iThemes Security (formerly Better WP Security)

Beschreibung

iThemes Security ist das Sicherheits-Plugin Nummer 1 für WordPress

IThemes Security (formerly Better WP Security) bietet dir mehr als 30 Möglichkeiten, deine WordPress-Website abzusichern und zu schützen. Im Durchschnitt werden täglich 30.000 neue Webseiten gehackt. WordPress-Websites können aufgrund von Plugin-Schwachstellen, schwachen Passwörtern und veralteter Software einfache Angriffsziele sein.

Die meisten WordPress-Admins wissen nicht, dass sie verwundbar sind. iThemes Security arbeitet aber daran WordPress abzusichern, gängige Sicherheitslücken zu beheben, automatisierte Angriffe zu stoppen und Benutzeranmeldeinformationen zu stärken. Durch erweiterte Funktionen für erfahrene Benutzer, kann unser WordPress-Sicherheits-Plugin helfen WordPress zu härten.

Gepflegt und unterstützt von iThemes

IThemes erstellt und unterstützt Werkzeuge für WordPress seit 2008. Zum Beispiel BackupBuddy, unser WordPress-Backup-Plugin. Mit unserer Palette an WordPress Plugins, Themes und Schulungen, ist die WordPress-Sicherheit der nächste Schritt dich mit dem zu versorgen, was du benötigst, um das WordPress-Web zu erstellen.

Erhalte Plugin-Support und Pro-Funktionen

Hole dir zusätzlichen Seelenfrieden mit professioneller Unterstützung von unserem Expertenteam und Pro-Funktionen, um die Sicherheit deiner Website mit iThemes Security Pro auf die nächste Ebene anzuheben.

Pro-Funktionen:

  • Zwei-Faktor-Authentifizierung – Verwende eine mobile App wie Google Authenticator oder Authy, um einen Code zu generieren oder einen generierten Code per E-Mail zu erhalten.
  • WordPress-Salts & Sicherheitsschlüssel – Das iThemes Security-Plugin vereinfacht es deine WordPress-Schlüssel und Salts zu aktualisieren.
  • Malware-Prüfungsplan – Lasse automatisch deine Website täglich nach Malware prüfen. Wenn ein Problem gefunden wird, wird eine E-Mail mit Details gesendet.
  • Passwortsicherheit – Erstelle direkt auf deiner Profilseite sichere Passwörter.
  • Passwortverfall – Lege ein maximales Passwortalter fest und zwinge Benutzer ein neues Kennwort zu wählen. Du kannst auch alle Benutzer zwingen (falls erforderlich) sofort ein neues Passwort zu wählen.
  • Google reCAPTCHA – Schützt deine Website vor Spam.
  • Benutzeraktionenprotokollierung – Verfolge, wenn Benutzer Inhalte bearbeiten, sich anmelden oder abmelden.
  • Import / Export von Einstellungen – Spart Zeit beim Einrichten mehrerer WordPress-Websites.
  • Dashboard Widget – Verwalte wichtige Aufgaben wie Benutzersperren und Systemüberprüfungen direkt von dem WordPress-Dashboard aus.
  • Online-Dateivergleich – Wenn eine Dateiänderung erkannt wird, wird der Ursprung der Dateien geprüft, um festzustellen, ob die Änderung böswillig war oder nicht. Derzeit funktioniert es nur für den WordPress-Kern – aber Plugins und Themes kommen.
  • Temporäre Berechtigungseskalation – Gebe einen Auftragnehmer oder jemand anderes temporäre Adminrechte oder Editor-Zugriff für deine Website, die automatisch wieder entzogen werden.
  • wp-cli Integration – Verwalte die Sicherheit deiner Website über die Befehlszeile.

iThemes Sync Integration

Verwaltest du mehr als eine WordPress-Website? Verwalte den Abwesenheitsmodus, hebe Aussperrungen auf und halte über ein Dashboard mit iThemes Sync deine Themes, Plugins und den WordPress-Kern aktuell. Beginne mit der kostenlosen Verwaltung von 10 WordPress-Websites über iThemes Sync.

iThemes-Brute-Force-Attackenschutznetzwerk

IThemes Security hebt den Brute-Force-Angriffsschutz auf die nächste Stufe durch das Aussperren von Benutzern, die versucht haben in andere Websites einzudringen. Das iThemes-Brute-Force-Angriffsschutznetzwerk meldet automatisch IP-Adressen von fehlgeschlagenen Anmeldeversuchen und blockiert diese für einen Zeitraum, der zum Schutz deiner Website erforderlich ist. Der Zeitraum richtet sich nach der Anzahl der Websites, die einen ähnlichen Angriff gesehen haben.

Schützt

IThemes Security schützt deine Website, indem schlechte Benutzer blockiert werden, die Sicherheit von Passwörtern erhöht wird und durch andere unerlässliche Angaben.

  • Verhindert Brute-Force-Angriffe durch das Aussperren von Hosts und Benutzern mit zu vielen ungültigen Anmeldeversuchen
  • Überprüft deine Website, um Schwachstellen sofort zu melden und behebt sie in Sekunden
  • Sperrt störende Benutzeragenten, Bots und andere Hosts aus
  • Stärkt die Server-Sicherheit
  • Erzwinge starke Kennwörter für alle Konten einer konfigurierbaren Mindestrolle
  • SSL für Admin-Seiten erzwingen (auf unterstützten Servern)
  • Erzwingt SSL für beliebige oder jede Seite oder Beitrag (auf unterstützenden Servern)
  • Schaltet die Dateibearbeitung über den WordPress-Admin-Bereich aus
  • Erkennt und blockiert zahlreiche Angriffe auf dein Dateisystem und deine Datenbank

Erkennt

IThemes Security überwacht deine Website und meldet Änderungen an dem Dateisystem und der Datenbank, die auf eine Kompromittierung hindeuten könnten. IThemes Security dient auch bei der Erkennung von Bots und bei anderen Versuchen Schwachstellen zu finden.

