admin-level access to your website.

🤖 Block Bad Bots & Ban User Agents with Lockouts

  • Ban Users (Basic and Pro) – Permanently block repeat offenders from accessing your site.
    Local Brute Force Protection – Automatically identify and stop the most common method of attack on WordPress sites.

  • Local Brute Force Protection (Basic and Pro) – Automatically identify and stop the most common method of attack on WordPress sites.

  • Network Brute Force Protection (Basic and Pro) – The network is the Solid Security community and is nearly one million websites strong. If someone tries to break into websites in the Solid Security community, Solid Security will block them across the network.

  • Magic Links (Pro) – Security shouldn’t get in your way. Magic Links allow you to log in to your WordPress site while your username is locked out by the Solid Security Local Brute Force Protection feature.

🔍 Monitor Your Site’s Security Health

  • File Change Detection (Basic and Pro) – Solid Security logs changes made to your website that can help detect malicious activity on your website.

  • Site Scanner (Basic and Pro) – Enable twice-daily checks for known vulnerabilities of WordPress core file, plugins and themes. Using the Google Safe Browsing API, the Site Scan also checks your Google’s blocklist status and will alert you if Google has found any malware on your website.

  • Site Scanner (Pro) – Unlock Version Management to automatically apply a patch to vulnerable software detected by the Site Scan when one is available.

  • User Logging (Pro) – Keep a record of user activity in your WordPress security logs, including login/logout, user registration, adding/removing plugins, switching themes, changes to posts and pages, and more.

  • Version Management (Pro) – The Version Management feature in Solid Security Pro allows you to auto-update WordPress, plugins, and themes. Beyond that, Version Management also has options to harden your website when you are running outdated software and scan for old websites.

🛠️ Website Security Utilities

  • Enforce SSL – Force all connections to the website to be made over SSL/TLS.

  • Database Backups – Create backups of your WordPress database. (Not a complete backup.)

  • Geolocation (Pro) – Improve Trusted Devices by connecting to an external location or mapping API.

🚀 Advanced Security Tools

  • Identify Server IPs – Prevent issues caused by inadvertently locking out your server IPs.
  • Change User ID 1 – Change the user ID for the first WordPress user, potentially preventing attacks that assume the user with ID1 exists and is an administrator.
  • Change Database Prefix – Change the database prefix that WordPress uses, potentially preventing attacks that assume the database prefix is „wp_“.
  • Check File Permission – See the file and directory permissions of key areas of your site.
  • Server Config Rules – View or flush the server security rules generated by Solid Security.
  • wp-config.php Rules – View or flush the wp-config.php security rules generated by Solid Security.
  • Change WordPress Salts – Secure your site after a successful attack by changing the WordPress salts used to secure cookies and security tokens.
  • Hide Login URL – change the login URL of your site, making it harder for bots to find your login page and attack it.

🛟 Need Help?

Free support may be available with the community’s help in the support forums. Our Solid Security support team provides top-notch technical support to all our Solid Security Basic users there.

Our Help Center will help you become an iThemes Security expert.

Get additional peace of mind with professional support from our expert team and pro features to take your site’s security to the next level with Solid Security Pro.

Recover From a Hacked Site

Solid Security makes regular backups of your WordPress database, allowing you to get back online quickly in the event of a hack or security breach. Use Solid Security to create and email database backups on a customizable schedule.

For complete site backups and the ability to restore or move WordPress to a new host or domain, check out Solid Backups.

Solid Central Integration

Manage more than one WordPress site? Release lockouts and keep your themes, plugins, and WordPress core up to date from one dashboard with Solid Central.

*Zippia. „30 Crucial Cybersecurity Statistics [2023]: Data, Trends And More“ Jun. 15, 2023,



Veröffentlicht unter den Bestimmungen der GNU General Public License.


  • Customized onboarding configures your security settings to your needs
  • Real-Time Security Dashboard
  • WordPress Login Security with Two Factor Authentication
  • Firewall rules, Block Bad Bots, and Ban User Agents with Lockouts
  • Monitor Your Site's Security Health
  • Database backups help you get up and running again when the worst happens
  • Advanced Security Settings for power users
  • Automated vulnerability patching with Patchstack (Pro)


Dieses Plugin unterstützt 1 Block.

  • Solid Security User Security Settings


Why does Solid Security require the latest WordPress version? Can’t I use a slightly older version?

  • Eine der besten Sicherheitspraktiken für einen WordPress-Website-Inhaber ist die Software auf dem aktuellen Stand zu halten. Aus diesem Grund testen wir dieses Plugin nur mit der neuesten stabilen Version von WordPress und garantieren nur, dass es mit der neuesten Version funktioniert.

Wird dieses Plugin alle Angriffe auf meine Website stoppen?

  • No. Solid Security is designed to help improve the security of your WordPress installation from many common attack methods, but it cannot prevent every possible attack. Nothing replaces diligence and good practice. This plugin makes it a little easier for you to apply both.

Ist dieses Plugin nur für neue WordPress-Installationen oder kann es auch bei bestehenden Websites verwendet werden?

  • While Solid Security can be installed on either a new or existing site, we strongly recommend making a complete backup of your existing site before applying any features included in this plugin.

Funktioniert dieses Plugin auf allen Servern und Hosts?

  • Solid Security requires Apache or LiteSpeed and mod_rewrite or NGINX to work.

Welche Änderungen macht dieses Plugin, die meine Website lahmlegen können?

  • Solid Security makes significant changes to your database and other site files which can be problematic for existing WordPress sites. Again, we strongly recommended making a complete backup of your site before using this plugin. While problems are rare, most support requests involve the failure to make a proper backup before installation. DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.


28. November 2023
I've been using Solid Security (iThemes) for several years now and the support has always been quick and helpful. Thank you.
14. November 2023
Our new LearnDash Cloud site came with SolidSecurity and the plug-in has worked great. I've also found that their support team is prompt and very competent when we have questions.
9. November 2023 2 Antworten
Now need to clean over 14 different installations, and totally forget I have ever spent money & time on this company for lifetime license ended very very fast ~2years that I had it, and guess what? now I'm forced to what? pay you monthly? yearly? why? because you changed name? congrats! at least give us one site license for new plugin to be lifetime or something like this now you just robed us all!Horrible company practices, no one should ever trust them again.
4. November 2023 4 Antworten
I'm a pro user and my website was infected while this plugin was installed, so it was not really helpful to prevent the infection. Luckily I also use other malware scanners and I was warned about the following issue: WordPress Solid Security Plugin <= 9.0.0 is vulnerable to Sensitive Data Exposure btw since a week I'm also not able to use my pro license because the solid WP setting page is not appearing, and the support is not very helpful. Given this actually I'm not very satisfied with the plugin, I'm considering switching to other solutions.
3. November 2023 1 Antwort
For me it didn't find any issues, while site was full of malware. Other plugins found hundreds of infected files. Also first setup process is a bit annoying.
1. November 2023 1 Antwort
Thank you for a great plugin & amazing support through the years! Great uplift with "solid security" congrats! 🎉
Alle 3.926 Rezensionen lesen

Mitwirkende & Entwickler

„Solid Security – Password, Two Factor Authentication, and Brute Force Protection“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:


„Solid Security – Password, Two Factor Authentication, and Brute Force Protection“ wurde in 19 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „Solid Security – Password, Two Factor Authentication, and Brute Force Protection“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.



  • New: Refreshed UI for manging per-user security settings like Two-Factor. The previous Two-Factor UI can be enabled using the SOLID_SECURITY_LEGACY_2FA_UI constant.
  • New: A new block „Solid Security User Security Settings“ let’s you display this UI on the front-end of your website. The [solid_security_user_profile_settings] shortcode can be used if you’re not yet using the Block Editor.
  • Important: Solid Security now requires WordPress 6.3 or later.
  • Enhancement: Display a snackbar notice when sending a 2FA reminder from the Site Scan page.
  • Enhancement: Include a link directly to the Patchstack database in the Site Scanner alert email.
  • Tweak: Remove iThemes Security is now Solid Security banners from the admin.
  • Bug Fix: Trying to enable Network Brute Force from the Security messages center linked to the wrong place.
  • Bug Fix: During onboarding, a double scrollbar was displayed on some screen sizes.


  • New: Add support for creating custom firewall rules.
  • Enhancement: Add support for configuring firewall settings from the Firewall page.
  • Bug Fix: The firewall page would appear empty when geolocation could not retrieve a country code.


  • Bug Fix: Remove an extra folder containing duplicate plugin files


  • Bug Fix: Adding missing dist files to SVN


  • Security: Don’t disclose the login URL when using Hide Backend on a site with comments enabled and comment registration required. Thanks to Naveen Muthusamy for disclosing this issue.
  • Hardening: Check for the promote_user capability when using Privilege Escalation in addition to edit_user.
  • Tweak: Remove the iThemes Security is now Solid Security banner from admin-facing email notifications.
  • Bug Fix: Prevent the User Security page from crashing when „Show Avatars“ is disabled in the WordPress discussion settings.
  • Bug Fix: Fix some filters on the User Security page not working as expected.
  • Bug Fix: Fix spacing on the Two-Factor form when backup methods are enabled.
  • Bug Fix: Fix fatal error when there is an error retrieving Patchstack license information.
  • Bug Fix: Styling issues on WordPress 6.4.


