lud3r

Ich wollte nicht die wp-config´s „tauschen“. Hatte ich mich wohl unklar ausgedrückt.

Vielen Dank für die Hinweise, Torsten 🙂

Dann frage ich mal anders :
Ich hatte für die Variable open_basedir zwei Möglichkeiten :

1. {DOCROOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php{/}sessions{:}{WEBSPACEROOT}{/}tmp (standard) – (diese wählte ich auch)
2. {WEBSPACEOOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php{/}sessions

Das liest sich für mich wie Hieroglyphen, auch wenn ich mir gerade die php-Definition durchgelesen habe.

Allgemein stellt sich mir die Frage, wann und wieso WordPress auf die Idee bzw. den Weg geht die Datenbankdaten abzufragen. Passiert das denn, wenn er keinen Zugriff auf die wp-config Datei bekommt ?
Kann man es ggf. aus dem Winkel heraus betrachten ?
Oder sollte ich mal in andere Configs von WOrdpress schauen und suchen, ob da ggf. bestimmte Dinge sind die diese Umstellung verhindern ?

Ich habe ein komplettes Plesk-Backup, doch er kann komischerweise dieses nicht wiederherstellen. Doch … die Internetseite B liegt mir laaaange nicht so am Herzen, weswegen ich nicht einfach die Seite A umstellen möchte von der php-Version.

Ich habe die Lösung nun endlich gefunden.
In der Accesslog vom Apache war zu finden, dass wenn die Hauptseite aufgerufen wird, ein Fehlercode 401 erscheint :

„GET /wp-admin/js/password-strength-meter.min.js?ver=5.2.4 HTTP/2.0“ 401 381 „[entfernt]“ „Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0“ „Traffic IN:84 OUT:463“ „ReqTime:0 sec“

Ich musste in die .htaccess file im wp-ordner :

<Files admin-ajax.php>
Require all granted
</Files>

und

<Files password-strength-meter.min.js>
Require all granted
</Files>

einfügen.
Bisher klappt es. Ich habe es auch reproduziert. Wenn es auch einige Verzögerung erfordert. Ich testete es immer im privaten Fenster im Firefox. Diese Einstellungen gelten für einen Apacheserver ab Version 2.4.

Bis einschließlich Version 2.3 muss man dieses verwenden :

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

und

<Files password-strength-meter.min.js>
Order allow,deny
Allow from all
Satisfy any
</Files>

Bisher klappt es bei mir mit dem 2.4. Schnipsel.
Ich hoffe, dass ich anderen damit helfen kann.

Vielen Dank für die Unterstützung hier im Forum (ich war ja schon im anderen Thread aktiv) ! Das ist wirklich sehr nett, dass hier so individuell auf einzelne Fragen eingegangen wird.

Nun muss ich also bei woocommerce mal anklopfen 😉 Normal kann das so ja nicht geschehen, denn das Plugin nutzen ja nicht nur 25 Personen.

Da gebe ich Dir Recht mit den Sicherheitslücken, dass besonders „alte Systeme“ anfälliger sind.

Ich werde das mit dem privaten Browserfenster prboeren und dann eine Rückmeldung geben.

Andere Frage : Gibt es noch eien andere Möglichkeit einen derartigen htaccess-Schutz zu realisieren. Z.B. ein Plugin ?

Und weitere Frage : Angenommen ich schütze nun die wp-login.php durch die htaccess-datei im Hauptordner. Ist das trotzdem noch funktioniell, wenn der Adminlogin umbenannt wurde (so wie Du es vorhin auch vorgeschlagen hast). Ich shcätze zwar ja, weil es ja eigentlich nur eine Maske ist die Umbenennung, oder ?

Und wonach sollte ich als Schlagwort suchen, wenn diese htaccess-Schutzvariante sich nicht beheben lässt. Mir fällt da kein Schlüsselwort ein. Oder bei meinem webhostinganbieter direkt nachfragen ? Der wird mir doch bestimmt sagen, dass ich das richtig konfigurieren muss 😀

Ja, die habe ich angelegt und das funktioniert auch, wenn ich Benutzer und Passwort eingebe.

Richtig. Nur weil es eben meine WordPressinstallation betrifft bzw speziell den wp-admin Bereich, habe ich das hier hinein geschrieben.

– evtl verursacht das woocommerce, weil auf der Hauptseite ein Einloggmöglichkeit besteht ?
– gibt es eine andere Möglichkeit htaccess-Schutz für wp-admin zu erzeugen ?
– andere Lösungsmöglichkeiten ?

Grüße