  • Erkennt Bots und andere Versuche nach Schwachstellen zu suchen.
  • Überwacht das Dateisystem auf nicht autorisierte Änderungen.
  • Führe eine Überprüfung nach Malware und schwarzen Listen auf der Startseite deiner Website aus.
  • Empfange E-Mail-Benachrichtigungen, wenn jemand nach zu vielen fehlgeschlagenen Anmeldeversuchen ausgesperrt wird oder wenn eine Datei auf deiner Website geändert wurde.

Verschleiert

IThemes Security verbirgt gängige WordPress-Sicherheitslücken, das Angreifer daran hindert, zu viel über deine Website zu erfahren und von sensiblen Bereichen deiner Website wie den Anmeldebereich, den Adminbereich usw. fernhält.

  • Ändert die URLs für WordPress-Dashboard-Bereiche, einschließlich Anmelden, Admin und mehr
  • Schaltet die Anmeldefunktion für einen bestimmten Zeitraum vollständig aus (Abwesenheitsmodus)
  • Entfernt Theme-, Plugin- und die WordPress-Kernaktualisierungsbenachrichtigungen für Benutzern, die keine Berechtigungen zum Aktualisieren haben
  • Entfernt Header-Informationen für Windows Live Writer
  • Entfernt RSD-Header-Informationen
  • Benennt das „admin“-Konto um
  • Ändert die ID für den Benutzer mit der ID 1
  • Ändert das WordPress-Datenbanktabellenpräfix
  • Ändere den wp-content-Pfad
  • Entfernt Anmeldefehlermeldungen

Wiederherstellen

IThemes Security macht regelmäßige Backups deiner WordPress-Datenbank, so dass du schnell wieder, im Falle eines Angriffs, online bist. Verwende iThemes Security, um Datenbanksicherungen nach einem anpassbaren Zeitplan zu erstellen und per E-Mail zu versenden.

Für vollständige Website-Backups und die Möglichkeit WordPress unter einem neuen Host oder einer neue Domain wiederherzustellen oder zu verschieben, besuche BackupBuddy.

Andere WordPress-Sicherheitsvorteile

  • Macht es für unerfahrene Benutzer einfacher, die nicht an WordPress gewöhnt sind, sich an Anmelde- und Admin-URLs zu erinnern, indem Standard-Admin-URLs angepasst werden können
  • Erkennt verborgene 404-Fehler deiner Website, die dein SEO durch schlechte Links und fehlende Bilder beeinflussen können

WordPress-Sicherheitsanleitungen

Wie du unser WordPress-Sicherheits-Plugin benutzen kannst, kannst du in unserer Serie detaillierter Schulungsvideos lernen (engl.):

Kompatibilität

  • Funktioniert mit Netzwerk-Websites (Multisites) und Einzel-Website-Installationen
  • Funktioniert mit Apache, LiteSpeed oder NGINX (Anmerkung: NGINX erfordert, dass du deine virtuelle Host-Konfiguration manuell bearbeitest)
  • Funktionen wie Datenbank-Backups und Dateiüberprüfungen können auf Servern ohne mindestens 64MB RAM problematisch sein. Alle Test-Server weisen WordPress 128MB zu und haben in der Regel keine anderen Plugins installiert.

Übersetzungen

Bitte lass es uns wissen, wenn du zu einer Übersetzung beitragen möchtest.

Warnung

Bitte lese die Installationsanweisungen und die FAQ, bevor du dieses WordPress-Sicherheits-Plugin installierst. IThemes Security macht erhebliche Änderungen an deiner Datenbank und anderen Website-Dateien. Diese können problematisch sein, so dass ein Backup dringend empfohlen wird, bevor du mit diesem Plugin Änderungen an deiner Website durchführst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

Lizenz

Veröffentlicht unter den Bestimmungen der GNU General Public License.

Screenshots

  • Die WordPress-Sicherheitseinstellungen sind in einem einfach zu bedienenden Dashboard organisiert.
  • Einstellungen können auch in einer Listenansicht verwaltet werden.
  • Die Einstellungen sind einfach zu konfigurieren und mit Beschreibungen dargelegt.
  • Durch erweiterte WordPress-Sicherheitseinstellungen kannst du komplexere Änderungen an deiner Website vornehmen.
  • Kostenlose Malware-Prüfung powered by Sucuri SiteCheck.

Installation

HINWEIS: iThemes Security nimmt signifikante Änderungen an deiner Datenbank und anderen Website-Dateien vor, die problematisch sein können. Daher ist ein Backup dringend angeraten, bevor du Änderungen an deiner Website mit diesem Plugin vornimmst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

  1. BEVOR DU BEGINNST: Sichere bitte deine WordPress-Datenbank, die Konfigurationsdatei und die .htaccess-Datei. Wir empfehlen die Verwendung von BackupBuddy, unserem WordPress-Backup-Plugin für ein vollständiges Website-Backup.
  2. Die Zip-Datei in das Verzeichnis /wp-content/plugins/ hochladen.
  3. Entpacken
  4. Aktiviere das Plugin in WordPress über das Menü ‚Plugins‘
  5. Besuche das Sicherheitsmenü für die Kontrollliste und Einstellungen

DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.

FAQ

Installationsanleitung

HINWEIS: iThemes Security nimmt signifikante Änderungen an deiner Datenbank und anderen Website-Dateien vor, die problematisch sein können. Daher ist ein Backup dringend angeraten, bevor du Änderungen an deiner Website mit diesem Plugin vornimmst. Obwohl Probleme selten sind, beinhalten die meisten Support-Anfragen den Fehler vor der Installation kein ordnungsgemäßes Backup erstellt zu haben.

