Benutzer selbstständig Passwort zurücksetzen

(@r55m)

Hallo Leute,

ich nin ganz ganz neu im Thema. Ich habe eine Internetseite übernommen und versuche gerade ein vermeindlich kleine Problem zu lösen. Folgender Sachverhalt:

Wenn ein Benutzer sein Passowert vergessen hat und dieses zurücksetzen möchte, dann kommt folgende Meldung: “ FEHLER: Human verification failed. “ Welches Plugin muss ich installieren um das Problem zu lösen oder wie sollte ich allgemein vorgehen? Als Admin kann ich manuell das „Passwort zurücksetzen senden“ – das funktioniert.

Habe hier schin gesucht und zwei Plugins getestet (Frontend und WP Force) baer damit kam ich nicht weiter.

Bin wirklich ein totaler Grünschnabel und kann jede Hilfe gebrauchen

wp-core

version: 6.2.2
site_language: de_DE
user_language: de_DE
timezone: +01:00
permalink: /%year%/%monthnum%/%day%/%postname%/
https_status: true
multisite: false
user_registration: 1
blog_public: 1
default_comment_status: open
environment_type: production
user_count: 682
dotorg_communication: true

wp-paths-sizes

wordpress_path: /homepages/13/d428887562/htdocs/public_jump/wordpress
wordpress_size: 60,62 MB (63560531 bytes)
uploads_path: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content/uploads
uploads_size: 59,92 MB (62834706 bytes)
themes_path: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content/themes
themes_size: 31,11 MB (32622538 bytes)
plugins_path: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content/plugins
plugins_size: 188,01 MB (197139291 bytes)
database_size: 54,00 MB (56623104 bytes)
total_size: 393,66 MB (412780170 bytes)

wp-active-theme

name: Entrepreneur (entrepreneurx)
version: 2.1.6
author: Themovation
author_website: http://themovation.com
parent_theme: none
theme_features: core-block-patterns, bootstrap-top-navbar, automatic-feed-links, custom-logo, menus, title-tag, custom-background, custom-header, editor-style, post-thumbnails, post-formats, woocommerce, wc-product-gallery-lightbox, wc-product-gallery-slider, widgets
theme_path: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content/themes/entrepreneurx
auto_update: Aktiviert

wp-themes-inactive (7)

Entrepreneur - Child Theme: version: 2.0, author: Themovation, Automatische Aktualisierungen aktiviert
Kadence: version: 1.1.39, author: Kadence WP, Automatische Aktualisierungen aktiviert
Twenty Nineteen: version: 2.5, author: Das WordPress-Team, Automatische Aktualisierungen aktiviert
Twenty Twenty: version: 2.2, author: Das WordPress-Team, Automatische Aktualisierungen aktiviert
Twenty Twenty-One: version: 1.8, author: Das WordPress-Team, Automatische Aktualisierungen aktiviert
Twenty Twenty-Three: version: 1.1, author: Das WordPress-Team, Automatische Aktualisierungen aktiviert
Twenty Twenty-Two: version: 1.4, author: Das WordPress-Team, Automatische Aktualisierungen aktiviert

wp-mu-plugins (1)

Elementor Safe Mode: version: 1.0.0, author: Elementor.com

wp-plugins-active (22)