  • New: iThemes Security is now Solid Security! Learn More:
  • Important: Solid Security now requires WordPress 6.2 or later.
  • New: The Firewall screen brings together the Firewall functionality Solid Security provides into one easy to use screen. More Firewall features are coming soon!
  • New: The Vulnerabilities screen identifies what vulnerable software you have on your site and guides you through next steps.
  • New: Identify risks in your site’s security with the the expanded Site Scan functionality.
  • New: The User Security screen keeps you appraised of the security practices your site’s users are following. Easily apply actions to multiple users in one-click like resetting passwords or logging out active sessions.
  • Enhancement: The dashboard and settings screens have been redesigned to make it easier to find what you’re looking for.
  • Enhancement: The Security Summary dashboard card gives you a snapshot of the most important security issues affecting your site.
  • Enhancement: Add support for loading Solid Security via an MU-Plugin for improved performance when blocking attackers.
  • Tweak: Remove the IP Tracker Online link from the logs page.
  • Bug Fix: PHP 8.2 compatibility.
  • Bug Fix: Resolved PHP warnings when unexpected data is encountered during software updates.


  • News: iThemes Security is becoming Solid Security soon. Learn More:


  • Important: Enforce encryption for Two-Factor secrets.
  • Tweak: Add Stellar and Solid banners.
  • Bug Fix: Don’t require „Write to Files“ to be enabled to use the „Rotate Encryption Key“ tool.


  • Bug Fix: Fallback to the homepage when Enforce SSL encounters a non-safelisted redirect destination.
  • Bug Fix: IP Detection on sites behind Load Balancers that appended their IP address to X-Forwarded-For and did not provide a Real IP header.


  • Security Hardening: Prevent open redirects attacks against the Enforce SSL module. This attack requires spoofing the Host header which requires additional conditions to exploit. Thanks to nlpro for reporting the issue. Read More:
  • Bug Fix: Update Password Strength library to the latest version. This fixes discrepancies between the realtime password strength estimation and the enforced password strength.


  • Tweak: Add „All“ tab to the Features page.
  • Tweak: Don’t show „Ban“ buttons in Security Dashboard if the user won’t be able to create a ban.
  • Bug Fix: Prevent Headers Already Sent warning when a lockout occurs during a WP Cron request on some server setups.
  • Bug Fix: Manually load Sodium Polyfill for servers that have an older version of libsodium installed.
  • Bug Fix: Error when saving the File Change settings when the „notify_admin“ setting was set.
  • Bug Fix: Prevent a redirect loop when logging in on sites that take more than 5 seconds to load the Dashboard.


  • Important: iThemes Security now requires PHP 7.3 and WordPress 5.9 or later.
  • Security: Add support for encrypting Two-Factor Mobile App secrets. Enable via Tools -> Set Encryption Key.
  • Security: Deprecate Automatic Proxy Detection. Instead, manually configure Proxy Detection or use Security Check. Fix IP spoofing attacks.
  • Enhancement: Add „Ban Lockout“ button to the Active Lockouts card.
  • Bug Fix: File Logs not rotating.
  • Bug Fix: PHP warning when loading Icon Fonts in certain configurations.
  • Bug Fix: Don’t attempt to Hide Backend when a Cron request is being processed.
  • Bug Fix: Prevent entering invalid date values when selecting a custom date range in the Security Dashboard.
  • Bug Fix: Preliminary PHP 8.1 compatibility.
  • Bug Fix: File Change „notify_admin“ settings validation error.
  • Thanks to Calvin Alkan for reporting the security issues fixed in this release.


  • Tweak: Require a Title when creating a new Dashboard.
  • Bug Fix: Don’t attempt to send a Site Scan notification for Clean scans preventing a fatal error after scheduled site scans.


  • Bug Fix: Error when visiting the Notifications page after activating a module with notifications for the first time.
  • Bug Fix: Update deprecated withState usages to useState.


  • Important: iThemes Security now requires WordPress 5.8 or later.
  • New Feature: Include the full iThemes Security Site Scanner in iThemes Security Free. Scheduled scans are disabled by default.
  • Tweak: Add new „Go Pro“ page that includes an overview of features in iThemes Security Pro.
  • Bug Fix: Scroll to top of window when navigating.
  • Bug Fix: Allow searching for Password Requirements.
  • Bug Fix: Don’t load WordPress and System Tweaks modules when the ITSEC_DISABLE_MODULES constant is enabled.
  • Bug Fix: Prevent incidentally loading the Two-Factor module when it is unregistered.
  • Bug Fix: Conditionally display the NGINX File Path setting.
  • Bug Fix: Allow saving Notifications when „default recipients must contain at least 1 item“ error is present.
  • Bug Fix: Help styling on WordPress 5.9.
  • Bug Fix: Compatibility with plugins that expected a logged-in user during lockouts.


  • Enhancement: Reintroduce Feature Flags management UI.
  • Tweak: Reposition „Advanced“ and „Tools“ menu items to be more readable on lengthy screens.
  • Bug Fix: When the Change Admin User tool is run, update any User Groups referencing the old user id.
  • Bug Fix: WordPress footer would appear in the middle of the logs page.
  • Bug Fix: Add missing translation strings file.


  • Bug Fix: Sites that did not support HTTPS, but had the SSL module active, but not configured, on upgrade would get redirected to the HTTPS version of the site.
  • Bug Fix: Unregister the iThemes Security Two-Factor module when the Two-Factor Feature Plugin is enabled.
  • Bug Fix: Allow activation on WordPress 5.7.0.
  • Bug Fix: Add missing textdomains.


  • Important: iThemes Security now requires WordPress 5.7 and PHP 7.0 or later.
  • New: iThemes Security gets a redesigned interface focused on making it easier to configure and find what you’re looking for. Read More:
  • New: Instantly search over everything in iThemes Security with a new instant search feature.
  • New: Security Tools have been grouped into their own page. „Identify Server IPs“ and „Security Check Pro“ can be run manually without using Debug Mode.
  • New: Relevant content from the Help Center, iThemes Blog, and iThemes YouTube channel is surfaced in a new Help area based on the current page. Click the „Help“ button in the toolbar or the „Info“ icon next to the page title to access it.
  • New: The settings UI is now fully responsive and works great across mobile, tablet, and desktop devices.
  • New: Two-Factor is now part of the core iThemes Security plugin.
  • Enhancement: Improved keyboard and screen reader support.
  • Enhancement: The Banned Users Card can add multiple bans at once.
  • Tweak: Add a new Global setting to control „Automatically Temporarily Authorize Hosts“.
  • Tweak: When the Global setting „Hide Security Menu in Admin Bar“ is enabled, notices will no longer be printed on non-iThemes Security pages. Instead, you can access the Message Center from the Settings or Dashbaord toolbars.
  • Tweak: The Database Backups module is no longer available if you have BackupBuddy installed. If this behavior isn’t desired, enable the „ITSEC_ENABLE_BACKUPS“ constant.
  • Tweak: The Geolocation API configuration used by Trusted Devices has been moved into it’s own dedicated „Geolocation“ module.
  • Tweak: Move „Have I Been Pwned“ integration to the Core plugin.
  • Tweak: Reduce filename length and complexity for built CSS and JS files.
  • Removed: The following modules have been removed: 404 Detection, Away Mode, Change Content Directory, and Multisite Tweaks.
  • Removed: The following WordPress and System Tweaks have been removed: Remove Windows Live Writer Header, EditURI Header, Comment Spam, Mitigate Attachment File Traversal Attack, Protect Against Tabnapping, Filter Long URL Strings, Filter Non-English Characters, Filter Request Methods, Remove File Writing Permissions.
  • Removed: The „Backup Full Database“ setting has been removed from the Backups module.
  • Removed: The „Require SSL“, „Front End SSL Mode“, and „SSL for Dashboard“ settings have been removed from the SSL module.
  • Fehlerbehebung: Behebung von fatalen Fehlern bei der Verwendung von PHP 8.
  • Fehlerbehebung: Behebung einer Endlosschleife bei der Einschränkung von App-Passwörtern auf Multisite-Installationen.
  • Bug Fix: Ensure the ITSEC_Setup class does not exist before trying to load it. Display schema errors on multisite in the Network Admin.
  • Bug Fix: Labels for Disable PHP Execution in Plugins and Themes were reversed.
  • Bug Fix: Add missing constants to the debug page.
  • Bug Fix: Remove deleted recipients when saving notifications.
  • Bug Fix: Correct Site Scan statuses for scans with no issues.
  • Dev Note: Modules are now based on a module.json configuration file. If you are registering custom iThemes Security module, you should update it to include a module.json file that adheres to the core/module-schema.json JSON Schema.
  • Dev Note: The Network Brute Force module had it’s folder updated to „network-brute-force“ from „ipcheck“.
  • Dev Note: New Object Oriented API for creating Password Requirements.
  • Dev Note: New Settings and Modules REST API endpoints.
  • Dev Note: New RPC REST API namespace. There is no backward compatibility promise for these API endpoints.


  • Sicherheitskorrektur: „Backend verstecken“-Umgehung behoben; Dank an Julio Potier für die Meldung dieses Problems.
  • Optimierung: Filter zum Kurzschließen von Sperr-APIs hinzugefügt.
  • Optimierung: Entfernt Nicht-SSL-Rückgriffe für Security Check Pro und die Versionsverwaltung.
  • Fehlerbehebung: Die Stile der Kontrollkästchen wurden überarbeitet.
  • Fehlerbehebung: Verbesserte Kompatibilität mit WP Engine.
  • Fehlerbehebung: Übergabe des WP_Error-Objekts an den wp_login_failed-Hook.
  • Fehlerbehebung: Verhinderung der wp_no_robots-Verfallswarnung unter WordPress 5.7.