  1. BEVOR DU BEGINNST: Sichere bitte deine WordPress-Datenbank, die Konfigurationsdatei und die .htaccess-Datei. Wir empfehlen die Verwendung von BackupBuddy, unserem WordPress-Backup-Plugin für ein vollständiges Website-Backup.
  2. Die Zip-Datei in das Verzeichnis /wp-content/plugins/ hochladen.
  3. Entpacken
  4. Aktiviere das Plugin in WordPress über das Menü ‚Plugins‘
  5. Besuche das Sicherheitsmenü für die Kontrollliste und Einstellungen

DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.

Warum verlangt iThemes Security die neueste WordPress-Version? Kann nicht eine etwas ältere Version verwendet werden?
  • Eine der besten Sicherheitspraktiken für einen WordPress-Website-Inhaber ist die Software auf dem aktuellen Stand zu halten. Aus diesem Grund testen wir dieses Plugin nur mit der neuesten stabilen Version von WordPress und garantieren nur, dass es mit der aktuellsten Version funktioniert.
Wird dieses Plugin alle Angriffe auf meine Website stoppen?
  • Nein. IThemes Security wurde entwickelt um die Sicherheit deiner WordPress-Installation vor vielen verbreiteten Angriffsmethoden zu verbessern. Es kann aber nicht verhindern, dass jeder mögliche Angriff verhindert wird. Nichts ersetzt Sorgfalt und gute Praxis. Dieses Plugin macht es für dich ein wenig einfacher beides zu erzielen.
Ist das Plugin nur für neue WordPress-Installationen oder kann es auch bei bestehenden Websites verwendet werden?
  • Viele der durch dieses Plugin vorgenommenen Änderungen sind komplex und können bestehende Websites zerstören. Da iThemes Security sowohl für eine neue als auch für eine bestehende Website installiert werden kann, empfehlen wir dringend ein vollständiges Backup deiner bestehenden Website, bevor du damit beginnst Funktionen dieses Plugins anzuwenden.
Funktioniert dieses Plugin auf allen Servern und Hosts?
  • IThemes Security erfordert Apache oder LiteSpeed und mod_rewrite oder NGINX.
  • Obwohl dieses Plugin auf allen Hosts mit Apache oder LiteSpeed und mod_rewrite oder NGINX funktionieren sollte, ist es bekannt, dass es Probleme unter Shared-Hosting-Umgebungen gibt, bei denen es an Ressourcen wie verfügbare CPU-Leistung oder RAM fehlt. Aus diesem Grund ist es sehr wichtig, dass du vor der Installation bei einer bestehenden Website ein Backup deiner Website machst. Wenn dir während einer Operation, wie z. B. das Umbenennen deiner Datenbanktabelle, die Ressourcen ausgehen, wirst du möglicherweise dein Backup benötigen, um den Zugriff auf deine Website wiederherstellen zu können.
  • Zu guter Letzt stelle bitte sicher, dass dir genügend RAM zur Verfügung stehen, wenn du beabsichtigst die WordPress-Dateiänderungserkennung zu verwenden oder große Backups machst.
Funktioniert das bei Netzwerk-/ Multisite-Installationen?
  • Ja. Wir arbeiten an der Weiterentwicklung der Dokumentation. Sobald diese fertig ist, aktualisieren wir dies.
Kann ich helfen?
Welche Änderungen macht dieses Plugin, die meine Website lahmlegen können?
  • iThemes Security nimmt erhebliche Änderungen an deiner Datenbank und anderen Website-Dateien vor, die für bestehende WordPress-Websites problematisch sein können. Wir empfehlen dir dringend, vor der Verwendung dieses Plugins eine vollständige Sicherung deiner Website zu erstellen. Probleme treten selten auf, doch bei den meisten Supportanfragen geht es auch darum, dass vor der Installation kein ordnungsgemäßes Backup erstellt wurde.
    DISCLAIMER: Under no circumstances do we release this plugin with any warranty, implied or otherwise. We cannot be held responsible for any damage that might arise from the use of this plugin.
    Dieser Haftungsausschluss wurde vom Pluginautor beigefügt und wurde aus rechtlichen Gründen nicht übersetzt.
  • Beachte, dass das Umbenennen des Verzeichnisses wp-content den Pfad des bereits vorhandenen Inhalts nicht aktualisiert. Verwende diese Funktion nur bei neuen Websites oder in einer Situation, bei der du alle vorhandenen Links einfach aktualisieren kannst.
  • iThemes Security Aussperrungen beheben
  • Was wird von iThemes Security geändert
Ich habe die Option „SSL erzwingen“ aktiviert, und das legt meine Website lahm. Wie komme ich wieder hinein?
  • Öffne die Datei wp-config.php in einem Texteditor und entferne die folgenden 2 Zeilen:
  • define(‚FORCE_SSL_LOGIN‘, true);
  • define(‚FORCE_SSL_ADMIN‘, true);
Wo bekomme ich Hilfe, wenn etwas schief geht?
  • Offizieller Support für dieses Plugin steht für iThemes Security Pro-Kunden zur Verfügung. Unser Expertenteam steht dir gerne zur Verfügung.

Kostenlose Unterstützung kann durch die Hilfe der Community in den WordPress.org-Support-Foren bereitstehen (Hinweis: Dies ist ein community-basierter Support. IThemes überwacht nicht die WordPress.org-Support-Foren).

Rezensionen

Great plugin, thank you!

Many features make it possible to easily solve some security bottlenecks. Really simple and powerful!

Thanks to developer team!

Pretty good plugin

It has a lot of functionality, which makes the plugin a bit complex. However, together with a youtube tutorial it was super easy to set up. And so much of the functionality is free.

Plugin has a lot of good features, but …

This plugin has a lot of good features, but…

The main reason for me installing this plugin was to hide my backend (or default WordPress stuff like wp-login, wp-admin, etc), but all this did was redirect back to the default login page. Pretty useless on that front and not really securing anything. Great idea in theory, but not in practice. Hope this gets fixed as there is alot of other useful stuff in this plugin worth keeping it for.