Advanced Editor Tools: version: 5.9.0, author: Automattic, Automatische Aktualisierungen aktiviert
Antispam Bee: version: 2.11.3, author: pluginkollektiv, Automatische Aktualisierungen aktiviert
Booked: version: 2.4.3, author: Boxy Studio, Automatische Aktualisierungen aktiviert
Elementor: version: 3.13.0-dev4, author: Elementor.com, Automatische Aktualisierungen aktiviert
Elementor Beta (Developer Edition): version: 1.1.1, author: Elementor.com, Automatische Aktualisierungen aktiviert
Elementor Pro: version: 3.13.2, author: Elementor.com, Automatische Aktualisierungen aktiviert
Envato Market: version: 2.0.9, author: Envato, Automatische Aktualisierungen aktiviert
Font Awesome: version: 4.3.2, author: Font Awesome, Automatische Aktualisierungen aktiviert
Formidable Forms: version: 6.3, author: Strategy11 Form Builder Team, Automatische Aktualisierungen aktiviert
IONOS Assistant: version: 8.5.2, author: IONOS, Automatische Aktualisierungen aktiviert
Kirki Customizer Framework: version: 4.1.1, author: David Vongries, Automatische Aktualisierungen aktiviert
Loco Translate: version: 2.6.4, author: Tim Whitlock, Automatische Aktualisierungen aktiviert
OptionTree: version: 2.7.3, author: Derek Herman, Automatische Aktualisierungen aktiviert
Page Builder Widget Pack: version: 2.2.5, author: Themovation, Automatische Aktualisierungen aktiviert
Real Cookie Banner (Free): version: 3.6.11, author: devowl.io, Automatische Aktualisierungen aktiviert
Simple Page Ordering: version: 2.5.1, author: 10up, Automatische Aktualisierungen aktiviert
Statify: version: 1.8.4, author: pluginkollektiv, Automatische Aktualisierungen aktiviert
Widget Logic: version: 5.10.4, author: WPChef, Automatische Aktualisierungen aktiviert
WordPress Importer: version: 0.8.1, author: wordpressdotorg, Automatische Aktualisierungen aktiviert
WP Cerber Security, Anti-spam & Malware Scan: version: 8.9.5, author: Cerber Tech Inc., Automatische Aktualisierungen aktiviert
WP Font Awesome: version: 1.7.9, author: Zayed Baloch, Automatische Aktualisierungen aktiviert
WP Mail SMTP: version: 3.8.0, author: WP Mail SMTP, Automatische Aktualisierungen aktiviert

wp-plugins-inactive (4)

Broken Link Checker: version: 2.1.0, author: WPMU DEV, Automatische Aktualisierungen aktiviert
Kadence Blocks – Gutenberg Blocks for Page Builder Features: version: 3.0.38, author: Kadence WP, Automatische Aktualisierungen aktiviert
UpdraftPlus - Backup/Restore: version: 1.23.4, author: UpdraftPlus.Com, DavidAnderson, Automatische Aktualisierungen aktiviert
WPForms Lite: version: 1.8.1.3, author: WPForms, Automatische Aktualisierungen aktiviert

wp-media

image_editor: WP_Image_Editor_GD
imagick_module_version: Nicht verfügbar
imagemagick_version: Nicht verfügbar
imagick_version: Nicht verfügbar
file_uploads: File uploads is turned off
post_max_size: 64M
upload_max_filesize: 64M
max_effective_size: 64 MB
max_file_uploads: 20
gd_version: 2.2.5
gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
ghostscript_version: 9.27

wp-server

server_architecture: Linux 4.4.302-icpu-088 x86_64
httpd_software: Apache
php_version: 7.4.33 64bit
php_sapi: cgi-fcgi
max_input_variables: 5000
time_limit: 600
memory_limit: -1
max_input_time: -1
upload_max_filesize: 64M
php_post_max_size: 64M
curl_version: 7.64.0 OpenSSL/1.1.1n
suhosin: false
imagick_availability: false
pretty_permalinks: true
htaccess_extra_rules: true

wp-database

extension: mysqli
server_version: 5.7.41-log
client_version: mysqlnd 7.4.33
max_allowed_packet: 67108864
max_connections: 3000

wp-constants

WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content
WP_PLUGIN_DIR: /homepages/13/d428887562/htdocs/public_jump/wordpress/wp-content/plugins
WP_MEMORY_LIMIT: 40M
WP_MAX_MEMORY_LIMIT: -1
WP_DEBUG: false
WP_DEBUG_DISPLAY: true
WP_DEBUG_LOG: false
SCRIPT_DEBUG: false
WP_CACHE: false
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: Nicht definiert
DB_CHARSET: utf8mb4
DB_COLLATE: undefined

wp-filesystem

wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
mu-plugins: writable

wp_mail_smtp

version: 3.8.0
license_key_type: lite
debug: Keine Debug-Hinweise gefunden.
lite_install_date: Jan 13, 2022 @ 3:52pm

Dieses Thema wurde geändert vor 11 Monaten von Root55.

Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 10 Antworten - 1 bis 10 (von insgesamt 10)

bscu
(@bscu)

vor 11 Monaten

Bevor du ein neues Thema/Thread erstellst

Moderator Bego Mario Garde
(@pixolin)

vor 11 Monaten

Die Fehlermeldung kommt nicht vom WordPress-Core sondern vermutlich von einem der verwendeten Plugins – WP Cerber Security wäre naheliegend (zumindest kommt der Text darin vor).

Thread-Starter Root55
(@r55m)

vor 11 Monaten

Danke für die Antwort. Soll ich in diesem Plugin Einstellungen anpassen oder das Plugin neu installieren? Das plugin ist so eine art Firewall, wenn ich das korrekt interpretiere. Möglich, dass der Admin vor mir diese installiert hat nachdem die Webseite desöfteren angegriffen wurde

Moderator Bego Mario Garde
(@pixolin)

vor 11 Monaten

All-in-One-Sicherheits-Plugins sind nicht unumstritten. Laien klicken gerne alle möglichen Optionen an, ohne eigentlich zu wissen, was sie da tun und fühlen sich anschließend rundum sicher, weil sie … alles angeklickt haben. Wenn man nachfragt, was die einzelnen Einstellungen denn bewirken, entstehen oft lange Gesprächspausen.

Ein Plugin zu verwenden, Meldungen nicht zuordnen können und nicht wissen, was man wo einstellen muss, um die Meldung loszuwerden, klingt nicht nach einem guten Sicherheitskonzept.
Thread-Starter Root55
(@r55m)

vor 11 Monaten
Danke für die Antwort. Da kann ich nichte entegegensetzen, deshalb frag ich ja die Experten;-)

ich denke,dass es an folgenden Einstellungen im WP Cerber gehen könnte:
1. Die standardmäßige Fehlermeldung bei der Anmeldung deaktivieren–>“switch on“ Nicht existierende Benutzernamen und E-Mails in der Meldung über fehlgeschlagene Anmeldeversuche nicht anzeigen
2. Disable the default reset password error message –> „switch on“ Do not reveal non-existing usernames and emails in the reset password error message
Kann es daran liegen? Denke das ist aktiviert aufgrund der vielen Angriffe von extern (z.B. Russland, Türkei, Singapur, USA…)

Folgendes könnte ich mir auch als Grund vorstellen: Benutzer mit diesen Rollen sind berechtigt, sensible Benutzerdaten zu ändern –> Administrator (vielleicht muss hier Booking Agent rein)
- Diese Antwort wurde geändert vor 11 Monaten von Root55.
- Diese Antwort wurde geändert vor 11 Monaten von Root55.
Moderator Bego Mario Garde
(@pixolin)

vor 11 Monaten

Die Einstellungen beziehen sich darauf, dass ich irgendwelche Benutzernamen oder E-Mail-Adressen eingeben könnte, um herauszufinden, welche tatsächlich verwendet werden. Gibt WordPress eine Rückmeldung „kein Benutzer mit diesem Namen/dieser E-Mail-Adresse gefunden“, muss ich weiter suchen. Bekomme ich hingegen die Meldung „Passwort für diesen Benutzer falsch“, weiß ich als Angreifer schon mal, dass der Benutzername stimmt. (Das hätte ich aber auch anders herausfinden können, weshalb man über diese „Sicherheitsmaßnahme“ kontrovers diskutieren kann.)

