wenn man sich da wie man möchte durch alle Pluginordner durchklicken kann
Das kann man auch nicht, es sei denn, der Webserver ist falsch konfiguriert. Das ist kein WordPress-Problem.
Wenn du Cache- und Optimierungs-Plugins wie z.B. Autoptimize verwendest, wird in den Entwicklertools des Browsers nicht direkt ersichtlich, welche Plugins und welches Theme du verwendest. Zumindest bei Autoptimize lässt sich die Zusammenfassung und Minimierung von JavaScript- und CSS-Dateien aber durch einen GET-Parameter ausschalten.
Mitunter schaue ich z.B. schon mal, ob bei WordPress-Installationen zu denen hier ein Problem geschilder wird, die CSS-Datei eines Standard-Themes („Twenty …“) vorhanden ist (sowas wie https://example.com/wp-content/themes/twentytwentytwo/style.css) – daran kann ich dann erkennen, ob WordPress überhaupt in einem bestimmten Pfad installiert wurde und das Theme noch vorhanden ist – mehr aber auch nicht. Ein Directory-Listing sollte bereits serverseitig abgeschaltet sein. Zusätzlich enthalten viele WordPress-Unterverzeichnisse eine index.php, die nur einen Kommentar enthalten, um auf diese Weise ein Directory-Listing auch dann auszuschließen, wenn die Einstellung nicht serverseitig vorgenommen wurde. Ein Fingerprinting wird damit zumindest erschwert.
Security through Obscurity, also Sicherheitsmaßnahmen durch Verschleierung, sind meistens wenig wirksam, auch wenn sie den Aufwand für einen Angriff geringfügig erhöhen. Es wäre besser, wenn du die Zeit für regelmäßige Updates einsetzt. Wie du WordPress weiter absichern kannst, wird in diesem Beitrag recht gut zusammengefasst: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.
Kann mir da jemand konkret sagen, was geändert werden muss, wo?
Plesk habe ich als Oberfläche, FTP natürlich und WordPress an sich
Kann mir da jemand konkret sagen, was geändert werden muss, wo?
Für was?
Von „müssen“ kann keine Rede sein. WordPress ist auch ohne weitere Absicherungsmaßnahmen so sicher, dass es keine Probleme geben sollte. Dass Webseiten trotzdem gehackt werden, liegt in den meisten Fällen an Plugins oder Themes mit Sicherheitslücken, die durch ein zeitnahes Update beseitigt werden können. Unverschlüsselte Verbindungen (http) und schwache Passwörter spielen auch noch eine Rolle. Dass jemand weiß, welche Plugins du nutzt, reicht alleine für einen Angriff nicht aus.
Ansonsten ist der zitierte Artikel doch recht verständlich geschrieben – wo hakt es da?
@pixolin
Ich vermute, dass @exoryhd uns sagen will, dass ein Directory-Listing erscheint, wenn in einem Verzeichnis keine index.* liegt. Das will man natürlich auf keinen Fall.
@exoryhd
Kann mir da jemand konkret sagen, was geändert werden muss, wo?
Das hier ist ein Forum für WordPress-Anwender und kein Plesk Forum. Ob man das überhaupt per Plesk steuern kann, weiß ich nicht. Allerdings sollte das Directory-Listing per Default deaktiviert sein, daher solltest du mal bei deinem Hoster nachfragen. Vielleicht hilft auch https://cwiki.apache.org/confluence/display/httpd/DirectoryListings
Wir könnten das ja mal prüfen, was gemeint ist, aber ohne URL ¯\_(ツ)_/¯
-
Diese Antwort wurde vor 2 Jahren, 7 Monaten von
bscu geändert.
-
Diese Antwort wurde vor 2 Jahren, 7 Monaten von bscu geändert.
@bscu
Zitat vom Hoster SUpport: alle notwendigen Parameter hierzu werden direkt von WordPress in der .htaccess Datei gesetzt, man kann diese Pfade also nicht im Browser einzeln aufrufen, und dort Dateien durchforsten. Ganz „verstecken“ kann man diese leider nicht, da Dateien in diesen Ordnern immer mit irgendeiner Seite verlinkt sind, und im Browser vom Besucher aufrufbar sein müssen. Daher ist der Pfad dazu auch immer teilweise, oder ganz sichtbar. Ein Problem sollte das jedoch nicht darstellen. 🙂
Zum Link der Domain: hookahx punkt de
wenn man sich da wie man möchte durch alle Pluginordner durchklicken kann.
Erkläre bitte mal, was du genau damit meinst und poste einen Link, wo man das nachvollziehen kann. Also https://www.example.com/in/dem/verzeichnis/geht/das
@bscu
Hier: https://prnt.sc/ElNr27A5GszK
Es ist ja auf jeder Unterseite ersichtlich…
Es geht mir darum, dass man durch: Rechtsklick > Untersuchen > Sources
die Order wp-content usw sehen kann. Diese kann man auch durchstöbern.
Also wp-content > plugins >
Dann hat man alle Ordner der Plugins, Ergo ersichtlich welche installiert sind. Selbst wenn man „nur“ die Ordner sieht, möchte ich nicht, dass diese ersichtlich werden. Ich möchte gar nicht, dass man so leicht beim „stöbern“ sieht, was da genutzt wird. Mir ist klar, dass das wohl für die meisten mit bisschen Google und technischem Verständnis nachvollziehbar ist am Ende, jedoch soll es nicht für den 0815 Konkurrenten durch bisschen klick-klick sichtbar sein. Schon gar nicht sooooooooooo simpel.