Doesn’t hide the backend

This plugin has a lot of good features, but they are not implemented very well. The main reason for me installing this plugin was to hide my backend (or default WordPress stuff like login, etc), but all this did was redirect back to the default login page. Pretty useless on that front.

Lies alle 3.831 Rezensionen

Mitwirkende & Entwickler

„iThemes Security (formerly Better WP Security)“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

„iThemes Security (formerly Better WP Security)“ wurde in 8 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „iThemes Security (formerly Better WP Security)“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Changelog

6.7.0

  • Neue Funktion: Einführung der Benachrichtigungszentrale – Ein zentraler Ort für die Verwaltung und Anpassung von E-Mail-Benachrichtigungen, die von iThemes Security gesendet werden.
  • Verbesserung: Abfragen und Vorbereitungsanweisungen zur Berücksichtigung von Änderungen an der Funktion esc_sql() in WordPress 4.8.3 aktualisiert.
  • Fehlerbehebung: Einige JavaScript- und CSS-Links korrigiert, die auf Windows-Servern nicht korrekt erstellt wurden.

6.6.1

  • Fehlerbehebung: Ein Fehler der SQL-Abfrage wurde behoben, der dazu führte, dass die Einstellung „Speicherdauer von Anmeldefehlversuchen in Minuten (Prüfzeitraum)“ ignoriert wurde.
  • Fehlerbehebung: Fehler behoben, der verhindert, dass die Blockierung für wp-admin / install.php, ordnungsgemäß auf nginx-Servern funktioniert.
  • Fehlerbehebung: Kein Versuch eine SSL-Weiterleitung durchzuführen, wenn WP-CLI läuft.

6.6.0

  • Neue Funktion: Eine neue Einstellung unter WordPress-Optimierungen hinzugefügt: „Mit E-Mail-Adresse oder Benutzername anmelden“.
  • Verbesserung: Empfang der E-Mail-Bilder vom Plugin anstatt auf die iThemes-Server zu verweisen, um E-Mail-Anwendungen zu helfen, Nachrichten als Spam zu markieren oder Bilder zu blockieren.
  • Fehlerbehebung: Fehler beim Suchen nach Modulen, der verhindert, dass Module erscheinen.
  • Fehlerbehebung: Verwendung der Tabelle wp_options, wenn Sperrungen im Netzwerk akquiriert werden.
  • Fehlerbehebung: Verhindern von doppelten täglichen Zusammenfassungs-E-Mails auf Websites mit hoher Belastung.
  • Sonstiges: Magische Links hinzugefügt, eine neue Nur-Pro-Funktion, die von der Sicherheitsüberprüfung aktiviert wird.
  • Sonstiges: Module umgeordnet, um alphabetisch aufgelistet zu sein.

6.5.1

  • Fehlerbehebung: Logischen Fehler behoben, der verhindert, dass Backups ausgeführt werden.
  • Fehlerbehebung: Problem behoben, welches dazu führen könnte, dass Datenbanksperren die Datenbank überfluten.

6.5.0

  • Verbesserung: Das SSL-Modul vereinfacht, um eine einfache Aktivierungs-/ Deaktivierungseinstellung und vereinfachte Erklärungen anzubieten. Die bisherigen Einstellungen sind über die Auswahl Erweitert verfügbar.
  • Verbesserung: Den itsec-get-ip-Filter hinzugefügt, damit der Quelltext die Remote-IP direkt versorgen kann.
  • Verbesserung: Die Aktivierung der SSL-Unterstützung wird dich nur dann abmelden, wenn du noch nicht über eine https-Verbindung verbunden bist.
  • Verbesserung: Passwortanforderungskompatibilität mit Plugins und Systemen verbessert, die mit WordPress-Benutzern verknüpft sind.
  • Alte Funktion entfernt: Die „jQuery mit einer sicheren Version ersetzen“-Funktion entfernt, da ihre Anwendung (Schutz gegen einen bestimmten jQuery-Fehler: https://bugs.jquery.com/ticket/9521) viele Jahre alt ist und keine Besorgnis mehr ist.
  • Fehlerbehebung: Versionsnummer einiger Skripts erhöht, um sicherzustellen, dass diese ordnungsgemäß aktualisiert werden.
  • Fehlerbehebung: Einen Weg das „Backend verstecken“ zu umgehen bei einigen Hosts behoben.

6.4.0

  • Verbesserung: Dateiaussperrungen mit Datenbanksperrungen ersetzt. Diese Methode der Aussperrung ist mit allen Systemen kompatibel, da es nicht die Fähigkeit erfordert, Dateien zu schreiben. Es ermöglicht auch, dass Aussperrungen auf Websites funktionieren, die mehrere Frontend-Server mit einer gemeinsamen Datenbank haben. Da die Dateiaussperrung nicht mehr verwendet wird, wurde die Globalen Einstellungen > Deaktivieren der Dateisperrungseinstellung entfernt.
  • Verbesserung: Hinzufügung der „In die Zwischenablage kopieren“-Funktionalität für Server- und wp-config-Regeln.
  • Fehlerbehebung: Verhindern von 404s, wenn Links in E-Mail-Benachrichtigungen auf einer Website mit aktiviertem „Backend verstecken“ gefolgt wird.
  • Fehlerbehebung: Sicherstellung, dass der der Deinstallationsprozess nicht ausgeführt wird, wenn eine andere Version der iThemes Security immer noch aktiv ist.
  • Fehlerbehebung: Methode behoben das „Backend verstecken“ zu umgehen.
  • Fehlerbehebung: Warnungen werden nicht mehr beim Speichern eines Benutzerprofils mit der ausgewählten Rolle „Keine Rolle für diese Website“ generiert.