  • Wichtig: iThemes Security benötigt WordPress 5.4 oder höher.
  • Verbesserung: Hinzufügen einer Einstellung zum Konfigurieren der Anzahl der hinzugefügten dauerhaften Aussperrungen zu den Serverkonfigurationsdateien (.htaccess/nginx.conf).
  • Verbesserung: Speicherung der Zeit, zu der eine dauerhafte Aussperrung hinzugefügt wurde und das für die dauerhafte Aussperrung verantwortliche Sperrmodul.
  • Verbesserung: Überschreibt die erkannte IP-Adresse von Restrict Content Pro mit der von iThemes Security erkannten IP.
  • Optimierung: Deaktiviert die SSL-Verifizierung bei der Durchführung des Loopback-Tests der Sicherheitsüberprüfung. Einige Hosts können Loopback-Anfragen nicht richtig verifizieren. Diese Überprüfung ist unter diesen Umständen unnötig und die Deaktivierung der SSL-Verifizierung gleicht iThemes Security an das standardmäßige WordPress-Loopback-Verhalten an.
  • Fehlerbehebung: PHP-Warnungen, wenn ungültige Einträge im WordPress-Cron-Speicher hinterlegt werden.
  • Fehlerbehebung: Aktualisierung der Liste der zur WordPress-Datenbank hinzugefügten Tabellen.
  • Fehlerbehebung: Standardwert für Textspalten entfernt. Dies verursachte ein Problem unter MySQL 8 und ist unnötig.
  • Fehlerbehebung: Fehlende Ränder in den Seitenleisten-Widgets unter WordPress 5.5.
  • Fehlerbehebung: Hinweisaktionen wurden nicht ausgelöst, wenn „Administrationsleiste verbergen“ aktiviert ist.
  • Fehlerbehebung: Einige Benutzer wurden gezwungen, ein starkes Passwort zweimal hintereinander zu wählen.
  • Fehlerbehebung: Warnung beim Speichern des Moduls „Benutzer dauerhaft aussperren“ außerhalb der Seite „Einstellungen“ ohne Übergabe der Legacy-Einstellung „host_list“.
  • Fehlerbehebung: Kompatibilität der Passwortanforderungen mit Restrict Content Pro.
  • Fehlerbehebung: PHP-Warnungen, die bei der Initialisierung von Standardbenutzergruppen bei einer Neuinstallation auftreten können.


  • Neue Funktion: Die neue, verbesserte WordPress-Sicherheits-Website-Überprüfung powered by iThemes prüft, ob Google Malware entdeckt und deine Website zur Bedrohungsliste hinzugefügt hat.
  • Verbesserung: Schnelle dauerhafte Aussperrungen entfernt. Dauerhaft ausgesperrte Hosts werden stündlich in der .htaccess oder nginx.conf gespeichert.
  • Optimierung: Begrenzung der in der .htaccess oder nginx.conf gespeicherten dauerhaft ausgesperrten Hosts auf die letzten 100. Diese Zahl kann mit dem Filter „itsec_ban_users_max_hosts_for_server_config“ angepasst werden. Ältere dauerhaft ausgesperrte Hosts werden nach dem Laden von WordPress ausgeschlossen.
  • Optimierung: Stellt sicher, dass zufällig generierte Kennwörter von der Starke-Passwörter-Bibliothek als stark eingestuft werden.
  • Optimierung: Schlägt ein 32-Zeichen-Passwort vor, wenn eine Passwortänderung erzwungen wird.
  • Optimierung: Unsensible Sprache geändert, um sie inklusiver zu machen.
  • Fehlerbehebung: PHP-Warnung, wenn die E-Mail-Adresse eines Benutzers außerhalb der Admin-Seite zum Bearbeiten von Benutzern aktualisiert wird.
  • Fehlerbehebung: Behebung von Anmelde-Interstitials der WP Engine bei Verwendung eines Frontend-Anmeldeformulars.
  • Fehlerbehebung: PHP-Warnung bei der Überprüfung von unklaren Token.
  • Fehlerbehebung: PHP-Warnung nach erfolgreicher Verbindung einer Website mit iThemes Sync über den Anmeldevorgang.
  • Fehlerbehebung: Die Sicherheitsmeldung „Dateiänderung“ wurde bei neuen Installationen nicht angezeigt.


  • Fehlerbehebung: PHP-Warnung bei der Bewertung von Passwortanforderungen.


  • Wichtig: iThemes Security benötigt PHP 5.6 oder höher und WordPress 5.2 oder höher.
  • Neue Funktion: Sparen Sie Zeit bei der Absicherung von WordPress mit Benutzergruppen!
  • Neue Funktion: Vereinfachter Verbindungsablauf beim Einrichten von iThemes Sync.
  • Verbesserung: Eine Warnung wurde hinzugefügt, wenn ein WordPress-Salt auf einen ungültigen Wert gesetzt ist.
  • Verbesserung: Aufnahme von untergeordneten Protokolleinträgen in die Tabelle der Protokollliste. Diese sind bei der Fehlersuche hilfreich.
  • Verbesserung: Verbesserung der Leistung der Protokollseite bei Websites mit einer großen Anzahl an Protokolleinträgen.
  • Verbesserung: Überprüfung, ob Tabellen nach Abschluss eines DB-Upgrades vorhanden sind.
  • Optimierung: Bei der Protokollierung von $_SERVER wird nur eine Momentaufnahme der verfügbaren Eigenschaften protokolliert.
  • Fehlerbehebung: Die Einstellung „Multisite-Optimierungen -> Aktualisierungen verstecken“ verhinderte, dass automatische Aktualisierungen mit WP-Cron ausgeführt werden konnten.
  • Fehlerbehebung: Backup-Ereignis wurde nicht hinzugefügt, wenn der WP-Cron-Zeitplaner manuell zurückgesetzt wurde.
  • Fehlerbehebung: Administrationshinweis-Popover wurden unter WP 5.3 nicht ausgeblendet, wenn außerhalb der Popover geklickt wurde.
  • Fehlerbehebung: Neue Passwortanforderungen für bereits angelegte Konten wurden erst bei der zweiten Anmeldung erzwungen.
  • Fehlerbehebung: Überarbeitung des Aussehens der Administrationshinweise, um mit WordPress 5.4 kompatibel zu sein.
  • Fehlerbehebung: Abgelaufene, unklare Tokens werden nun periodisch gelöscht.
  • Fehlerbehebung: Registrierungsseite nicht blockieren, wenn „wp-signup.php“ die „Backend verstecken“-Registrierungstitelform ist.
  • Fehlerbehebung: Benutzer mit schwachen Passwörtern wurden nicht gezwungen, ihr Passwort zu ändern, wenn die Anforderung für ein starkes Passwort aktiviert wurde, nachdem ihre Passwortstärke überprüft worden war.
  • Fehlerbehebung: Der Aufruf „get_magic_quotes()“, der aus Gründen der Abwärtskompatibilität mit PHP-Versionen 5.3 und früher existierte, wurde entfernt. Dieser Funktionsaufruf verursachte eine Warnung unter PHP 7.4.
  • Fehlerbehebung: Warnung beim Laden der Einstellungsseite unter PHP 7.4.
  • Fehlerbehebung: Warnung beim Laden der Fehlersuch-Seite unter PHP 7.4.


  • Fehlerbehebung: Ordnungsgemäßer Vermerk, dass iThemes Security PHP 5.5 oder höher erfordert.


  • Wegweisende Veränderung: iThemes Security benötigt PHP 5.5 oder höher.
  • Neue Funktion: iThemes Security enthält jetzt Sicherheitsüberprüfung Pro, um die IP-Adressen deiner Besucher automatisch und korrekt zu ermitteln. Aktiviere diese Überprüfung, indem du die Sicherheitsüberprüfung ausführst und dich für Sicherheitsüberprüfung Pro entscheidest oder das Modul Sicherheitsüberprüfung Pro unter den erweiterten Modulen aktivierst. H/t Jeremy Voisin
  • Verbesserung: Führt die IP-Erkennung von Sicherheitsüberprüfung Pro automatisch einmal pro Tag aus.
  • Verbesserung: Manuelles erneutes Ausführen der IP-Erkennung von Sicherheitsüberprüfung Pro auf der Seite „Globale Einstellungen“.


  • Wegweisende Veränderung: iThemes Security benötigt PHP 5.4 oder höher.
  • Verbesserung: Neuer Sperrvorlagenbildschirm.
  • Verbesserung: Bestätigungsschaltfläche zu interstitiellen, asynchronen Anmelde-Aktionen hinzugefügt, wenn auf einem anderen Gerät.
  • Verbesserung: Filter zum Link „IP-Adresse nachschlagen“ hinzugefügt.
  • Hinweis für Entwickler: In dieser Veröffentlichung gab es erhebliche Änderungen an den internen Funktionen der iThemes Security-Aussperrungs-API. Wenn du die Klasse ITSEC_Lockout direkt verwendest, werden alle API-Funktionen weiterhin funktionieren, aber es werden Deprecation-Hinweise ausgegeben, wenn das veraltete Verhalten verwendet wird. Bitte aktualisiere alle Integrationen.
  • Fehlerbehebung: Brute-Force-Modul meldete ungültige Anmeldungen mit einer E-Mail-Adresse falsch.
  • Fehlerbehebung: Verbesserte Aussperrkompatibilität mit Caching-Plugins.
  • Fehlerbehebung: Behoben, dass der Administrationshinweis nicht verworfen wurde, weil eine REST-API-Route enger definiert war als nötig.
  • Fehlerbehebung: Die Liste der Administrationshinweise wurde nach dem Verwerfen eines Hinweises nicht aktualisiert.
  • Fehlerbehebung: Die Starke-Passwörter-Bibliothek zxcvbn wertete Strafzeichenfolgen nicht korrekt aus.
  • Fehlerbehebung: Behebung der PHP-Warnung, wenn es mehrere erkannte Proxy-Header gibt.


  • Verbesserung: Neue iThemes Sync Verb Unterstützung für die Dateiänderungserkennung.
  • Optimierung: Zusätzliche Informationen über den Anmeldeversuch beim Aufruf der Netzwerk-Brute-Force-API hinzugefügt.
  • Fehlerbehebung: „Backend verstecken“-Umgehung verheimlicht.
  • Fehlerbehebung: Strenge Standards-Fehler bei Sync-Anfrage.
  • Fehlerbehebung: wp_die(), wenn eine interstitielle Anmeldesitzung nicht erstellt werden kann, anstatt einen fatalen Fehler zu verursachen.


