Carsten Lippert
Verfasste Forenbeiträge
-
Forum: Allgemeine Fragen
Als Antwort auf: Subresource integrity featureForum: Allgemeine Fragen
Als Antwort auf: Subresource integrity featureHast Du noch ein paar Tipps oder Info`s bezüglich meines ursprünglichen Themas? Ist es wirklich so speziell mit SRI, einmal abgesehen von den Bunny Fonts? Sehr viel ist dazu nicht zu finden…
- Diese Antwort wurde geändert vor 1 Jahr, 6 Monaten von Carsten Lippert. Grund: Ergänzung
Forum: Allgemeine Fragen
Als Antwort auf: Subresource integrity featureAuch Du beschreibst die Bedenklichkeit von Bunny Fonts, womit es schon 2 Aussagen sind, welche die Nutzung hinterfragen.
Zur Umstellung auf SSL wird das stimmen, was Du sagts, aber als Anfänger legt man trotz Buch und Internet nicht gleich mit dem Editieren der Datei .htaccess los. Ich habe sie mir nach der Nutzung des Plugins Really Simple SSL angesehen, mit Beschreibungen auf diversen Webseiten verglichen und fange langsam an, Stück für Stück Erfahrungen zum Thema zu sammeln.
Bunny Fonts wurden von mir nicht wirklich bewusst implementiert, denn als Erstes wurde das Plugin Local Google Fonts angewendet. Leider habe ich erst später mit dem Test mittels hardenize angefangen, deshalb kann ich nicht erkennen, wann es zur „Infiltrierung“ mit den Bunny Fonts gekommen ist, zumal der Inhalt der Webseite ja auch gelinde gesagt, überschaubar ist.
Ich weiß, aus unserem letzten Kontakt, dass Du die Meinung vertrittst, dass viel Plugins nicht gleich viel Sicherheit und Komfort bedeuten, eher noch zu mehr Problemen führen können, nur ich gebe nochmals zu Bedenken, wenn ich es alles vorher wüsste, dann würde ich mich nicht an ein Forum wenden.
Forum: Allgemeine Fragen
Als Antwort auf: Subresource integrity featureDie Website ist nun online. Da es nur eine Testseite ist, ist der Inhalt der Standard einer Ersteinrichtung.
Ja, warum wurde mit Bunny-Fonts getestet, weil man als Anfänger auch auf diversen Seiten darüber stolpert und es dort z.B. als gute Alternative bezeichnet wird. Wenn ich Deine Meinung hier richtig interpretiere, dann ist dies eben nicht so und es ist viel besser Google Fonts zu benutzen und diese dann, um DSGVO konform zu sein, lokal vorzuhalten. Vielen Dank für diese Information.
Forum: Plugins
Als Antwort auf: AIOS > Brute force > Rename login pageIch nehme Eure Kritik zur Kenntnis und gelobe Besserung. 👍
https://wordpress.org/support/topic/aios-brute-force-rename-login-page/
Ich werde mir Deine Empfehlungen ansehen und für mich bewerten.
Danke nochmals, für Eure Zeit, bis dann einmal.
Gruß Carsten
Forum: Plugins
Als Antwort auf: AIOS > Brute force > Rename login pageEs ist überhaupt nicht als Angriff meinerseits gemeint, also nicht falsch versehen. Ich habe meine Worte bewusst gewählt, aber mehr oder weniger mit Augenzwinkern. Wir kochen mal alle etwas runter. 😉
Mir ist nur so durch den Kopf gegangen, das wenn ich meine Support-Kunden so direkt auf Fehler Ihrerseits hinweise würde, wären die meisten Leute not amused. Allerdings besteht da ein großer Unterschied, Ihr macht das freiwillig und ich bekomme dafür Geld auf der Arbeit. Also nichts für ungut, Ihr habt ja Recht!
Das Plugin „WPS Hide Login“ hatte ich bewusst deaktiviert, um den Zustand meines Problems wieder herzustellen. Ich hatte es doch, wie oberhalb beschrieben, als Workaround installiert.
Durch das Lesen eines Buches zu WordPress wurde ich auf diverse Plugins aufmerksam, sicherlich lässt sich über die Sinnhaftigkeit mancher Plugins trefflich streiten, wie überall im Leben. Da ich kein Programmierer bin, muss ich mich erst einmal auf solche Dinge verlassen, denn das eigenständige Editieren einer .htaccess würde ich mir noch nicht unbedingt zutrauen.