6.3.0

  • Wichtig: Die Art und Weise, wie die „Backend verstecken“-Funktionen funktioniert, ändert sich in dieser Version. Früher, wenn deine „Backend verstecken“-Anmeldetitelform wplogin war und du example.com/wplogin aufriefst, würde die URL unter example.com/wplogin verbleibenden. Die neue Implementierung dieser Funktion führt zu einer Weiterleitung zu einer URL, die wie folgt aussieht: example.com/wp-login.php?itsec-hb-token=wplogin. Obwohl dies für einige Benutzer nicht wünschenswert ist, war diese Änderung notwendig, um langjährige Kompatibilitätsprobleme mit anderen Plugins zu beheben. Sobald du mit der Anmeldetitelformseite auf die Anmeldeseite zugreifst, wird ein Cookie mit einer Ablaufzeit von einer Stunde gesetzt. Solange das Cookie verbleibt, kannst du auf example.com/wp-login.php zugreifen, ohne vorher auf die „Backend verstecken“-Anmeldetitelform zuzugreifen. Wenn du sicher gehen möchtest, dass „Backend verstecken“ auf deiner Website ordnungsgemäß funktioniert, ist das Öffnen eines privaten Browser-Fensters eine schnelle Möglichkeit dies zu testen, ohne sich abmelden und die Cookies löschen zu müssen.
  • Neue Funktion: Unterstützung für iThemes Sync, um die Sicherheitsüberprüfungsfunktion aus dem Sync-Dienst auszuführen.
  • Neue Funktion: Unterstützung für die ITSEC_DISABLE_MODULES definiert.
  • Fehlerbehebung: Warnung: „Non-static method ITSEC_Setup::uninstall() should not be called statically“ entfernt.
  • Fehlerbehebung: Möglichkeit behoben, manuell eine Seitennummer einzugeben, um auf der Sicherheits- > Protokollseite zu navigieren.
  • Fehlerbehebung: Warnungsquelle behoben, die beim Erstellen eines Backups beim Ausführen einer PHP-Version unter 5.4 auftreten könnte.
  • Fehlerbehebung: Hinweisquelle behoben, die beim Zurücksetzen des Passworts eines Benutzers angezeigt werden könnte, wenn die Funktion „Sichere Passwörter“ aktiviert ist.
  • Fehlerbehebung: Fehler behoben, die die Berichterstattung über bestimmte Fehlermeldungen im Zusammenhang mit der Aktualisierung der Datei wp-config.php verhinderten.
  • Fehlerbehebung: Eine Endlosschleife wurde behoben, die auftreten könnte, wenn ein Cookie ausläuft und „Backend verstecken“ aktiviert ist.
  • Fehlerbehebung: Kompatibilitätsproblem mit dem Jetpack-Plugin behoben, wenn „Backend verstecken“ aktiviert ist, welches verhindern könnte, dass Jetpack-Benutzer auf die WordPress.com-Anmeldeseite weitergeleitet werden.
  • Fehlerbehebung: Problem bei dem der Zugriff auf wp-admin/admin-post.php behoben, wenn Backend verstecken aktiv ist.
  • Fehlerbehebung: Problem behoben, welches verhindern könnte, dass die „Registrieren“- und „Passwort verloren?“-Links auf der Anmeldeseite ordnungsgemäß funktionieren, wenn Backend verstecken aktiviert ist.
  • Fehlerbehebung: Schwerwiegender Fehler beim Aktualisieren eines Profils behoben.
  • Fehlerbehebung: Korrektur, dass Starke Passwörter nicht als stark auf der Profilseite erkannt werden.
  • Fehlerbehebung: Schwerwiegender Fehler bei der Registrierung eines neuen Benutzers ohne Angabe einer Rolle behoben (iThemes Exchange).
  • Fehlerbehebung: Kompatibilität mit JetPack SSO und Password Requirements.
  • Fehlerbehebung: Sicherstellung, dass das Viewport-Meta beim Laden des Passwortanforderungsaktualisierungs-Passwortformulars definiert ist.
  • Fehlerbehebung: Backend verstecken ist jetzt kompatibel mit Jetpack Single Sign On.
  • Fehlerbehebung: Backend verstecken versteckt nun Registrierungsseiten bei Netzwerk-Websites.
  • Fehlerbehebung: Behoben, dass passwortgeschützte Beiträge das Passwort nicht ordnungsgemäß behandeln haben, wenn Backend verstecken aktiv ist.
  • Verbesserung: AhrefsBot aus der schwarzen Liste von HackRepair entfernt, da sie legitim sind.
  • Verbesserung: Verbesserte Effizienz des „Backend verstecken“-Quelltextes zur Erhöhung der Website-Performance, wenn die Funktion aktiviert ist.
  • Verbesserung: Erzwingung von starken Passwörtern bei der Anmeldung. Kann über die Konstante ITSEC_DISABLE_PASSWORD_REQUIREMENTS deaktiviert werden.
  • Verbesserung: Verwendung der kanonischen Rollenbibliothek, um festzustellen, ob ein neuer Benutzer oder eine aktualisierte Rolle ein starkes Passwort benötigt.
  • Verbesserung: Passwortanforderungsmodul eingeführt, um die Handhabung von Passwortaktualisierungen zu zentralisieren.
  • Verbesserung: Die Backend verstecken verborgene Anmelde-URL ist nicht mehr durch passwortgeschützte Inhalte ersichtlich.
  • Verbesserung: Ermöglichung des Durchsuchens von Modulen und Einstellungen.
  • Verbesserung: Link zu anderen Modul-Einstellungsseiten, ohne die Seite zu aktualisieren.
  • Verbesserung: Ausführung einer Action, „itsec_change_admin_user_id“, wenn sich die Admin-Benutzer-ID ändert.
  • Verbesserung: Standard-„Backend verstecken“-Registerungstitelform von wp-register.php zu wp-signup.php geändert, da WordPress von wp-register.php auf wp-signup.php für Registrierungen umgestellt hat. Dies wirkt sich nicht auf bestehende Websites aus.
  • Verbesserung: „Backend verstecken“-Funktionen nun rein in PHP-Quelltext anstatt zur Hälfte auf PHP-Quelltext und die Hälfte auf .htaccess- und nginx.conf-Modifikationen zu setzen. Dies ermöglicht „Backend verstecken“ auf Webservern und Serverkonfigurationen zu funktionieren, mit denen es bisher nicht kompatibel war.
  • Sonstiges: phpDoc zu vielen Funktionen aktualisiert oder hinzugefügt.
  • Sonstiges: „Dateisperrungen deaktivieren“-Beschreibung aktualisiert.