  • Neu: iThemes Security-Administrationshinweise befinden sich jetzt praktischerweise im neuen Sicherheitsnachrichten-Menü. Sehe dir deine Hinweise im Menü Sicherheit in der WordPress-Administrationsleiste an.
  • Verbesserung: Einer Sicherheitsmeldung hinzugefügt, wenn eine E-Mail der Benachrichtigungszentrale nicht gesendet werden konnte.
  • Verbesserung: Trace IP durch IP Tracker Online ersetzt.
  • Optimierung: Entfernung der „DELETE“-Methode aus „Systemoptimierungen -> Abfragemethoden filtern“.


  • Fehlerbehebung: „Backend verstecken“-Umgehung verheimlicht.


  • Optimierung: Zulassen, dass die Protokollbeschreibungsspalte bei URLs oder anderen Zeichenketten ohne Leerzeichen einen Wortumbruch vornimmt.
  • Fehlerbehebung: „Backend verstecken“-Umgehung, bei bestimmten Apache-Konfigurationen, verheimlicht.
  • Fehlerbehebung: Korrekte Fehlerrückgabe, die während eines Backups auftreten.
  • Fehlerbehebung: Regex-Warnung für PHP 7.3 im Modul „Dateiänderungserkennung“.
  • Fehlerbehebung: Behebung der Warnung, wenn ein Benutzer auf „Keine Rolle“ gesetzt ist.


  • Verbesserung: Wenn ITSEC_DISABLE_MODULES gesetzt ist, wird das Ausblenden des Backends verhindert.
  • Fehlerbehebung: Tabnapping: Wendet noopener auf Links an, anstatt das Blankshield-Skript zu verwenden, wenn verfügbar, um zu verhindern, dass das neue Popup-Blocker-Verhalten die Links zerstört.


  • Verbesserung: Je-Inhalts-SSL-Umschalter zur kommenden Block-Editor-Oberfläche hinzugefügt.
  • Verbesserung: Filter in der Empfängerliste für E-Mail-Benachrichtigungen hinzugefügt: „itsec_notification_{$notification}_email_recipients“ und „itsec_notification_email_recipients“.
  • Verbesserung: „ITSEC_DISABLE_TEMP_WHITELIST“ hinzugefügt, um die temporäre IP-Freigabeliste für angemeldete Administratoren zu deaktivieren.
  • Verbesserung: Verbesserung der Weiterleitung nach der Verarbeitung eines Anmelde-Interstitials aus einem Frontend-Anmeldeformular.
  • Verbesserung: Loopback-IP-Erkennung zur Sicherheitsüberprüfung hinzugefügt.
  • Verbesserung: Erkennung von Server-IP-Adressen in der Sicherheitsüberprüfung.
  • Optimierung: Zusätzliche Sicherheitsüberprüfungen beim Schreiben in Systemkonfigurationsdateien hinzugefügt. Dadurch wird ein „Kritisches Problem“ protokolliert, wenn das Schreiben einer leeren oder unvollständigen Konfigurationsdatei erkannt und verhindert wird.
  • Optimierung: Verbesserte Sperrung von Dateiänderungen zur Vermeidung fehlgeschlagener Überprüfungen bei Websites mit inkonsistenter Cron-Planung.
  • Optimierung: Verbesserung von „Systemoptimierungen – Verdächtige Abfragezeichenfolgen – SQLI“ zur Reduzierung von Fehlalarmen.
  • Optimierung: „Systemoptimierungen – PHP deaktivieren“ verbessert, um PHP-Dateien in Apache-Konfigurationen zu blockieren, die Dateien mit einem Punkt am Ende ausliefern.
  • Optimierung: Entfernung von „Seznam Bot“ aus der HackRepair-Liste, da er in der neuesten Version nicht mehr vorhanden ist.
  • Fehlerbehebung: Beinhaltung eines „Backend verstecken“-Token, wenn eine URL zum Zurücksetzen des Passworts per E-Mail gesendet wird.
  • Fehlerbehebung: Benachrichtigungszentrale – Benachrichtigungen nur an Benutzer mit einer exakten Rollenübereinstimmung ausgewählter Rollen senden statt einer ungenauen Übereinstimmung auf der Grundlage ausgewählter Berechtigungen.
  • Fehlerbehebung: Fehler beim Versuch, wiederverwendbare Blöcke zu bearbeiten, wenn Je-Beitrags-SSL aktiviert ist.
  • Fehlerbehebung: Warnungen mit PHP 5.2 behoben.


  • Verbesserung: Ermöglicht die Auswahl des entsprechenden Proxy-Headers, für den ein Server konfiguriert ist. Die Sprache wurde verbessert, um auf die Bedeutung der Konfiguration dieser Einstellung hinzuweisen. H/t Filippo Cavallarin CEO bei
  • Verbesserung: Blockierter Zugriff auf git- und svn-Repositories, wenn „Systemoptimierungen“ -> „Systemdateien schützen“ aktiviert ist.
  • Optimierung: jQuery-Validierungsbibliothek auf 1.17.0 aktualisiert
  • Fehlerbehebung: Verbesserte Erkennung des Blockierens der geplanten Dateiänderungsüberprüfung, wenn bereits eine solche durchgeführt wird.
  • Fehlerbehebung: Verhinderung eines unendlichen Rekursionsfehlers beim Versuch, auf Verzeichnisse außerhalb des erlaubten Dateibaums zuzugreifen.


  • Neue Funktion: Ermöglicht das globale Festlegen von Empfängern für Admin-bezogene Benachrichtigungen. Alle neuen Benachrichtigungen werden standardmäßig an die Empfänger in dieser Liste gesendet. Benachrichtigungen können so eingestellt werden, dass sie die Standardliste verwenden oder du kannst zu einer individuellen Liste wechseln.
  • Verbesserung: Es wurde eine Einstellung zum Aktivieren/Deaktivieren der Funktion „Notenbericht“ von Pro hinzugefügt.
  • Optimierung: Überprüfung, ob eine IP-Adresse beim Laden der Seite auf einer Sperrliste steht, um die Kompatibilität mit Servern zu gewährleisten, die dauerhafte Aussperrungen auf Serverkonfigurationsebene nicht sofort verarbeiten können.
  • Optimierung: Anzeige einer Zeitdifferenz bis zum nächsten Ereignis auf der Fehlersuch-Seite.
  • Optimierung: Verwendung der Protokollierungs-API zur Verfolgung von Fehlern der Benachrichtigungszentrale.
  • Optimierung: Registrierung von Planungsereignissen bei jeder Änderung des Plugin-Builds.
  • Optimierung: Erlaubt das Filtern von Protokollen nach einem beliebigen verzeichneten Modul.
  • Optimierung: Berücksichtigung des Drittanbieter-Backup-Plugins in der Sicherheitsüberprüfung.
  • Fehlerbehebung: 404er-Erkennung für Plugins, die is_404 später in der Hook-Sequenz eintragen.
  • Fehlerbehebung: Der REST-API-Schutz blockierte die Taxonomierouten für alle Benutzer.
  • Fehlerbehebung: Konto für jede CLI PHP SAPI statt nur WP-CLI im SSL-Modul.
  • Fehlerbehebung: Es wurde korrigiert, wie der Status für die Aktivierung/Deaktivierung des Notenberichts gespeichert wird, um Probleme beim Laden der Administrationsseite auf einigen Websites zu beheben.
  • Fehlerbehebung: Fehler bei der Serialisierung von Schließungen behoben, wenn ein Plugin, das einen Hook mit einer Schließung registriert, im Startstapel ist und die Benachrichtigungszentrale zu früh im Zyklus ausgelöst wird.


  • Verbesserung: Entschärfung der Sicherheitslücke beim Verschieben und Löschen von Dateien im WordPress-Anhang hinzugefügt.
  • Optimierung: Auslösen einer WordPress Action, wenn die Einstellungen aktualisiert werden.
  • Fehlerbehebung: Verbesserte Eingabensanitisierung der Protokollseite, um das Auslösen von Warnungen zu verhindern.


  • Sicherheitskorrektur: SQL-Injektionsschwachstelle der Protokollseite behoben. Hinweis: Um diese Schwachstelle auszunutzen, sind Admin-Rechte erforderlich. Dank an Çlirim Emini, Eindringungstester bei, für das Melden dieser Schwachstelle.
  • Fehlerbehebung: Bereitstellen von Standardwerten für aktivierte Bedingungen.


