Support » Plugins » All in one WP Security & Firewall

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Einfachste Lösung: Verwende das Plugin nicht 😉

    Thread-Starter prokitesports

    (@prokitesports)

    Anderes Plugin (zbsp Wordfence o.ä) nutzen oder geht dies auch anders?

    Vorab: ich bin kein Freund von „Ein Plugin, und ich bin rundum angesichert“-Lösungen. Sicherheit sollte ein fortlaufender Prozess sein und es macht mehr Sinn, wenn du verstehst, was du warum als Schutz gegen Angriffe unternimmst.

    Nehmen wir ein einfaches Beispiel: Es wird gerne behauptet, dass es ein Sicherheitsrisiko sei, das WordPress die Versionsnummer auf jeder Webseite im Quellcode als Meta-Tag ausgibt. Deshalb aktivieren Anwender dann die Option „Versionsnummer nicht anzeigen“, was unter Umständen aber nur das Meta-Tag „Generator“ ausblendet. Die Versionsnummer ist aber an vielen anderen Stellen leicht zu ermitteln. Wer sich nun durch Aktivierung dieser „Schutzmaßnahme“ sicher fühlt und meint, er bräuchte WordPress nicht so schnell aktualisieren („die Versionsnummer sieht ja keiner“), erliegt einem fatalen Irrtum und gefährdet die Sicherheit seiner Webseitenbesucher.

    Das von dir verwendete Plugin weist ausrücklich darauf hin, dass es an verschiedenen Stellen Änderungen vornimmt. Das sind inbesondere die WordPress-Konfigurationsdatei wp-config.php (die du nicht ohne Grund vorher sichern sollst), die Server-Konfigurationsdatei .htaccess sowie Einträge in eigenen Datenbank-Tabellen, die alle mit aiowps_ beginnen. In den Tabellen aiowps_failed_logins, aiowps_global_meta, aiowps_login_activity, aiowps_login_lockdown und aiowps_permanent_block dürfte protokolliert worden sein, wer sich durch mehrfache Fehlversuche bei der Passworteingabe als potentieller „Terrorist“ qualifiziert hat. Die Tabellen kannst du, nachdem du das Plugin deaktiviert und gelöscht hast, über die Datenbankverwaltung deines Webhosters (in der Regel phpMyAdmin) löschen. Eine Löschung durch das Plugin ist anscheinend nicht vorgesehen, wenn sich seit diesem Beitrag im Support-Forum des Plugins nichts geändert hat.

    Die meisten Angriffe lassen sich mit dem Versuch einer Jugend-Gang vergleichen, die auf einem abgelegenen Parkplatz nach unabgeschlossenen Autos sucht und nicht unbedingt als erstes ein mehrfach gesichertes Fahrzeug mit Wegfahrsperre auswählen wird. Gegen automatisierte Angriffe reicht oft schon, die XML-RPC-Schnittstelle per .htaccess zu sperren (Anleitungen findest du im Web) und das Anmeldeformular mit einem Plugin (z.B. Rename wp-login.php, etwas angestaubt aber gut) zu sichern. Vorsichtige Menschen verwenden dann noch eine Zwei-Faktor-Authentifikation, brauchen sich aber keine Sorgen machen, wenn sie mal ein Passwort falsch eingegeben haben.

    PS: Die Lösung, wie man mit dem Generator-Tag mit der WordPress-Version umgeht, ist, Aktualisierungen immer möglichst rasch vorzunehmen. Dann kann dir auch die Versionsnummer egal sein.

    Thread-Starter prokitesports

    (@prokitesports)

    Vielen dank für deine ausführliche Antwort.
    Ich werde mal versuchen deine Schritte zu nachvollziehen!

    Nur noch als kurze Anmerkung: Der Nutzen von solchen „Security“-Plugins ist eher fragwürdig.
    Zum Teil gehen die auch ziemlich auf die Performance.
    Empfehlenswert ist sowas wie Limit Login Attempts.

    Thread-Starter prokitesports

    (@prokitesports)

    OK, Vielen Dank für den Input

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Das Thema „All in one WP Security & Firewall“ ist für neue Antworten geschlossen.