Ich schaue mir einmal die Konfiguration des Cache-Plugins an, vielleicht finde ich da ja etwas. Bis hierher erst einmal vielen Dank für Eure Bereitschaft zur Hilfe!
Ach ja, ich hatte auch im englischen Forum bereits Fragen dazu gestellt und wenn es mich nicht täuscht, ist der Beantworter womöglich ein Supporter vom Hersteller des All in one WP Security – Plugins, aber irgendwie habe ich mich wohl extrem unverständlich ausgedrückt oder es bisher einfach nur nicht verstanden, was er mir mitteilen wollte. Deshalb versuchte ich es noch einmal im deutschsprachigen Forum.
Gruß Carsten
Forum: Plugins
Als Antwort auf: AIOS > Brute force > Rename login pageIch muss schon sagen, harter Tobak hier, von allen Seiten gibt es Feuer. Aber gut, ich benötige Hilfe, dann muss ich diese Pille wohl oder übel schlucken…
wp-core version: 6.2.2
site_language: de_DE
user_language: de_DE
timezone: Europe/Berlin
permalink: /%year%/%monthnum%/%day%/%postname%/
https_status: true
multisite: false
user_registration: 0
blog_public: 1
default_comment_status: open
environment_type: production
user_count: 1
dotorg_communication: true wp-paths-sizes wordpress_path: /homepages/18/d638640389/htdocs/Wordpress
wordpress_size: 172,38 MB (180756888 bytes)
uploads_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/uploads
uploads_size: 99,63 MB (104471467 bytes)
themes_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes
themes_size: 2,51 MB (2630071 bytes)
plugins_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
plugins_size: 166,18 MB (174253955 bytes)
database_size: 56,94 MB (59703296 bytes)
total_size: 497,64 MB (521815677 bytes) wp-dropins (1) advanced-cache.php: true wp-active-theme name: Twenty Twenty-Three (twentytwentythree)
version: 1.1
author: Das WordPress-Team
author_website: https://de.wordpress.org
parent_theme: none
theme_features: core-block-patterns, post-thumbnails, responsive-embeds, editor-styles, html5, automatic-feed-links, block-templates, widgets-block-editor
theme_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes/twentytwentythree
auto_update: Deaktiviert wp-mu-plugins (1) aios-firewall-loader.php: author: (undefined), version: (undefined) wp-plugins-active (15) All-in-One WP Migration: version: 7.75, author: ServMask, Automatische Aktualisierungen aktiviert
All in One SEO: version: 4.3.8, author: All in One SEO Team, Automatische Aktualisierungen aktiviert
All In One WP Security: version: 5.1.9, author: All In One WP Security & Firewall Team, Automatische Aktualisierungen aktiviert
Complianz | GDPR/CCPA Cookie Consent: version: 6.4.6, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
Elementor: version: 3.13.4, author: Elementor.com, Automatische Aktualisierungen aktiviert
Independent Analytics: version: 1.24.0, author: Independent Analytics, Automatische Aktualisierungen aktiviert
LightStart - Maintenance Mode, Coming Soon and Landing Page Builder: version: 2.6.7, author: Themeisle, Automatische Aktualisierungen aktiviert
Local Google Fonts: version: 0.21.0, author: EverPress, Automatische Aktualisierungen aktiviert
Ocean Extra: version: 2.1.7, author: OceanWP, Automatische Aktualisierungen aktiviert
Ocean Stick Anything: version: 2.0.6, author: OceanWP, Automatische Aktualisierungen aktiviert
Otter – Page Builder Blocks & Extensions for Gutenberg: version: 2.3.0, author: ThemeIsle, Automatische Aktualisierungen aktiviert
Redirection: version: 5.3.10, author: John Godley, Automatische Aktualisierungen aktiviert
UpdraftPlus - Backup/Restore: version: 1.23.4, author: UpdraftPlus.Com, DavidAnderson, Automatische Aktualisierungen aktiviert
WP-Optimize - Clean, Compress, Cache: version: 3.2.15, author: David Anderson, Ruhani Rabin, Team Updraft, Automatische Aktualisierungen aktiviert
