• Gelöst Lotta

    (@lotta07)


    Hallo Community,

    Ich habe leider im www keine Antwort für mich gefunden.
    Durch Versand Probleme des CF7 Formular auf einigen WP Webseiten habe ich mich nun auch mit verschiedenen plug-ins und dem smtp Versand auseinandergesetzt.
    Hatte nun einen erfolgreiches Ergebnis mit dem „Solid Mail SMTP“ Plug-in.

    Bei dem „WP mail SMTP“ bin ich über den Hinweis gestolpert das Passwort, welches wohl in Klartext in der Datenbank gespeichert wird, besser über die config abzusichern.

    Nun ist meine Frage – sollte/muss/kann ich das auch für Solid Mail nutzen.
    Mein Blick in die Datenbank zeigt ein kryptisches Passwort aber ich denke das lässt sich leicht entschlüsseln …

    Wie ist Eure Einschätzung? Wie kritisch und anfällig ist das alles?
    Und wie müsste der Codeschnippsel für die config aussehen.
    Da hab ich „Dummy“ weiter keine Ahnung und Idee.

    Für „WP mail smtp“ soll es so ausschauen :

    define( 'WPMS_ON', true );
    define( 'WPMS_SMTP_PASS', 'MEIN SMTP Passwort' );

    Freue mich über Hilfe und Tipps
    Lotta

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Moderator threadi

    (@threadi)

    Ich bin gerade unsicher, welches Plugin du genau meinst und zu welchem Du hier Hilfe brauchst? Solid Mail SMTP oder WP Mail SMTP? Eine Einstellung die für das eine gilt, gilt nicht für das andere.

    Thread-Starter Lotta

    (@lotta07)

    Hallo und Danke @threadi 😉

    das „Solid Mail SMTP“ Plug-in hat bei mir soweit funktioniert.
    Die Frage ist eben wie sicher ist das ganze und sollte/kann ich es über die config zusätzlich absichern.
    Wenn ja wie müsste der config Eintrag aussehen?

    Oder ist das plug-in von „solid Mail smtp“ von Haus aus sicher genug?
    Der gepostede Code Schnippsel war der Fund zu dem anderen plug-in.

    Moderator threadi

    (@threadi)

    Ich denke du unterliegst hier einem Irrtum was die Verschlüsselung der Daten angeht. Denn keines von beiden Plugins verschlüsselt irgendetwas in der Datenbank. Sie werden maximal base64-kodiert gespeichert, was nur dazu dient Sonderzeichen zu maskieren damit es keine Probleme beim Speichern in der Datenbank gibt. Das lässt sich sehr leicht auch wieder dekodieren.

    Dagegen bieten beide Plugins die Möglichkeit einzelne Zugangsdaten in der wp-config.php zu hinterlegen und somit nicht in der Datenbank. Dadurch sind Zugangsdaten getrennt von den Daten aufbewahrt. Wird die Datenbank gehackt, kommt man nur an die Hälfte der Daten. Wenn jemand allerdings die wp-config.php einsieht, kann er sowohl die Datenbankzugangsdaten sehen als auch die SMTP-Zugangsdaten.

    Ich kenne Solid Mail SMTP bisher gar nicht, hab daher erstmal eben einen Blick drauf geworfen. Dort gibt es nur diese beiden Konstanten die man in der wp-config.php hinterlegen kann:

    define( 'WP_SMTP_USER', 'youruser' );
    define( 'WP_SMTP_PASS', 'youpass' );

    Wenn Du es genauer wissen willst, solltest du dich an deren Supportforum wenden: https://wordpress.org/support/plugin/wp-smtp/

    Die von dir oben zu WP Mail SMTP genannten Angaben sind zudem unvollständig. Im Quellcode von denen steht dazu:

    define( 'WPMS_SMTP_AUTH', true ); // True turns it on, false turns it off.
    define( 'WPMS_SMTP_USER', 'username' ); // SMTP authentication username, only used if WPMS_SMTP_AUTH is true.
    define( 'WPMS_SMTP_PASS', 'password' ); // SMTP authentication password, only used if WPMS_SMTP_AUTH is true.

    D.h. die Angabe des SMTP-Passworts wird nur verwendet wenn auch WPMS_SMTP_AUTH auf true gesetzt wird. Dein Beispiel oben bewirkt folglich gar nichts. Auch hier wäre ich vorsichtig irgendwelche Daten aus anderen Quellen als vom Entwickler zu verwenden. Bei Fragen würde ich dir empfehlen dich an deren Supportforum zu wenden: https://de.wordpress.org/plugins/wp-mail-smtp/

    Meine grundsätzliche Empfehlung hierfür wäre, dass du dich nicht auf die Verschlüsselung solcher Daten konzentrierst sondern auf die Absicherung deines Projektes insgesamt. Verwende ein Sicherheitsplugin, passe es an dein Projekt und die Anforderungen an. Verwende ggfs. 2FA für jegliche Anmeldungen, sperre XMLRPC (wenn es für dein Projekt möglich ist). Schau dir dazu auch mal diesen englischen Artikel an: https://wordpress.org/documentation/article/hardening-wordpress/ – viel zu oft erlebe ich WordPress-Projekte wo es an so etwas krankt, und nicht an nicht verschlüsselten Daten in der Datenbank, die letztlich bei einem Hack des gesamten Projektes leicht entschlüsselt werden können.

    Thread-Starter Lotta

    (@lotta07)

    Super – vielen Dank für die Infos und Aufklärung bzgl. der SMTP Plug-ins.
    Bei den vielen Tipps die das www so bietet das richtige zu selektieren und finden ist schon immer eine Herausforderung.

    Die Absicherung meines Projekt hatte ich bisher mit vielen Code Schnippsel innerhalb der htaccess und function geregelt und 1-2 Plug-ins für den Login Bereich.
    Den von dir aufgezeigten zusätzlichen, teilweise super umfangreichen Sicherheits Plug-ins (als „Rundum Sorglos Paket) hatte ich so gar nicht auf dem Schirm. Versuche eigentlich so wenig wie möglich von diesen zu nutzen.

    Also ich werde mich damit wohl nochmal genauer beschäftigen müssen und dann entscheiden was für mich wirklich noch relevant ist.
    Es betrifft im Prinzip nur eine reine Webseite ohne Kommentar Möglichkeiten oder großer Community.

    Da das Thema nun kippt in Richtung grundsätzliche Sicherheit einer WP Projekts, denke ich, dass meine Anfangs Frage hiermit beendet ist, auch wenn es noch nicht wirklich „gelöst“ ist !
    😉

    Gruß & Dank – Lotta

    Moderator threadi

    (@threadi)

    Danke für deine Rückmeldung und viel Erfolg bei der weiteren Absicherung. Das ist leider etwas womit man sich immer beschäftigen sollte und auch MUSS.

    Ich setze das Topic mal auf gelöst, da die eigentliche Frage schon „beendet“ ist und wir es ansonsten immer wieder hochholen und nachfragen würden. Gerne kannst Du bei weiteren Fragen auch ein neues Topic aufmachen.

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)