  • Verbesserung: UI zum Abbrechen einer laufenden Dateiüberprüfung hinzugefügt.
  • Verbesserung: Grundlegende Admin-Fehlersuch-Seite hinzugefügt, um die Diagnose und Behebung von Problemen zu erleichtern. Insbesondere bei Ereignissen.
  • Verbesserung: JSON-Editor für Fehlersuch-Einstellungen hinzugefügt.
  • Verbesserung: Kontinuierliche Bewertung der Passwortstärke von Benutzern, statt nur bei der Registrierung.
  • Verbesserung: Einführung des Moduls „Passwortanforderungen“ zur Verwaltung und Durchsetzung von Passwortanforderungen.
  • Fehlerbehebung: Der Zugriff auf die Einstellungen für die Passwortanforderung wurde in einigen Fällen nicht korrekt aufgelöst.
  • Fehlerbehebung: Der Abwesenheitsmodus sperrte keine Benutzer aus, die während der „Abwesenheit“ bereits angemeldet waren.
  • Fehlerbehebung: Erzwingen der Anforderung „Starke Passwörter“ während der Sicherheitsüberprüfung.
  • Fehlerbehebung: Sicherstellung, dass die Zeitplanungssperre vom Cron-Zeitplaner gelöscht wird, wenn keine laufenden Ereignisse ausgeführt werden.
  • Fehlerbehebung: Wenn eine Passwortanforderung deaktiviert wurde oder nicht mehr verfügbar ist, wird das Passwort nicht mehr als änderungsbedürftig betrachtet.
  • Fehlerbehebung: Kontrollkästchen „Schwaches Passwort bestätigen“ nur ausblenden, wenn der Benutzer kein schwaches Passwort verwenden durfte.
  • Fehlerbehebung: Die Passwortstärke wurde nicht bewertet, wenn das Passwort mit individuellen PHP- oder CLI-Befehlen gesetzt wurde.
  • Fehlerbehebung: Verhindert, dass die Dateiänderungserkennung beim ersten Schritt in einer unendlichen Umplanungsschleife stecken bleibt.
  • Fehlerbehebung: Entfernung der verteilten Speichertabelle bei der Deinstallation.
  • Optimierung: In die Einstellung für verfolgte Dateien nicht mehr schreiben, wenn sich der Datei-Hash nicht geändert hat.
  • Optimierung: Wenn für den Benutzer kein Datum der letzten Passwortänderung aufgezeichnet wurde, wird das Registrierungsdatum als das Datum der letzten Änderung behandelt.


  • Fehlerbehebung: Es wurde ein „Unerwarteter Fehler: Aufruf einer undefinierten Funktion esc_like()“ behoben, der beim Exportieren oder Löschen von persönlichen Daten auftreten konnte.
  • Fehlerbehebung: Überspringen der Wiederherstellung, wenn der Dateiänderungsspeicher leer ist.


  • Neue Funktion: Unterstützung für die neuen WordPress-Datenschutzfunktionen hinzugefügt.
  • Verbesserung: Minimal-API zum Hinzufügen zusätzlicher Einträge zum Sicherheitsadministrationsmenü hinzugefügt.
  • Verbesserung: Die Dateiänderungsüberprüfung verwendet einen neuen Stapelverarbeitungsmechanismus, um Abstürze auf Hosts zu vermeiden, der aber trotzdem nur einen Bericht pro Tag erzeugt.
  • Verbesserung: Einführung eines verteilten Speicher-Frameworks zur Reduzierung der in der WordPress-Optionen-Tabelle gespeicherten Datenmenge. Dies sollte die Leistung von großen Websites unter Verwendung der Dateiänderungserkennung verbessern.
  • Verbesserung: Einführung eines Anmelde-Interstitial-Frameworks zur Konsolidierung des Quelltextes zwischen Passwortanforderungen & Zwei-Faktor.
  • Fehlerbehebung: Es wurde die Möglichkeit hinzugefügt, Objektdaten für Klassen, die nicht geladen sind, auf der Protokollseite anzuzeigen.
  • Fehlerbehebung: Die Regeln, die von der Funktion „Verdächtige Abfragezeichenfolgen in der URL herausfiltern“ generiert werden, wurden geändert, um das Blockieren von Bestätigungen von Datenschutz-Export-/Löschanfragen zu vermeiden.
  • Bug Fix: Sicherstellung, dass alle Benutzer mit der Fähigkeit manage_options bei der Auswahl von Kontakten in der Benachrichtigungszentrale verfügbar sind.
  • Fehlerbehebung: Korrigiert das Löschen der Ergebnisse früherer Dateiprüfungen.
  • Fehlerbehebung: Warnungen bei Fehlersuch-Dateiänderungsprotokollelementen korrigiert.
  • Fehlerbehebung: Die Verweise des Protokollierungssystems auf „fatal-error“, die „fatal“ sein sollten, wurden korrigiert.
  • Fehlerbehebung: Verbessertes Wiederherstellungssystem der Dateiänderungserkennung auf stark frequentierten Websites.
  • Fehlerbehebung: Verbessertes Löschen der Hashes früherer Dateiänderungen.
  • Fehlerbehebung: Verbesserte Erkennung von REST-API-Anfragen bei Websites ohne Heimatverzeichnis.
  • Fehlerbehebung: Interne Links zu einer gefilterten Protokollseite.
  • Fehlerbehebung: Vermeidung einer PHP-Warnung bei der Konvertierung eines Arrays in eine Zeichenfolge beim Hinzufügen von Benachrichtigungsdaten.
  • Fehlerbehebung: Vermeidung einer PHP-Warnung beim Erstellen von Datenbank-Backups, die nicht per E-Mail an Empfänger gesendet werden.
  • Fehlerbehebung: Korrektes Erzwingen von starken Passwörtern auf der WordPress-Anmeldeseite „Passwort zurücksetzen“.
  • Fehlerbehebung: Behebung von Warnungen beim Aktualisieren von Dateiänderungseinstellungen.
  • Unwesentlich: „chunk“-Option der Dateiüberprüfung wurde entfernt.
  • Unwesentlich: Wiederherstellungsprotokoll der Dateiüberprüfung kleiner gemacht.
  • Unwesentlich: Seitenlastplaner: Rücknahme der Planung bei einzelnen Ereignissen vor deren Ausführung. Dies spiegelt das Verhalten des WP-Cron-Zeitplaners wider.
  • Unwesentlich: Der Sicherheitsbericht enthält jetzt alle Aussperrungen, die seit der letzten E-Mail aufgetreten sind.
  • Unwesentlich: Verkleinerung der Speichergröße von Dateiüberprüfungen.
  • Unwesentlich: Das Festlegen einer manuellen Dateiüberprüfungsliste wurde entfernt.
  • Unwesentlich: Verfolgung des von der Dateiänderungsüberprüfung verwendeten Rohspeichers.
  • Unwesentlich: Die Liste der von der Dateiänderungserkennung ausgeschlossenen Dateitypen wurde aktualisiert, um mehr Medienerweiterungen aufzunehmen.
  • Sonstiges: Kommentar hinzugefügt, um zu verhindern, dass Tide das Plugin als nicht kompatibel mit PHP 5.3 markiert.
  • Optimierung: Beschreibung für Protokolle zur Wiederherstellung von Dateiänderungen hinzugefügt.
  • Optimierung: Gelöschte Dateien werden nicht mehr gemeldet, wenn die Entfernung durch den Ausschluss einer neuen Dateierweiterung verursacht wurde.
  • Optimierung: Dateiänderungserkennung: Der Eintrag „latest_changes“ wurde in einen separaten Speicherbereich verschoben, um die Leistung von großen Websites zu verbessern.
  • Optimierung: Dateiänderungserkennung: Nur noch maximal 10 Plugins in einem Stück überprüfen.


  • Fehlerbehebung: Es wurde eine Situation behoben, die dazu führen konnte, dass Aussperrungsbenachrichtigungen für freigegebene IP-Adressen gesendet wurden.
  • Fehlerbehebung: Ein Problem behoben, bei dem das Speichern globaler Einstellungen durch einen nicht beschreibbaren „Pfad zu den Protokolldateien“ blockiert wurde, wenn der „Protokolltyp“ auf „Nur Datenbank“ eingestellt war.
  • Fehlerbehebung: Es wurde ein Problem behoben, das verhinderte, dass Protokolldatenbankeinträge gelöscht werden und Protokolldateieinträge nach einem Zeitplan rotierten.


  • Sicherheitskorrektur: Die Darstellung von unescapten Daten auf der Protokollseite wurde korrigiert.
  • Verbesserung: Das Protokollierungssystem unterscheidet jetzt zwischen WP-CLI-Befehlen, geplanten WP-Cron-Ereignissen und normalen Seitenanfragen.
  • Fehlerbehebung: Die Dateiänderungsüberprüfung wurde dahingehend korrigiert, dass ausgewählte Verzeichnisse auf manchen Systemen bisher nicht ausgeschlossen werden konnten.


  • Verbesserung: Das Protokollierungssystem wurde aktualisiert, um mehr Informationen zu sammeln und mehr Optionen zum Filtern und Sortieren von Protokolleinträgen zu haben.
  • Verbesserung: Verbesserte Effizienz bei der Überprüfung der Dateiänderungserkennung.
  • Fehlerbehebung: Es wurde ein Problem behoben, durch das das Laden der Protokollseite als fehlgeschlagener Anmeldeversuch auf einigen Websites registriert wurde.


  • Verbesserung: Anzeige der Benutzeraussperrungen in der Sperrseitenleiste.
  • Fehlerbehebung: Übersetzungen werden nun über den Hook plugins_loaded geladen.
  • Fehlerbehebung: Eine Methode berichtigt, mit der auf einigen Websites versteckte Anmeldetitelformen herausgefunden werden konnten.
  • Fehlerbehebung: Es wurde ein Fehler behoben, der dazu führen konnte, dass die Synchronisation Malware-Überprüfungsergebnisse nicht laden konnte, wenn zuvor eine Überprüfung fehlgeschlagen war.
  • Fehlerbehebung: Aktualisierung der REST-API-Funktion „Eingeschränkter Zugriff“, um sich vor Vorgehensweisen zu schützen, die den eingeschränkten Zugriff umgehen.
  • Fehlerbehebung: Unterbindung, dass die Anmeldeseite ausgeblendet wird, wenn du der Benachrichtigungs-URL „E-Mail-Adresse bestätigen“ folgst.
  • Fehlerbehebung: „Backend verstecken“-Benachrichtigungen wurden nicht korrekt gesendet, wenn sie zum ersten Mal aktiviert wurden.


