• Gelöst exoryhd

    (@exoryhd)


    Geehrte Mitglieder,

    Ich bin gerade dabei mich mit einem Wasserpfeifen Onlineshop zu verwirklichen und bin kurz vor der Ziellinie.

    Bugs raus geworfen, Google Fonts Verbindung unterbrochen und und und. (fast) alles wichtige ist erledigt. Nun habe ich aber ein „Riesen-Problem“. Ich würde gerne mein WordPress Verzeichnis „verstecken“. Durch den Quellcode bzw „Sources“ ist es mir einfach zu unsicher, wenn man sich da wie man möchte durch alle Pluginordner durchklicken kann. Alleine der Fakt, dass man diese sieht, lässt mich nackig fühlen und dies möchte ich um jeden Preis unterbinden. Was gibt es da für Möglichkeiten?

    Lg!

Ansicht von 10 Antworten – 31 bis 40 (von insgesamt 40)
  • Zwecks jetpack habe ich gerade mal etwa Google genutzt und gesehen, dass es wohl möglich wäre, man explizit aber drauf hinweisen muss und und und
    Werde mich dazu nochmal informieren.

    Ja, informier dich nochmal. Hier brauchen wir das nicht weiter zu erörtern, weil die Aussage ist, dass Jetpack in vielen Modulen nicht den Vorgaben der DSGVO entspricht.
    Du darfst laut DSGVO nicht ohne ausdrückliche Einwilligung des Webseitenbesuchers persönliche Informationen an Dritte weiterleiten. Genau das tust du aber, wenn du den Server der hinter Jetpack stehenden Firma Automattic einbindest, damit die IP-Adresse des Besuchers (= persönliche Daten!) weitergibst und so ein Tracking ermöglichst. Das lässt sich auch nicht mit „begründetem Interesse“ entschuldigen.
    Aber wir sind keine Rechtsanwälte, geben keine verbindlichen rechtlichen Informationen und deshalb ist das Thema hier schlecht platziert.

    Moderator Michi91

    (@michi91)

    Als Alternative zu jetpack und Woo app wäre eventuell https://wordpress.org/plugins/mobile-assistant-connector/ denkbar. 🙂

    Bezüglich verstecken:

    Als Nichtentwickler kann ich dir davon nur abraten, da du sehr sehr viele Stellen prüfen und verändern müsstest um sicher zu sein, dass es nicht als WordPress identifizierbar ist:
    – wordpress in einem geheimen unterordner installieren
    – Funktionen wie die xmlrpc/api deaktivieren und verstecken
    – alle Backend redirects wie wp-login.php verstecken. Ajax requests ggf. Auch umleiten
    – alle css / js umleiten
    – eigenes Theme entwerfen damit die Struktur keinesfalls erkannt werden kann
    – Alle woocommerce templates umschreiben.. Ggf zusätzliche Plugins damit nicht der typische Woo Bestell Ablauf erkannt wird.
    -…

    Technisch natürlich möglich, aber jeder forensiker wird sicherlich trotzdem herausfinden dass es wordpress ist.

    Gleiches gilt aber auch für gambio und Co… Jedes System hinterlässt Spuren, wenn man nicht hunderte Stunden extraarbeit investiert. Schenk den anderen Systemen nicht zu viel vertrauen, als Tipp vom IT-SECURITY Beauftragten (TÜV)

    Vielleicht suchst du dir einen Partner oder eine Agentur mit der du offen besprechen kannst, was du wirklich vorhast, da du die Hintergründe deines Vorhabens ja leider nicht näher erläutern kannst.

    Thread-Starter exoryhd

    (@exoryhd)

    @michi91

    Zur Plugin Empfehlung: Vielen Dank! Hatte ich nicht auf dem Schirm. Schaue ich mir gleich an 🙂

    Ich glaube, das ganze wird falsch verstanden mit dem „VErstecken“.
    Dass man das ganze als WordPress identifizieren kann man Ende des Tages, ist mir bewusst. Wenn nicht am Dateipfad/Quellcode, dann halt einfach an der Aufmachung.

    Mir geht es einfach darum, dass ich nicht möchte, dass Leute sich durch „wp-content“ willkürlich durchklicken können im „Sources“ Pfad und jeden Ordner von jedem Plugin sehen.

    Diese Wasserpfeifen Szene ist einfach (von Händlerseite) durchgebumbst. Der Großhändler bei dem man monatlich für über 2000 Euro bestellt, mahnt eigene Kunden ab, wegen dies, wegen dem (wirklich Kinderquatsch, nichts dramatisches wie beispielsweise Jugendschutz Missachtung o.Ä.). Mir ist natürlich klar, dass ich keine Angriffsfläche habe, wenn ich von Anfang an alles richtig mache. Dennoch habe ich einfach ein besseres Gefühl, wenn ich meiner Konkurrenz und auch „Bösen Menschen“ nicht mein komplettes Plugin-Archiv bzw. Theme Archiv offen lege.