Mit deiner Melding wird das aber alles nichts zu tun haben. 😀

Denke das ist aktiviert aufgrund der vielen Angriffe von extern (z.B. Russland, Türkei, Singapur, USA…)

Das weißt du gar nicht. Ein Angreifer kann auch in Wuppertal sitzen, greift dann aber nicht direkt auf deine Website zu, sondern nutzt ein VPN oder verschleiert seine IP-Adresse anders. Das sieht dann aus, als ob der Angriff aus Pjöngjang oder Las Vegas kommt.

WordPress ist nicht grundsätzlich so unsicher, dass es zusätzliche Plugins mit dubiosen Einstellungen braucht. Regelmäßige Updates, verschlüsselte Verbindung (https), hinreichend komplexe Passwörter für WordPress-Accounts, FTP, MySQL-Datenbank, Kundenmenü des Webhosters und als Absicherung regelmäßige Backups sind ein guter Start. Darüber hinaus gibt es weitere Möglichkeiten, die Sicherheit zu verbessern (z.B. die XML-RPC-Schnittestelle deaktivieren, Sicherheits-Header verwenden, …). Unter Hardening WordPress werden einige Optionen ausführlich erläutert.

Ich würde das komplette Plugin deaktivieren und löschen.

Thread-Starter Root55
(@r55m)

vor 11 Monaten

Okay. Verstehe. Vielen Dank für die Hinweise. Auch das mit der VPN ist mir klar–>ist ja nichts neues.

Also zunächst mal vielen Dank. Habt ihr eine Sicherheit-Tipp für mich? Wir sind auf dieser Seite mal so stark angegriffen worden, dass nichts mehr ging. Das ist für Laien natürlich der Super-GAU. Mein Vorgänger hat es dann vermutlich auf diese Weise gelöst das Problem…

Moderator Hans-Gerd Gerhards
(@hage)

vor 11 Monaten

Hallo,
auf jeden Fall ist es ratsam, Plugins, Themes und WordPress immer auf den aktuellen Stand zu bringen. Auch wenn mal ein Update nicht funktionieren sollte, gibt es entweder in der Regel relativ schnell ein korrigiertes Update von den Entwicklern (wie z. B. jetzt von WordPress 6.2.1 auf 6.2.2) oder man kann mittels Plugins (z. B. WP Rollback bzw. Core Rollback) als absolute Notlösung auf vorherige Versionen umstellen.

Das bereits von Bego genannte Plugin Two Factor gehört bei den WordPress-Instanzen bei uns immer dazu.

Darüber hinaus verwende ich gerne auch das Plugin NinjaFirewall. Als Vorlage für die Einstellung kann sehr gut die Konfigurationsempfehlung von Daniel Ruf benutzt werden.

Wenn überhaupt, sollte aber immer nur ein Sicherheitsplugin verwendet werden. Es ist keine gute Idee, auf einer Website mehrere entsprechende Plugins zu verwenden.

Viele Grüße
Hans-Gerd

Thread-Starter Root55
(@r55m)

vor 11 Monaten

Danke. Ich werde das mal alles testen. Danke für die Tipps

Moderator Bego Mario Garde
(@pixolin)

vor 11 Monaten

Habt ihr eine Sicherheit-Tipp für mich?

Hatte ich doch geschrieben:

Regelmäßige Updates, verschlüsselte Verbindung (https), hinreichend komplexe Passwörter für WordPress-Accounts, FTP, MySQL-Datenbank, Kundenmenü des Webhosters und als Absicherung regelmäßige Backups sind ein guter Start. Darüber hinaus gibt es weitere Möglichkeiten, die Sicherheit zu verbessern (z.B. die XML-RPC-Schnittestelle deaktivieren, Sicherheits-Header verwenden, …). Unter Hardening WordPress werden einige Optionen ausführlich erläutert.

So wie deine Gesundheit nicht davon abhängt, ob du eine Multivitamin-Tablette einwirfst, ist die Sicherheit deiner Website nicht alleine mit Installation eines Plugins erledigt.