  • Neue Funktion: Einführung eines Zeitplanungs-Frameworks für die Verarbeitung von Ereignissen. Cron wird nun standardmäßig verwendet und wechselt zu einem alternativen Zeitplanungssystem, wenn ein Fehler festgestellt wird. Lege ITSEC_DISABLE_CRON_TEST in deiner wp-config.php-Datei fest, um diese Erkennung zu deaktivieren.
  • Wichtig: Die Konstanten ITSEC_FILE_CHECK_CRON und ITSEC_BACKUP_CRON sind veraltet. Verwende stattdessen ITSEC_USE_CRON.
  • Verbesserung: Benachrichtigungseinstellungen bleiben erhalten, wenn das zuständige Modul deaktiviert ist.
  • Fehlerbehebung: Verarbeitung von 404-Sperrungen über den „wp“-Hook, um zu verhindern, dass ein Header eine Warnung bereits gesendet hat.
  • Fehlerbehebung: Sicherstellung, dass E-Mails der Funktion „Backend verstecken“ ordnungsgemäß gesendet werden, wenn die Option „Backend verstecken“ aktiviert wird und vor dem ersten Speichern der Benachrichtigungszentrale.
  • Fehlerbehebung: Es wird nun verhindert, dass bei neuen Installationen eine Warnung ausgegeben wird, indem die vorherigen Einstellungen beibehalten werden, sofern diese vorhanden sind.
  • Fehlerbehebung: Bessere Handhabung von WP_Error-Objekten bei E-Mail-Fehlern, die vor der Aktualisierung der ersten Patch-Veröffentlichung, aufgetreten sind.
  • Fehlerbehebung: Eine nicht statische Methode wurde statisch aufgerufen.
  • Fehlerbehebung: Gelegentliche doppelte Backups und Dateiüberprüfungen behoben.
  • Fehlerbehebung: Problem behoben, bei dem geplante Ereignisse auf Websites wiederholt werden konnten, die das Cron-System von WordPress nicht richtig unterstützen.
  • Fehlerbehebung: Das Reaktivieren des Abwesenheitsmodus erneuert jetzt die aktive Datei, wenn du sie zuvor entfernt hast.
  • Fehlerbehebung: Sicherstellung, dass Aussperrungen auch auf Systemen sofort wirksam werden, auf denen Änderungen an Serverkonfigurationsdateien nicht sofort wirksam werden.


  • Neue Funktion: Einführung der Benachrichtigungszentrale – Ein zentraler Ort für die Verwaltung und Anpassung von E-Mail-Benachrichtigungen, die von iThemes Security gesendet werden.
  • Verbesserung: Abfragen und Vorbereitungsanweisungen zur Berücksichtigung von Änderungen an der Funktion esc_sql() in WordPress 4.8.3 aktualisiert.
  • Fehlerbehebung: Einige JavaScript- und CSS-Links korrigiert, die auf Windows-Servern nicht korrekt erstellt wurden.


  • Fehlerbehebung: Ein Fehler der SQL-Abfrage wurde behoben, der dazu führte, dass die Einstellung „Speicherdauer von Anmeldefehlversuchen in Minuten (Prüfzeitraum)“ ignoriert wurde.
  • Fehlerbehebung: Fehler behoben, der verhindert, dass die Blockierung für wp-admin / install.php, ordnungsgemäß auf nginx-Servern funktioniert.
  • Fehlerbehebung: Kein Versuch eine SSL-Weiterleitung durchzuführen, wenn WP-CLI läuft.


  • Neue Funktion: Eine neue Einstellung unter WordPress-Optimierungen hinzugefügt: „Mit E-Mail-Adresse oder Benutzername anmelden“.
  • Verbesserung: Empfang der E-Mail-Bilder vom Plugin anstatt auf die iThemes-Server zu verweisen, um E-Mail-Anwendungen zu helfen, Nachrichten als Spam zu markieren oder Bilder zu blockieren.
  • Fehlerbehebung: Fehler beim Suchen nach Modulen, der verhindert, dass Module erscheinen.
  • Fehlerbehebung: Verwendung der Tabelle wp_options, wenn Sperrungen unter Multisite akquiriert werden.
  • Fehlerbehebung: Verhindern von doppelten täglichen Zusammenfassungs-E-Mails auf Websites mit hoher Belastung.
  • Sonstiges: Magische Links wurden hinzugefügt. Eine neue Funktion, die durch die Sicherheitsüberprüfung aktiviert wird und nur unter Pro verfügbar ist.
  • Sonstiges: Module umgeordnet, um alphabetisch aufgelistet zu sein.


  • Fehlerbehebung: Logischen Fehler behoben, der verhindert, dass Backups ausgeführt werden.
  • Fehlerbehebung: Problem behoben, welches dazu führen könnte, dass Datenbanksperren die Datenbank überfluten.


  • Verbesserung: Das SSL-Modul vereinfacht, um eine einfache Aktivierungs-/Deaktivierungseinstellung und vereinfachte Erklärungen anzubieten. Die bisherigen Einstellungen sind über die Auswahl Erweitert verfügbar.
  • Verbesserung: Den itsec-get-ip-Filter hinzugefügt, damit der Quelltext die Remote-IP direkt versorgen kann.
  • Verbesserung: Die Aktivierung der SSL-Unterstützung wird dich nur dann abmelden, wenn du noch nicht über eine https-Verbindung verbunden bist.
  • Verbesserung: Passwortanforderungskompatibilität mit Plugins und Systemen verbessert, die mit WordPress-Benutzern verknüpft sind.
  • Alte Funktion entfernt: Die „jQuery mit einer sicheren Version ersetzen“-Funktion entfernt, da ihre Anwendung (Schutz gegen einen bestimmten jQuery-Fehler: viele Jahre alt ist und keine Besorgnis mehr ist.
  • Fehlerbehebung: Versionsnummer einiger Skripts erhöht, um sicherzustellen, dass diese ordnungsgemäß aktualisiert werden.
  • Fehlerbehebung: Einen Weg das „Backend verstecken“ zu umgehen, bei einigen Hosts, behoben.


  • Verbesserung: Dateiaussperrungen mit Datenbanksperrungen ersetzt. Diese Methode der Aussperrung ist mit allen Systemen kompatibel, da sie nicht die Fähigkeit erfordert Dateien zu schreiben. Sie ermöglicht es auch, dass Aussperrungen auf Websites funktionieren, die mehrere Frontend-Server mit einer gemeinsamen Datenbank haben. Da die Dateiaussperrung nicht mehr verwendet wird, wurde die Globalen Einstellungen > Deaktivieren der Dateisperrungseinstellung entfernt.
  • Verbesserung: Hinzufügung der „In die Zwischenablage kopieren“-Funktionalität für Server- und wp-config-Regeln.
  • Fehlerbehebung: Verhindern von 404ern, wenn Links in E-Mail-Benachrichtigungen auf einer Website mit aktiviertem „Backend verstecken“ gefolgt wird.
  • Fehlerbehebung: Sicherstellung, dass der der Deinstallationsprozess nicht ausgeführt wird, wenn eine andere Version der iThemes Security immer noch aktiv ist.
  • Fehlerbehebung: Methode behoben das „Backend verstecken“ zu umgehen.
  • Fehlerbehebung: Warnungen werden nicht mehr beim Speichern eines Benutzerprofils mit der ausgewählten Rolle „Keine Rolle für diese Website“ generiert.