6.2.1

  • Fehlerbehebung: Wenn eine anfordernde IP-Adresse nicht gefunden werden kann, wird diese standardmäßig auf 127.0.0.1 gesetzt. Dies behebt Probleme mit einigen alternativen Cron-Setups.
  • Fehlerbehebung: Mehr als eine Änderung durch iThemes Security in einer .htaccess-, nginx.conf- oder wp-config.php-Datei wird nicht mehr dazu führen, dass aller Dateiinhalt zwischen jedem Abschnitt beim Aktualisieren der Datei entfernt wird.
  • Fehlerbehebung: Änderungen an der wp-config.php-Datei, die von W3 Total Cache hinzugefügt wurden, behalten nun ihre neuen Windows-Style-Zeilen, wenn iThemes Security die Datei aktualisiert.

6.2.0

  • Verbesserung: Verbesserte Plugin-Performance durch die Verringerung der Anzahl der auf jeder Seite vorgenommenen Abfragen.
  • Verbesserung: Reduzierte Arbeitsspeicher- und CPU-Auslastung durch diverse Quelltextverbesserungen.
  • Fehlerbehebung: Bei der ersten Aktivieren des Plugins wird keine Datenbanksicherung mehr erstellt.
  • Fehlerbehebung: Kompatibilität für den MySQL Strict Modus im Datenbankerstellungs-Syntax hinzugefügt.
  • Fehlerbehebung: Warnung über einen „nicht gut gebildeten numerischen Wert“ unter PHP 7.1 entfernt.
  • Fehlerbehebung: Änderungen an den Dateien wp-config.php, .htaccess und nginx.conf werden nun bei der Reaktivierung ordnungsgemäß wieder hinzugefügt.
  • Fehlerbehebung: Nach dem Deaktivieren der Funktion und beim Speichern der Einstellungen wurden die vollständigen Einstellungen für „Backend verstecken“ angezeigt.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert den Abmelden-Link, so dass er wie erwartet funktioniert, ohne eine neue Seite laden zu müssen.
  • Fehlerbehebung: Das Aktivieren oder Deaktivieren der Funktion Backend verstecken aktualisiert nun die .htaccess/nginx.conf-Datei bei der Aktivierung und Deaktivierung, statt an einem zukünftigen Punkt.
  • Fehlerbehebung: Problem behoben, das eine falsche Datenbanktabellenerstellung bei Netzwerk-Websites verursachen könnte.
  • Fehlerbehebung: Ein Fehler wurde behoben der verhindert, dass Einstellungen ordnungsgemäß gespeichert wurden, wenn die Website auf einen neuen Server oder einen neuen „Home“-Pfad auf dem Server migriert wurde.

6.1.1

  • Fehlerbehebung: Ein Fehler wurde behoben, durch den der Abwesenheitsmodus auf einigen Websites nicht aktiviert werden konnte.

6.1.0

  • Verbesserung: Protokollierung für fehlgeschlagene Zwei-Faktor-, OAuth- und REST-API-Authentifizierungen hinzugefügt.
  • Verbesserung: Protokollierungsdetails über die Quelle der Anmeldefehler und die Art der Authentifizierung, die fehlgeschlagen ist, hinzugefügt.
  • Erweiterung: Durch Verbesserungen bei der Verfolgung von Authentifizierungsfehlern werden Brute-Force-Versuche, die alternative Authentifizierungsmethoden verwenden, zuverlässiger gefunden und blockiert.
  • Verbesserung: Die IP-Adresse des Servers wird als weiß gelistet behandelt und gilt nicht für Aussperrungen oder Verbote.
  • Verbesserung: Reduzierter Speicherverbrauch beim Erstellen eines Backups.
  • Verbesserung: Geänderte Protokolleintragsbeschreibung von „IP wurde als Bedrohung durch den iThemes IPCheck markiert“ auf „IP wurde durch den Netzwerk-Brute-Force-Schutz als Bedrohung markiert“. Dies sollte dazu beitragen, die Bedeutung des Protokolleintrags zu klären.
  • Verbesserung: Verbesserte Effizienz der Netzwerk-Brute-Force-Schutzfunktion.
  • Fehlerbehebung: Fehler behoben der verhinderte, dass der Netzwerk-Brute-Force-Schutz auf einigen Websites ordnungsgemäß funktioniert.

6.0.0

  • Fehlerbehebung: „comodo“ aus der Liste der blockierten User Agents der schwarzen Liste von HackRepair.com entfernt. Damit ist sichergestellt, dass Comodo’s AutoSSL-Funktion von cPanel/WHM funktionieren kann.
  • Funktion aktualisiert: Die „REST-API“-Funktion unter WordPress-Optimierungen wurde aktualisiert. Diese Funktion verfügt nun über eine ordnungsgemäße Unterstützung für den Schutz der Privatsphäre Ihrer Website ohne, dass die REST-API daran gehindert wird funktionsfähig zu bleiben.
  • Verbesserung: Sicherheitsüberprüfung zum Erzwingen des Setzens der Einstellung „REST API“ auf „Eingeschränkter Zugriff“ aktualisiert.

