onlaie

Nach einigen Maßnahmen und Beobachtung der Lage, folgender Nachtrag:

Also honeypot hilft hier nichts; auch weil es, wie vermutet, den Link nicht verändert.
Ebenso erfolgt kein Logging der Zugriffsversuche oder was auch immer dieses Plugin loggen sollte.

Die XML-RPC Schnittstelle ist seit vielen Jahren serverseitig deaktiviert

Der AuthBasic-Schutz half nichts

Im SEO-Plugins ist nichts bez. Sozial-Media hinterlegt.
Auch taucht keiner der Benutzenamen im Quelltext keiner Seite auf.

Sicherheitsplugins haben wir 3 probiert, doch keins konnte die Flut von Passwort zurücksetzen eindämmen.
Auch eine temp. Abschottung mittels „Password Protected“ brachte nichts. Wie auch?

Inzwischen gehen den Redakteuren und mir schon die Ideen aus, wie wir die Benutzer umbenennen sollen.
Aber es hilft eh nichts, irgendeine Lücke verrät die nach einigen Stunden Ruhe gleich wieder …

Somit kann man da scheinbar nichts gegen machen, außer ignorieren.

Markiere als gelöst, weil WP selbst können wir nicht reparieren, selbst wenn man die Lücke finden würde.

Danke für die umfangreiche Info!

In wie weit hilft es, „das öffentlich sichtbare „Passwort vergessen“-Formular “ zu verstecken? Wird damit auch wp-login.php?action=lostpassword verändert?

XMLRPC-Schnittstelle:
Dzt. ist folgender Code in der functions.php:

add_filter( 'xmlrpc_enabled', '__return_false' );
   /* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
   add_filter( 'wp_headers', 'AH_remove_x_pingback' );
    function AH_remove_x_pingback( $headers )
    {
    unset( $headers['X-Pingback'] );
    return $headers;
    }

Ob das überhaupt was hilft?
Weiters hat auch der Hoster (Site ist auf Nginx) etwas bez. XML deaktivieren in die Serverkonfiguration eingetragen.

AuthBasic-Schutz: Gute Idee, das mache ich aber auch mithilfe des Hosters (das kann der einfach machen, hatten wir schon mal bei einem anderen Projekt – wobei: Gegen den Passwort rücksetzen Terror hilft das nichts.). Aber ansonsten ist es schon eine ratsame Sache – Danke!

SEO-Plugins tragen z.B. den Autor gerne in Meta-Daten ein:
Ah, das hatte ich nicht am Schirm, das prüfe ich noch nach!

PS: Nein, es ist kein Sicherheitsplugin installiert. Ua. weil man oft liest, dass diese riesigen Dinger nicht einfach automatisch schützen, nur weil man alles anklickt. Und die bisher angesehenen überfordern einem echt.
Daher setzte ich bisher gerne auf kleine Lösungen wie eben das Thema XML RPC zeigt.

Bei 6.8.3 ist „6.8“ die Hauptversion, die „.3“ steht für die Bugfix-Version.

Genauso habe ich das bisher verstanden.

Aber dann verstehe ich den Satz noch weniger:

Wenn WordPress 6.8.3 genutzt wird, findet kein Update auf 6.9.1 statt. Würde es eine 6.8.4 geben, würde dieses eingespielt werden.

Egal, wir werden alles wieder auf manuell stellen. Dann gibts kein Ratespiel, was wer automatisch oder nicht macht.

define( ‚WP_AUTO_UPDATE_CORE‘, false );

ist nicht drin.

Hier die Plugins einer der Sites, wo noch immer kein Update durchgeführt wurde:

# Must-Use Plugins
- Keine Daten verfügbar

# Aktive Plugins
- Advanced Database Cleaner - 4.0.6
- Advanced iFrame - 2025.10
- Category Posts Widget - 4.9.22
- Complianz - Terms and Conditions - 1.2.8
- Disable & Remove Google Fonts - 1.8.2
- Disable Gutenberg - 3.3
- Download Monitor - 5.1.7
- FooGallery - 3.1.11
- My Sticky Bar - 2.8.6
- Real Cookie Banner - 5.2.14
- Regenerate Thumbnails - 3.1.6
- SEOPress - 9.5
- Solid Mail - 2.2.2
- Supaz Easy Background - Easy way to add parallax image or video backgr - 1.0.2

# Inaktive Plugins
- Advanced iFrame custom folder - 1.0

Die anderen Instanzen nutzen nicht WordPress 6.9 sondern sind noch bei einer älteren Version.

Ja, stimmt! Die eine hier ist noch auf 6.8.3. Dh. es sind schon frühere Updates nicht erfolgt.
Dh. hier liegt irgendwo das Problem …

Die Updates werden vom Hosting gesteuert

Nein, definitiv nicht.

Danke, das kann genau das, was wir suchen, auch finden!

Im Fall der Mediensuche muss man aber auch noch die richtige Quelle Advanced > Post Meta wählen. Dann findet es alles, was die DB hergibt. Vorausgesetzt, man kann Regex. (Aber ChatGPT hat mir dabei geholfen.)

Dennoch erwägen wir weiterhin optional auch ein eigenes, vom WP Kosmos abgekoppeltes Script, welches direkt im Dateisystem sucht und findet. Kann ja sein, das nicht alles in der DB steht, was so auf der Platte herumdümpelt.

Danke!

Ja, genau das womit WP die Spalte „Hochgeladen zu“ füllt.
Diese Zuordnung (zumindest jene des Beitragsbildes) sollte nachträglich, in einem Rutsch repariert werden können.

Du kannst weder mehrere Beiträge einem Bild zuordnen noch ein Bild mehreren Beiträgen.

Wohl aber mehrere Bilder einem Beitrag. Das im Stapel erledigen zu können, wäre das Ziel.

Ja, es geht um den Überblick, was wohin gehört.

empfehlen mit virtuellen Ordnern in der Mediathek zu arbeiten

Interessante Idee, das werde ich so vorschlagen – Danke!

Plugins:
Bei zwei „meiner“ Webs läuft bereits ein Plugin namens „Real Media Library (Free)“ Mal sehen, ob das dafür geeignet wäre.

Das gibt es jedoch nicht für normale Nutzer

Genau.

Und nein, so ein Plugin habe ich natürlich nirgends drauf. Das würde die Betreiber nur verwirren.
Ich halte es auch immer so, dass es nur einen Admin gibt (ich) und das alle anderen Benutzer max. Redakteure sind.

Aber als mir das angesprochene Mail jemand weiterleitete, dachte ich zuerst: „Aha, naja, das kenne ich eh, sehe ich öfters beim Einstieg, … passt schon“ OH! Ne! Der ist ja kein Admin, Obacht, das stimmt was nicht.

Mit „vonseiten WP“ meine ich, das es ja möglich sein hätte können, das WP das inzwischen auch für Nicht-Admins eingebaut hat.

Auf den Mailversand achte ich, indem ich überall „Solid Mail“ laufen habe, was ja auch jeden Versand mitloggt.
Ja und wichtiger, bei den Projekten, die bei all-inkl laufen, ist es ohnehin klar, das all der Kram bez. SPF Signatur usw. aktiviert ist (das ist bei dem Hoster recht einfach und klar gelöst, finde ich).