  • Wichtig: Die Art und Weise, wie die „Backend verstecken“-Funktionen funktioniert, ändert sich in dieser Version. Früher, wenn deine „Backend verstecken“-Anmeldetitelform wplogin war und du aufriefst, würde die URL unter verbleibenden. Die neue Implementierung dieser Funktion führt zu einer Weiterleitung zu einer URL, die wie folgt aussieht: Obwohl dies für einige Benutzer nicht wünschenswert ist, war diese Änderung notwendig, um langjährige Kompatibilitätsprobleme mit anderen Plugins zu beheben. Sobald du mit der Anmeldetitelformseite auf die Anmeldeseite zugreifst, wird ein Cookie mit einer Ablaufzeit von einer Stunde gesetzt. Solange das Cookie verbleibt, kannst du auf zugreifen, ohne vorher auf die „Backend verstecken“-Anmeldetitelform zuzugreifen. Wenn du sicher gehen möchtest, dass „Backend verstecken“ auf deiner Website ordnungsgemäß funktioniert, ist das Öffnen eines privaten Browser-Fensters eine schnelle Möglichkeit dies zu testen, ohne sich abmelden und die Cookies löschen zu müssen.
  • Neue Funktion: Unterstützung für iThemes Sync, um die Sicherheitsüberprüfungsfunktion aus dem Sync-Dienst auszuführen.
  • Neue Funktion: Unterstützung für die ITSEC_DISABLE_MODULES definiert.
  • Fehlerbehebung: Warnung: „Non-static method ITSEC_Setup::uninstall() should not be called statically“ entfernt.
  • Fehlerbehebung: Möglichkeit behoben, manuell eine Seitennummer einzugeben, um auf der Sicherheits- > Protokollseite zu navigieren.
  • Fehlerbehebung: Warnungsquelle behoben, die beim Erstellen eines Backups beim Ausführen einer PHP-Version unter 5.4 auftreten könnte.
  • Fehlerbehebung: Hinweisquelle behoben, die beim Zurücksetzen des Passworts eines Benutzers angezeigt werden könnte, wenn die Funktion „Starke Passwörter“ aktiviert ist.
  • Fehlerbehebung: Fehler behoben, die die Berichterstattung über bestimmte Fehlermeldungen im Zusammenhang mit der Aktualisierung der Datei wp-config.php verhinderten.
  • Fehlerbehebung: Eine Endlosschleife wurde behoben, die auftreten könnte, wenn ein Cookie ausläuft und „Backend verstecken“ aktiviert ist.
  • Fehlerbehebung: Kompatibilitätsproblem mit dem Jetpack-Plugin behoben, wenn „Backend verstecken“ aktiviert ist, welches verhindern könnte, dass Jetpack-Benutzer auf die weitergeleitet werden.
  • Fehlerbehebung: Problem bei dem der Zugriff auf wp-admin/admin-post.php behoben, wenn Backend verstecken aktiv ist.
  • Fehlerbehebung: Problem behoben, welches verhindern könnte, dass die „Registrieren“- und „Passwort verloren?“-Links auf der Anmeldeseite ordnungsgemäß funktionieren, wenn Backend verstecken aktiviert ist.
  • Fehlerbehebung: Schwerwiegender Fehler beim Aktualisieren eines Profils behoben.
  • Fehlerbehebung: Korrektur, dass Starke Passwörter nicht als stark auf der Profilseite erkannt werden.
  • Fehlerbehebung: Schwerwiegender Fehler bei der Registrierung eines neuen Benutzers ohne Angabe einer Rolle behoben (iThemes Exchange).
  • Fehlerbehebung: Kompatibilität mit JetPack SSO und Passwortanforderungen.
  • Fehlerbehebung: Sicherstellung, dass das Viewport-Meta beim Laden des Passwortanforderungsaktualisierungs-Passwortformulars definiert ist.
  • Fehlerbehebung: Backend verstecken ist jetzt kompatibel mit Jetpack Single Sign On.
  • Fehlerbehebung: „Backend verstecken“ versteckt nun Registrierungsseiten bei Multisite-Websites.
  • Fehlerbehebung: Behoben, dass passwortgeschützte Beiträge das Passwort nicht ordnungsgemäß behandeln haben, wenn Backend verstecken aktiv ist.
  • Verbesserung: AhrefsBot aus der Sperrliste von HackRepair entfernt, da sie legitim sind.
  • Verbesserung: Verbesserte Effizienz des „Backend verstecken“-Quelltextes zur Erhöhung der Website-Performance, wenn die Funktion aktiviert ist.
  • Verbesserung: Erzwingung von starken Passwörtern bei der Anmeldung. Kann über die Konstante ITSEC_DISABLE_PASSWORD_REQUIREMENTS deaktiviert werden.
  • Verbesserung: Verwendung der kanonischen Rollenbibliothek, um festzustellen, ob ein neuer Benutzer oder eine aktualisierte Rolle ein starkes Passwort benötigt.
  • Verbesserung: Passwortanforderungsmodul eingeführt, um die Handhabung von Passwortaktualisierungen zu zentralisieren.
  • Verbesserung: Die Backend verstecken verborgene Anmelde-URL ist nicht mehr durch passwortgeschützte Inhalte ersichtlich.
  • Verbesserung: Ermöglichung des Durchsuchens von Modulen und Einstellungen.
  • Verbesserung: Link zu anderen Modul-Einstellungsseiten, ohne die Seite zu aktualisieren.
  • Verbesserung: Ausführung einer Action, „itsec_change_admin_user_id“, wenn sich die Admin-Benutzer-ID ändert.
  • Verbesserung: Standard-„Backend verstecken“-Registrierungstitelform von wp-register.php zu wp-signup.php geändert, da WordPress von wp-register.php auf wp-signup.php für Registrierungen umgestellt hat. Dies wirkt sich nicht auf bestehende Websites aus.
  • Verbesserung: „Backend verstecken“-Funktionen nun rein in PHP-Quelltext anstatt zur Hälfte auf PHP-Quelltext und die Hälfte auf .htaccess- und nginx.conf-Modifikationen zu setzen. Dies ermöglicht „Backend verstecken“ auf Webservern und Serverkonfigurationen zu funktionieren, mit denen es bisher nicht kompatibel war.
  • Sonstiges: phpDoc zu vielen Funktionen aktualisiert oder hinzugefügt.
  • Sonstiges: „Dateisperrungen deaktivieren“-Beschreibung aktualisiert.


  • Fehlerbehebung: Wenn eine anfordernde IP-Adresse nicht gefunden werden kann, wird diese standardmäßig auf gesetzt. Dies behebt Probleme mit einigen alternativen Cron-Setups.
  • Fehlerbehebung: Mehr als eine Änderung durch iThemes Security in einer .htaccess-, nginx.conf- oder wp-config.php-Datei wird nicht mehr dazu führen, dass aller Dateiinhalt zwischen jedem Abschnitt beim Aktualisieren der Datei entfernt wird.
  • Fehlerbehebung: Änderungen an der wp-config.php-Datei, die von W3 Total Cache hinzugefügt wurden, behalten nun ihre neuen Windows-Style-Zeilen, wenn iThemes Security die Datei aktualisiert.


  • Verbesserung: Verbesserte Plugin-Performance durch die Verringerung der Anzahl der auf jeder Seite vorgenommenen Abfragen.
  • Verbesserung: Reduzierte Arbeitsspeicher- und CPU-Auslastung durch diverse Quelltextverbesserungen.
  • Fehlerbehebung: Bei dem ersten Aktivieren des Plugins wird keine Datenbanksicherung mehr erstellt.
  • Fehlerbehebung: Kompatibilität für den MySQL Strict Modus in der Datenbankerstellungs-Syntax hinzugefügt.
  • Fehlerbehebung: Warnung über einen „nicht gut gebildeten numerischen Wert“ unter PHP 7.1 entfernt.
  • Fehlerbehebung: Änderungen an den Dateien wp-config.php, .htaccess und nginx.conf werden nun bei der Reaktivierung ordnungsgemäß wieder hinzugefügt.
  • Fehlerbehebung: Nach dem Deaktivieren der Funktion und beim Speichern der Einstellungen wurden die vollständigen Einstellungen für „Backend verstecken“ angezeigt.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert den Abmelden-Link, sodass er wie erwartet funktioniert, ohne eine neue Seite laden zu müssen.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert nun die .htaccess/nginx.conf-Datei bei der Aktivierung und Deaktivierung, statt an einem zukünftigen Punkt.
  • Fehlerbehebung: Problem behoben, das eine falsche Datenbanktabellenerstellung bei Multisite-Websites verursachen könnte.
  • Fehlerbehebung: Ein Fehler wurde behoben der verhindert, dass Einstellungen ordnungsgemäß gespeichert wurden, wenn die Website auf einen neuen Server oder einen neuen „Home“-Pfad auf dem Server migriert wurde.


  • Fehlerbehebung: Ein Fehler wurde behoben, durch den der Abwesenheitsmodus auf einigen Websites nicht aktiviert werden konnte.


  • Verbesserung: Protokollierung für fehlgeschlagene Zwei-Faktor-, OAuth- und REST-API-Authentifizierungen hinzugefügt.
  • Verbesserung: Protokollierungsdetails über die Quelle der Anmeldefehler und die Art der Authentifizierung, die fehlgeschlagen ist, hinzugefügt.
  • Erweiterung: Durch Verbesserungen bei der Verfolgung von Authentifizierungsfehlern werden Brute-Force-Versuche, die alternative Authentifizierungsmethoden verwenden, zuverlässiger gefunden und blockiert.
  • Verbesserung: Die IP-Adresse des Servers wird als freigegeben behandelt und gilt nicht für Aussperrungen oder Verbote.
  • Verbesserung: Reduzierter Speicherverbrauch beim Erstellen eines Backups.
  • Verbesserung: Geänderte Protokolleintragsbeschreibung von „IP wurde als Bedrohung durch den iThemes IPCheck markiert“ zu „IP wurde durch den Netzwerk-Brute-Force-Schutz als Bedrohung markiert“. Dies sollte dazu beitragen, die Bedeutung des Protokolleintrags zu klären.
  • Verbesserung: Verbesserte Effizienz der Netzwerk-Brute-Force-Schutzfunktion.
  • Fehlerbehebung: Fehler behoben der verhinderte, dass der Netzwerk-Brute-Force-Schutz auf einigen Websites ordnungsgemäß funktioniert.


  • Fehlerbehebung: „comodo“ aus der Liste der blockierten User Agents der Sperrliste von entfernt. Damit ist sichergestellt, dass Comodo’s AutoSSL-Funktion von cPanel/WHM funktionieren kann.
  • Funktion aktualisiert: Die „REST-API“-Funktion unter WordPress-Optimierungen wurde aktualisiert. Diese Funktion verfügt nun über eine ordnungsgemäße Unterstützung für den Schutz der Privatsphäre deiner Website ohne, dass die REST-API daran gehindert wird funktionsfähig zu bleiben.
  • Verbesserung: Sicherheitsüberprüfung zum Erzwingen des Setzens der Einstellung „REST API“ auf „Eingeschränkter Zugriff“ aktualisiert.


  • Neue Funktion: Eine „REST-API“-Funktion unter WordPress-Optimierungen hinzugefügt. Mit dieser neuen Funktion kann der Zugriff auf die REST-API blockiert oder einschränkt werden.


  • Fehlerbehebung: Problem behoben, das dazu führen konnte, dass Datenbanksicherungs-E-Mails ohne den ZIP-Backup-Anhang gesendet wurden.


  • Verbesserung: Aktualisierung der Benachrichtigungs-E-Mail für Aussperrungen auf ein neues Design. Das neue Design räumt auch die Übersetzungs-Strings auf, um bessere Übersetzungen zu ermöglichen.
  • Neue Funktion: „Gegen Tabnapping schützen“-Funktion unter dem Abschnitt WordPress-Optimierungen hinzugefügt. Informationen darüber, wovor diese Funktion schützt, sind hier zu finden:—the-most-underestimated-vulnerability-ever/
  • Sonstiges: Die Beschreibung für die Sperrzeitraumeinstellung wurde aktualisiert, um darauf hinzuweisen, dass der Standardwert von 15 Minuten empfohlen wird.