5.9.0

  • Neue Funktion: Eine „REST-API“-Funktion unter WordPress-Optimierungen hinzugefügt. Mit dieser neuen Funktion kann der Zugriff auf die REST-API blockiert oder einschränkt werden.

5.8.1

  • Fehlerbehebung: Problem behoben, das dazu führen konnte, dass Datenbanksicherungs-E-Mails ohne den ZIP-Backup-Anhang gesendet wurden.

5.8.0

  • Verbesserung: Aktualisierung der Benachrichtigungs-E-Mail für Aussperrungen auf ein neues Design. Das neue Design räumt auch die Übersetzungs-Strings auf, um bessere Übersetzungen zu ermöglichen.
  • Neue Funktion: „Gegen Tabnapping schützen“-Funktion unter dem Abschnitt WordPress-Optimierungen hinzugefügt. Informationen darüber, vor was diese Funktion schützt, sind hier zu finden: https://www.jitbit.com/alexblog/256-targetblank—the-most-underestimated-vulnerability-ever/
  • Sonstiges: Die Beschreibung für die Sperrzeitraumeinstellung wurde aktualisiert, um darauf hinzuweisen, dass der Standardwert von 15 Minuten empfohlen wird.

5.7.1

  • Fehlerbehebung: Remote-IPs werden nun korrekt identifiziert, wenn der Server hinter einem Reverse-Proxy ist, der Anfragen mit mehr als einer IP sendet, die in einem einzigen Header aufgelistet sind.
  • Fehlerbehebung: Den Link für Benutzer auf der Protokollseite wurde korrigiert, sodass dieser korrekt auf Websites funktioniert, die sich in einem Unterverzeichnis befinden.
  • Fehlerbehebung: Verbessert, wie Sichere Passwörter erzwingen mit zurückgesetzten Passwörtern umgeht, um die Kompatibilität mit verschiedenen Plugins zu verbessern.
  • Fehlerbehebung: Verbesserung der Logik für die Bestimmung, ob für einen Benutzer starke Passwörter erzwungen werden sollte. Dies umfasst Situationen, in denen der Benutzer eine individuelle Rolle, eine individuelle Standardrolle oder zusätzliche Kompetenzen über seine Rolle hinaus hinzugefügt wurden.
  • Verbesserung: Die Logik für die Bestimmung der anfordernden IP-Adresse wurde verbessert, um Situationen besser zu behandeln, in denen die Website hinter einem Reverse-Proxy liegt.
  • Verbesserung: Sichere Passwörter erzwingen verwendet jetzt einen PHP-Port von zxcvbn, um sicherzustellen, dass ein sicheres Passwort ausgewählt wurde.
  • Verbesserung: Alle Links unter Sicherheit, die über target=“_blank“ verfügen, besitzen nun zum Schutz vor Tabnapping über rel-Attribute.
  • Sonstiges: Verbleibende ip-lookup.net Links zu traceip.net verlinkt, um im Einklang mit anderen Links zu sein, die zuvor auf traceip.net aktualisiert wurden.

5.7.0

  • Fehlerbehebung: Fehler beim Speichern von Daten behoben, der dazu führen konnte, dass mehrere Benachrichtigungs-E-Mails in kurzer Zeit gesendet wurde.
  • Fehlerbehebung: Es wurde ein Problem behoben, welches dazu führen könnte, dass die Malware-Prüfung auf Websites versagt, die den Wert ph_sparator.output php.ini gegenüber seinem Standardwert geändert haben.
  • Fehlerbehebung: Redundante Einträge in der schwarzen Liste von HackRepair entfernt.
  • Fehlerbehebung: Das Aktivieren von Systemdateien schützen unter System-Optimierungen blockiert nun nur die install.php für die aktuelle Website. Dies behebt das Problem, bei dem die Einstellung die Installation einer Website in einem Unterverzeichnis blockieren kann.
  • Fehlerbehebung: Problem behoben, das aufgrund großer Mengen von Protokolleinträgen, Anfragen über iThemes-Sicherheitsdaten von iThemes Sync fehlschlagen könnten.
  • Fehlerbehebung: Geplante Backups werden nun auch ausgeführt, wenn die Definition ITSEC_BACKUP_CRON auf einen nicht-booleschen Wert gesetzt wurde.
  • Fehlerbehebung: Ersetzung von statischen Verweisen auf wp-includes mit der WPINC-Definierung.
  • Fehlerbehebung: Blockierung von Abfragezeichenfolgen mit den Zeichen %0[0-9A-F] aus der Einstellung „Nicht-Englische Zeichen“ in die Einstellung „Verdächtige Abfragezeichenfolgen“ verschoben, da diese Zeichen Kontrollcodezeichen sind und nicht mit einer Sprache verknüpft sind.
  • Fehlerbehebung: Escaping zu einigen Übersetzungszeichenfolgen hinzugefügt.
  • Fehlerbehebung: Ungenutzte Dateien aus dem WordPress-Optimierungen-Modulverzeichnis entfernt.
  • Fehlerbehebung: Behoben, dass in der tägliche Zusammenfassungs-E-Mail die Benutzer- und Host-Aussperrungen rückwärts zählen.
  • Fehlerbehebung: Die Datenbank-Backup-E-Mail wird nicht mehr von der E-Mail-Adresse unter Einstellungen > Allgemein gesendet. Es greift nun standardmäßig auf die gleiche Adresse zu, die die Funktion wp_mail() verwendet. Dies behebt das Problem, das die E-Mail von einigen E-Mail-Servern aufgrund einer Manipulation der Adresse blockiert wird.
  • Verbesserung: Die Server-Konfigurationsregeln wurden aktualisiert, die von den System-Optimierungseinstellungen erstellt wurden. Sie sind nun einheitlicher zwischen Apache, LiteSpeed und nginx. Sie sind auch effizienter und wurden verbessert, um die versehentliche Sperrung von nicht gezielten Anfragen zu begrenzen.
  • Verbesserung: Die Datenbank-Backup-E-Mail wurde auf ein neues Design aktualisiert.
  • Verbesserung: Eine Notiz hinzugefügt, dass die Einstellung „Anfragemethoden filtern“ unter System-Optimierungen nicht aktiviert werden sollte, wenn die WordPress-REST-API verwendet wird. Das liegt daran, weil die DELETE HTTP-Methode blockiert wird, wenn diese Einstellung aktiviert ist.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Plugin-Verzeichnis unter System-Optimierungen.
  • Neue Funktion: Einstellung zum Blockieren von Anfragen von PHP-Dateien im Theme-Verzeichnis unter System-Optimierungen.