Ahhh, jetzt ist es verständlich. Also ist meine erste Vermutung, dass es ein Serverproblem ist, falsch.
Aber was ist so dramatisch daran, wenn man erkennen kann, welche Plugins und welches Theme verwendet werden? Ich glaube auch kaum, dass man das verhindern kann, zumindest ist mir nichts bekannt.
Verzeichnisse und Dateipfad siehst du nur mit einem FTP-Client (oder einem Bearbeitungstool mit integriertem FTP-Client) – als normaler, nicht angemeldeter Webseitenbesucher kann ich nur auf gut Glück versuchen, irgendwelche CSS- oder Readme-Dateien aufzurufen und prüfen, ob dann eine 404-File Not Found-Fehlermeldung erscheint.
Einige „All-in-One-Security“-Plugins nehmen einen Eintrag in der .htaccess vor, damit Angreifer keine Readme- oder Textdateien aufrufen können. PHP-, CSS- und JavaScript-Dateien kannst du nicht sperren, weil sie sonst nicht ausgeführt werden können und dann die Website nicht funktioniert. Das Wissen, dass es eine bestimmte Datei gibt, bringt einen Angreifer aber kaum weiter. Er weiß dann, dass du ein bestimmtes Plugin/Theme verwendest, eventuell kennt er auch die Version, hat damit aber noch keinen Angriffspunkt. Der entsteht erst, wenn du veraltete Plugins verwendest, bei denen eine Sicherheitslücke bekannt geworden ist.
Nachtrag: In den Entwickler-Tools des Browsers siehst du ebenfalls, welche JavaScript- und CSS-Dateien im Browser geladen werden (was nicht unbedingt deckungsgleich mit der Anzahl der verwendeten Plugins ist). Das lässt sich aber nicht vermeiden, weil hier der Browser einfach nur ausgibt, mit welchen Pfaden er die Komponenten einer Webseite geladen hat. Verwendest du wie schon beschrieben Cache- oder Optimierungs-Plugins wie Autoptimize und hast du die Konkatenierung von CSS und JavaScript eingestellt, werden die Pfade zu den einzelnen Plugins nicht mit aufgeführt, da nur eine einzige (zusammengefasste) CSS- bzw. JavaSript-Datei geladen wird. Bei Autoptimize lässt sich aber die Konkatenierung durch Verwendung eines GET-Parameters abschalten, womit die Pfade dann wieder sichtbar werden.
Einige Cache-Plugins bieten eine Minimierung von JavaScript- und CSS-Dateien, nach der nicht mehr nachvollziehbar ist, welches Plugin/Theme verwendet wurde.
-
Diese Antwort wurde geändert vor 2 Jahren, 7 Monaten von
Bego Mario Garde. Grund: Nachtrag
Etwas einfacher ausgedrückt: Installier das Plugin WP-Optimize – Cache, Clean, Compress, geh im Backend auf WP Optimize > Miminieren und aktiviere die Minimierung. Schau dann, was in den Entwicklertools angezeigt wird.
Ob das sinnvoll ist, ist ein anderes Thema. 😉
@pixolin funktioniert soweit, jedoch lädt die Seite aktuell damit etwa 20-40 Sekunden aufwärts und die Schriftarten sin zum Teil „weg“
Das ist ja eine andere Frage. 😀
Du wolltest wissen, ob und wie sich abstellen lässt, dass die Pfade in den Entwicklertools nachvollziehbar sind. Diese Frage habe ich (mehrfach) beantwortet: mit einem Cache- oder Optimierungstool.
Wieso das bei der jetzt extrem lange lädt, kann ich ohne Informationen zur Website nicht beantworten.
Können wir sonst noch etwas für dich tun? 🙂
@pixolin prinzipiell ja, mir helfen es nun zu fixen, falls möglich 😀 welche Informationen werden benötigt?
Manche Schriftarten werden nun nicht mehr angezeigt bzw. in eine Standard umgewandelt und es lädt halt extrem lange (bzw der Verbindungsaufbau braucht auch sehr lange nun)
Eine andere frage, weil es an der Website sowieso verknüpft ist: wäre es nicht möglich das Ganze mit cloudflare zu realisieren, dass man immer nur das Frontend angezeigt bekommt als „Kunde“ und alles dahinter bleibt ganz versteckt?
Ich verstehe das ganze Versteckspiel nicht! In so ein unsinniges Vorhaben auch nur eine Sekunde Arbeit rein zustecken, entzieht sich mir völlig. Du hast jetzt erreicht, dass Dateien von co.wp.com gezogen werden und somit bist du darauf angewiesen, dass deren Server nicht ausgelastet ist und die Dateien schnell genug ausliefert. Und genau das scheint nicht der Fall zu sein. Wie du das jetzt hinbekommen hast, kann ich dir nicht sagen, da ich solche Plugins nicht benutze, allerdings vermute ich, dass du irgend etwas falsch gemacht hast. Ich hoffe mal, du hast vorher ein Backup erstellt, dass du jetzt einspielen kannst.