  • Fehlerbehebung: Remote-IP-Adressen werden nun korrekt identifiziert, wenn der Server hinter einem Reverse-Proxy ist, der Anfragen mit mehr als einer IP sendet, die in einem einzigen Header aufgelistet sind.
  • Fehlerbehebung: Der Link für Benutzer auf der Protokollseite wurde korrigiert, sodass dieser korrekt auf Websites funktioniert, die sich in einem Unterverzeichnis befinden.
  • Fehlerbehebung: Verbessert, wie Starke Passwörter erzwingen mit zurückgesetzten Passwörtern umgeht, um die Kompatibilität mit verschiedenen Plugins zu verbessern.
  • Fehlerbehebung: Verbesserung der Logik für die Bestimmung, ob für einen Benutzer starke Passwörter erzwungen werden sollte. Dies umfasst Situationen, in denen der Benutzer eine individuelle Rolle, eine individuelle Standardrolle oder zusätzliche Kompetenzen über seine Rolle hinaus hinzugefügt wurden.
  • Verbesserung: Die Logik für die Bestimmung der anfordernden IP-Adresse wurde verbessert, um Situationen besser zu behandeln, in denen die Website hinter einem Reverse-Proxy liegt.
  • Verbesserung: Starke Passwörter erzwingen verwendet jetzt einen PHP-Port von zxcvbn, um sicherzustellen, dass ein starkes Passwort ausgewählt wurde.
  • Verbesserung: Alle Links unter Sicherheit, die über target=“_blank“ verfügen, besitzen nun zum Schutz vor Tabnapping über rel-Attribute.
  • Sonstiges: Verbleibende Links zu verlinkt, um im Einklang mit anderen Links zu sein, die zuvor auf aktualisiert wurden.


  • Fehlerbehebung: Fehler beim Speichern von Daten behoben, der dazu führen konnte, dass mehrere Benachrichtigungs-E-Mails in kurzer Zeit gesendet wurden.
  • Fehlerbehebung: Es wurde ein Problem behoben, welches dazu führen könnte, dass die Malware-Prüfung auf Websites versagt, die den Wert ph_sparator.output php.ini gegenüber seinem Standardwert geändert haben.
  • Fehlerbehebung: Redundante Einträge in der Sperrliste von HackRepair entfernt.
  • Fehlerbehebung: Das Aktivieren von Systemdateien schützen unter Systemoptimierungen blockiert nun nur die install.php für die aktuelle Website. Dies behebt das Problem, bei dem die Einstellung die Installation einer Website in einem Unterverzeichnis blockieren kann.
  • Fehlerbehebung: Problem behoben, das aufgrund großer Mengen von Protokolleinträgen, Anfragen über iThemes-Sicherheitsdaten von iThemes Sync fehlschlagen könnten.
  • Fehlerbehebung: Geplante Backups werden nun auch ausgeführt, wenn die Definition ITSEC_BACKUP_CRON auf einen nicht-booleschen Wert gesetzt wurde.
  • Fehlerbehebung: Ersetzung von statischen Verweisen auf wp-includes mit der WPINC-Definierung.
  • Fehlerbehebung: Blockierung von Abfragezeichenfolgen mit den Zeichen %0[0-9A-F] aus der Einstellung „Nicht-Englische Zeichen“ in die Einstellung „Verdächtige Abfragezeichenfolgen“ verschoben, da diese Zeichen Kontrollcodezeichen sind und nicht mit einer Sprache verknüpft sind.
  • Fehlerbehebung: Escaping zu einigen Übersetzungszeichenfolgen hinzugefügt.
  • Fehlerbehebung: Ungenutzte Dateien aus dem WordPress-Optimierungen-Modulverzeichnis entfernt.
  • Fehlerbehebung: Behoben, dass in der täglichen Zusammenfassungs-E-Mail die Benutzer- und Host-Aussperrungen rückwärts zählen.
  • Fehlerbehebung: Die Datenbank-Backup-E-Mail wird nicht mehr von der E-Mail-Adresse unter Einstellungen > Allgemein gesendet. Es greift nun standardmäßig auf die gleiche Adresse zu, die die Funktion wp_mail() verwendet. Dies behebt das Problem, das die E-Mail von einigen E-Mail-Servern aufgrund einer Manipulation der Adresse blockiert wird.
  • Verbesserung: Die Server-Konfigurationsregeln wurden aktualisiert, die von den Systemoptimierungseinstellungen erstellt wurden. Sie sind nun einheitlicher zwischen Apache, LiteSpeed und nginx. Sie sind auch effizienter und wurden verbessert, um die versehentliche Sperrung von nicht gezielten Anfragen zu begrenzen.
  • Verbesserung: Die Datenbank-Backup-E-Mail wurde auf ein neues Design aktualisiert.
  • Verbesserung: Eine Notiz hinzugefügt, dass die Einstellung „Anfragemethoden filtern“ unter Systemoptimierungen nicht aktiviert werden sollte, wenn die WordPress-REST-API verwendet wird. Das liegt daran, weil die DELETE HTTP-Methode blockiert wird, wenn diese Einstellung aktiviert ist.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Plugin-Verzeichnis unter Systemoptimierungen.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Theme-Verzeichnis unter Systemoptimierungen.


  • Fehlerbehebung: Problem behoben, welches ungültige Zählungen für Host- und Benutzersperrungen in der täglichen Zusammenfassungs-E-Mail gemeldet hat.
  • Fehlerbehebung: Problem behoben, dass die tägliche Zusammenfassungs-E-Mail jeden Tag gesendet wurde, auch wenn keine Aussperrungen auftraten und keine Dateiänderungen gefunden wurden.
  • Fehlerbehebung: Es wurde ein Problem behoben, welches das Speichern der Dateiänderungseinstellungen verhindern konnte, was zu einer Fehlermeldung von „Eine Validierungsfunktion für Dateiänderungen empfing Daten, die nicht den erforderlichen Eintrag für latest_changes hatte.“ führte.
  • Fehlerbehebung: Behoben, dass das iThemes Security-Pro-Logo in den täglichen Zusammenfassungs-E-Mails erscheint.


  • Fehlerbehebung: Den „Wget“ User Agent aus der Sperrliste von HackRepair entfernt, da er wp-cron-Jobs auf einigen Hosts blockieren kann.
  • Fehlerbehebung: Fehler „PHP message: PHP Fatal error: ‚continue‘ not in the ‚loop‘ or ’switch‘ context“ behoben.
  • Verbesserung: Neues tägliches Zusammenfassungs-E-Mail-Design hinzugefügt.


  • Sicherheitskorrektur: Problem behoben, bei dem eine gesperrte IP/Benutzer, die aber noch nicht auf der Sperrliste sind, bei der Überprüfung eines gültigen Benutzernamens/Passwortkombination unterschiedliche HTTP-Header erhalten konnte. Dank an Leon Atkinson von 18INT für die Kontaktaufnahme mit uns über diesen Fehler.
  • Sicherheitskorrektur: Die Protokollausgabe wurde aktualisiert, um zu verhindern, dass bestimmte Arten von protokollierten Anfragen ohne Datenbereinigung angezeigt werden. Vielen Dank an Slavco Mihajloski, der uns zu diesem Problem kontaktiert hat.
  • Fehlerbehebung: Der Sicherheit > Sicherheitsüberprüfungslink funktioniert nun wie erwartet mit Multisite.
  • Fehlerbehebung: Fehler behoben, der verhindern könnte, dass die Funktion „Lange URL-Zeichenfolgen filtern“ ordnungsgemäß funktioniert.
  • Fehlerbehebung: Einschränkungen in der „Lange URL-Zeichenfolgen filtern“-Funktion entfernt, die nicht mit der Länge der Anfrage verbunden waren.
  • Fehlerkorrektur: Ein Tippfehler einer Einstellungsbeschreibung unter Globale Einstellungen korrigiert.
  • Fehlerbehebung: Fehler behoben, der über XML-RPC zu Authentifizierungsproblemen führen könnte, wenn die Einstellung WordPress-Optimierungen > „Mehrere Authentifizierungsversuche per XML-RPC-Anfrage“ auf „Blockieren“ gesetzt ist.
  • Sonstiges: Platzhalter für das Versionsverwaltungsmodul von iThemes Security Pro hinzugefügt.
  • Sonstiges: Build-Nummer aktualisiert, um einige Aktualisierungen auszulösen.


  • Fehlerbehebung: Es wurde ein potenzielles Protokollierungsproblem behoben, welches verhindern könnte, dass einige Sperrhinweise auf nicht-englischen Websites protokolliert werden.
  • Fehlerbehebung: Unterbindung einiger Hinweise für Benutzer, die diese nicht sehen müssen.
  • Fehlerbehebung: Anzeige von Hinweisen auf bestimmte Seiten auf dem Dashboard begrenzt.
  • Kompatibilitätskorrektur: Name der Variable $HTTP_RAW_POST_DATA geändert, um eine fehlerhafte Auslösung von PHP 7-Kompatibilitätsprüfungen zu vermeiden.
  • Quelltextbereinigung: Legacycode entfernt, der nicht mehr benötigt wird.
  • Verbesserung: Tracking gestartet, wenn ein Benutzer zuletzt als angemeldet gesehen wurde und für die zukünftige Verwendung aktiv ist.
  • Sonstiges: Platzhalter für die Pro-Funktion „Benutzer-Sicherheitsüberprüfung“ hinzugefügt.


  • Neue Funktion: Auf der Einstellungsseite wurde ein neuer Sicherheitsüberprüfungsabschnitt hinzugefügt. Diese neue Funktion fügt ein Dienstprogramm hinzu, um schnell sicherzustellen, dass die empfohlenen Funktionen aktiviert sind und die empfohlenen Einstellungen verwendet werden.
  • Fehlerbehebung: Die Möglichkeit, die Datei itsec_away.confg zu entfernen, um den Abwesenheitsmodus zu deaktivieren, wurde behoben.
  • Verbesserung: Die Einstellung „Sperrlisten“ unter Benutzersperrung ist nun standardmäßig aktiviert.