5.6.4

  • Fehlerbehebung: Problem behoben, welches ungültige Zählungen für Host- und Benutzersperrungen in der täglichen Zusammenfassungs-E-Mail gemeldet hat.
  • Fehlerbehebung: Problem behoben, dass die tägliche Zusammenfassungs-E-Mail jeden Tag gesendet wurde, auch wenn keine Aussperrungen auftraten und keine Dateiänderungen gefunden wurden.
  • Fehlerbehebung: Problem behoben, welches das Speichern der Dateiänderungseinstellungen verhindern könnte, das zu einer Fehlermeldung von „Eine Validierungsfunktion für Dateiänderungen empfing Daten, die nicht den erforderlichen Eintrag für latest_changes hatte.“ führt.
  • Fehlerbehebung: Behoben, dass das iThemes Security-Pro-Logo in den täglichen Zusammenfassungs-E-Mails erscheint.

5.6.3

  • Fehlerbehebung: Den „Wget“ User Agent aus der schwarzen Liste von Hack Repair entfernt, da er wp-cron-Jobs auf einigen Hosts blockieren kann.
  • Fehlerbehebung: Fehler „PHP message: PHP Fatal error: ‚continue‘ not in the ‚loop‘ or ’switch‘ context“ behoben.
  • Verbesserung: Neues tägliches Zusammenfassungs-E-Mail-Design hinzugefügt.

5.6.2

  • Sicherheitskorrektur: Problem behoben, bei dem eine gesperrte, aber noch nicht schwarz gelistete IP/Benutzer, bei der Prüfung eines gültigen Benutzernamens/Passwortkombination, unterschiedliche HTTP-Header erhalten konnte. Dank an Leon Atkinson von 18INT für die Kontaktaufnahme mit uns über diesen Fehler.
  • Sicherheitskorrektur: Protokollausgabe aktualisiert, um zu verhindern, dass bestimmte Arten von protokollierten Anfragen ohne Desinfektion (sanitization) angezeigt werden. Danke an Slavco Mihajloski für die Kontaktaufnahme zu diesem Thema.
  • Fehlerbehebung: Der Sicherheit > Sicherheitsüberprüfungslink funktioniert nun wie erwartet im Netzwerk.
  • Fehlerbehebung: Fehler behoben, der verhindern könnte, dass die Funktion „Lange URL-Zeichenfolgen filtern“ ordnungsgemäß funktioniert.
  • Fehlerbehebung: Einschränkungen in der „Lange URL-Zeichenfolgen filtern“-Funktion entfernt, die nicht mit der Länge der Anfrage verbunden waren.
  • Fehlerkorrektur: Ein Tippfehler einer Einstellungsbeschreibung unter Globale Einstellungen korrigiert.
  • Fehlerbehebung: Fehler behoben, der über XML-RPC zu Authentifizierungsproblemen führen könnte, wenn die Einstellung WordPress-Optimierungen > „Mehrere Authentifizierungsversuche per XML-RPC-Anfrage auf „Blockieren“ gesetzt ist.
  • Sonstiges: Platzhalter für das Versionsverwaltungsmodul von iThemes Security Pro hinzugefügt.
  • Sonstiges: Build-Nummer aktualisiert, um einige Aktualisierungen auszulösen.

5.6.1

  • Fehlerbehebung: Es wurde ein potenzielles Protokollierungsproblem behoben, welches verhindern könnte, dass einige Sperrhinweise auf nicht-englischen Websites protokolliert werden.
  • Fehlerbehebung: Unterbindung einiger Hinweise für Benutzer, die diese nicht sehen müssen.
  • Fehlerbehebung: Anzeige von Hinweisen auf bestimmte Seiten auf dem Dashboard begrenzt.
  • Kompatibilitätskorrektur: Name der Variable $HTTP_RAW_POST_DATA geändert, um eine fehlerhafte Auslösung von PHP 7-Kompatibilitätsprüfungen zu vermeiden.
  • Quelltextbereinigung: Legacycode entfernt, der nicht mehr benötigt wird.
  • Verbesserung: Tracking gestartet, wenn ein Benutzer zuletzt als angemeldet gesehen wurde und für die zukünftige Verwendung aktiv ist.
  • Sonstiges: Platzhalter für die Pro-Funktion „Benutzer-Sicherheitsüberprüfung“ hinzugefügt.

5.6.0

  • Neue Funktion: Auf der Einstellungsseite wurde ein neuer Sicherheitsüberprüfungsabschnitt hinzugefügt. Diese neue Funktion fügt ein Werkzeug hinzu, um schnell sicherzustellen, dass die empfohlenen Funktionen aktiviert sind und die empfohlenen Einstellungen verwendet werden.
  • Fehlerbehebung: Die Möglichkeit, die Datei itsec_away.confg zu entfernen, um den Abwesenheitsmodus zu deaktivieren, wurde behoben.
  • Verbesserung: Die Einstellung „Sperrlisten“ unter Benutzersperrung ist nun standardmäßig aktiviert.