    Da geht es mir wirklich nicht drum, dass man durch den Quellcode mit STRG+F „WordPress“ sucht und 100 Treffer hat oder nicht, sondern dass solche Leute, die gar nicht soweit denken, es einfach nicht so leicht haben, mich „auszuspionieren“.

    Es ist natürlich kein „Muss“ in der Hinsicht, dass ich nicht weitermachen kann, wenn man es sieht, jedoch hätte ich dann dabei ein viel viel besseres und sicheres Gefühl in jeder Hinsicht.

    Das Beispiel mit dem Großhändler ist nur eins von vielen in diese Richtung, welche Tatsächlich so passiert sind bei vielen Shops. Darauf möchte ich aber ungern hier weiter öffentlich eingehen. Nur damit man meine Beweggründe versteht

    Dennoch habe ich einfach ein besseres Gefühl, wenn ich meiner Konkurrenz und auch „Bösen Menschen“ nicht mein komplettes Plugin-Archiv bzw. Theme Archiv offen lege.

    Niemand, aber wirklich auch niemand, hat irgend einen Vorteil oder Angriffspunkt, wenn er weiß, welches Theme und welche Plugins du benutzt. Gefährlich wird es nur dann, wenn du Themes, Plugins und WordPress nicht aktuell hältst. Wenn das in irgend einer Form ein Problem wäre, dann wären millionen von Webseiten gefährdet. Jetzt bitte nicht persönlich nehmen, aber ich finde so etwas schon ein wenig paranoid. Um absolut sicher zu gehen, darfst du keine Webseite ins Internet stellen, denn eine 100% Sicherheit gibt es nicht. Wie ich schon erwähnte, der Aufwand steht in keinem Verhältnis zu einem (falls überhaupt vorhandenem) Sicherheitsgewinn. Weiterhin solltest du bedenken, dass Hacker, die dich unbedingt angreifen wollen, sich durch Verschleierung der Pfade kaum abhalten lassen, ganz im Gegenteil, das animiert eher.

    Aber im Endeffekt ist das deine Baustelle, viel Erfolg dabei (völlig ironiefrei gemeint)

    • Diese Antwort wurde geändert vor 1 Jahr, 9 Monaten von bscu.
    Moderator Michi91

    (@michi91)

    Dann sollte ein Plugin wie autoptimize ausreichen. Einfach alle scripte minimieren und kombinieren..

    Wichtiger dürfte dann wohl sein, dass du jetpack los wirst und ein richtiges cookie Management wie z. B. Das von borlab verwendest du einrichtet… Weil das sind die Punkte die man abmahnen kann..

    Danach lässt du die Seite vom Händlerbund ausführlich prüfen, die werden dir dann sicherlich eine ganze Liste mit abmahnfahigen Punkten geben, die du dann abarbeiten kannst 🙂

    Ich denke so wird eher ein Schuh draus

    Thread-Starter exoryhd

    (@exoryhd)

    Danke Leute!
    Wollte dies Spektakel mit der IT Kanzlei in München machen im Zusammenhang mit Rechtstexten. Kostet 48 Euro monatlich und es bleibt alles aktuell inkl der Website Prüfung

    Dann sollte ein Plugin wie autoptimize ausreichen. Einfach alle scripte minimieren und kombinieren..

    … und wenn ich ?ao_noptimize=1 an die URL anhänge, sehe ich genauso viel wie vorher. Das Plugin ist (wie alle Cache-Plugins) auch nicht dafür gemacht worden, verwendete Themes und Plugins zu verschleiern. Aber das haben wir alles schon mehrfach geschrieben.

    Wo du dir juristischen Rat holst, was das kostet und ob das sinnvoll ist, ist hier off topic.

    @exoryhd

    Mit nochmaligem Hinweis auf alle bisher geschriebenen Anmerkungen zu deinem Vorhaben:

    Hier gibt es ein paar Plugins, die dabei behilflich sein könn(t)en:
    https://de.wordpress.org/plugins/search/wp+hide/

    Thread-Starter exoryhd

    (@exoryhd)

    @la-geek Danke! Habe nun alle Hinweise, Tipps und Co, um mir was vernünftiges nach Möglichkeiten zusammenzubasteln. Danke nochmal für die Geduld

    @exoryhd
    Danke für die Rückmeldung und viel Erfolg!

Ansicht von 10 Antworten – 31 bis 40 (von insgesamt 40)
  • Das Thema „WordPress Installation „Verstecken““ ist für neue Antworten geschlossen.