WP Last Modified Info: version: 1.8.7, author: Sayan Datta, Automatische Aktualisierungen aktiviert wp-plugins-inactive (1) WPS Hide Login: version: 1.9.8, author: WPServeur, NicolasKulka, wpformation, Automatische Aktualisierungen aktiviert wp-media image_editor: WP_Image_Editor_GD
imagick_module_version: Nicht verfügbar
imagemagick_version: Nicht verfügbar
imagick_version: Nicht verfügbar
file_uploads: File uploads is turned off
post_max_size: 64M
upload_max_filesize: 64M
max_effective_size: 64 MB
max_file_uploads: 20
gd_version: 2.2.5
gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
ghostscript_version: 9.27 wp-server server_architecture: Linux 4.4.302-icpu-092 x86_64
httpd_software: Apache
php_version: 8.1.19 64bit
php_sapi: cgi-fcgi
max_input_variables: 5000
time_limit: 50000
memory_limit: -1
max_input_time: -1
upload_max_filesize: 64M
php_post_max_size: 64M
curl_version: 7.64.0 OpenSSL/1.1.1n
suhosin: false
imagick_availability: false
pretty_permalinks: true
htaccess_extra_rules: true wp-database extension: mysqli
server_version: 5.7.41-log
client_version: mysqlnd 8.1.19
max_allowed_packet: 67108864
max_connections: 3000 wp-constants WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content
WP_PLUGIN_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
WP_MEMORY_LIMIT: 40M
WP_MAX_MEMORY_LIMIT: -1
WP_DEBUG: false
WP_DEBUG_DISPLAY: true
WP_DEBUG_LOG: false
SCRIPT_DEBUG: false
WP_CACHE: true
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: Nicht definiert
DB_CHARSET: utf8mb4
DB_COLLATE: undefined wp-filesystem wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
mu-plugins: writable aioseo (1) noindexed: SuchseiteForum: Plugins
Als Antwort auf: AIOS > Brute force > Rename login pageHallo Hans-Gerd,
zu Recht kritisierst Du meine etwas plumpe Art der Fragestellung hier. Ehrlich gesagt, die FAQ habe ich auch nicht gelesen.
Versuchen wir es noch einmal auf’s Neue:Der Link zum Beitrag war sehr hilfreich, hat aber auch meine getätigten Einstellungen im Plugin „All in One WP Secutity“ unter WordPress 6.2.2 bestätigt.
Ich habe nicht nur die Login page URL angepasst, sondern auch den Admin-Namen verändert, ein komplexes PW eingerichtet und obendrein noch die Zwei-Faktor-Authentifizierung.
Also ich verlasse mich nicht nur auf die veränderte Login page URL.Es funktioniert soweit auch alles bestens, bis auf den Zustand, dass ich die Login Seite nicht nur noch mit der veränderten Login URL erreiche, sondern seltsamer Weise auch mit wp-login.
Ich habe also durch die Anpassung nichts erreicht, sondern eher verschlechtert, da es nun sogar 2 Möglichkeiten gibt, sich einzuloggen. Zumindest verstehe ich es so.
Da ich das Problem nicht in den Griff bekommen habe und mir, wie anfangs erwähnt, auch noch das notwendige Hintergrundwissen fehlt, habe ich mich folgendermaßen beholfen:
Ich habe im oberhalb genannten Plugin die Funktion „Rename login page“ wieder deaktiviert und ein weiteres Plugin installiert (WPS Hide Login).
Dort habe ich die Anmelde-URL angepasst und siehe da, es funktioniert nur noch diese Anmeldung. Nicht fein, aber als Workaround geht’s.
Dennoch würde mich interessieren, warum ich es mit dem ersten Plugin nicht hinbekomme.
Anfänglich hatte ich ein etwas mulmiges Gefühl mit dem Preisgeben der URL, aber der Link mit dem Hinweis auf die FAQ und den darin enthaltenen Aussagen, hat es zumindest ein wenig zerstreut.
Gruß Carsten
PS: Die URL ist erkennbar? Ich habe auf die Schnelle nicht gefunden, wo ich sie nachträglich eintragen kann.- Diese Antwort wurde geändert vor 1 Jahr, 7 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 7 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 7 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 7 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 7 Monaten von Bego Mario Garde. Grund: Antwort war als Code-Block formatiert