Sidebar
ein-/ausblenden

82 Kommentare und 10 Trackbacks zu „WordPress Login Sicherheit - Secure WP (Plugin)“

  1. 1
    Kommentar von Mathias

    Guter Tipp. Ich hatte bisher den <div> in der "wp-login.php" ausgeblendet, weil es mir auch nicht gefallen hat, dass ein potentieller Angreifer auf diese Weise Informationen enthält. Aber so geht's auch. Ich habe nur kein Plugin genommen, sondern die Zeile direkt ans Ende der "/wp-includes/default-filters.php" geschrieben. ;)

  2. 2
    Pingback von Sicherheit / WordPress absichern
  3. 3
    Pingback von WordPress Plugins für mehr Sicherheit - bueltge.de [by:ltge.de]
  4. 4
    Pingback von Securebase.at » WP-Login
  5. 5
    Pingback von Plugins: Sicherheit | neontrauma.de | Tutorials & Webdesign
  6. 6
    Pingback von Securing WordPress | Instinct Entertainment
  7. 7
    Pingback von Secure WordPress (in italiano)
  8. 8
    Kommentar von baron

    Works great, thank you

  9. 9
    Kommentar von Trelas

    Hey, wenn ich das Plugin benutze, funktioniert mein MCEComments nicht mehr.
    (Die Button werden nicht angezeigt und kommen erst wieder, wenn "Secure WP" deaktiviert wird. ???

  10. 10
    Kommentar von Frank Bültge

    @Trelas: klappt bei mir wunderbar, wüsste auch nicht, woran es liegen soll. Welche WP Version? Kannst du mal eine Einstellungen deaktivieren, eventuell hängt es mit einer Option zusammen, auch wenn ich nicht wüsste, woher das kommen soll.

  11. 11
    Kommentar von Trelas

    Ich habe Wordpress 2.6.3 und das Problem kommt auch, wenn ich WP Security Scan aktiviere.
    Und wenn ich TDO Mini Forms aktiviere, dann kommt es noch besser, der tauscht den link von "Einstellungen options-general.php" auf wavatars.php.
    Hmmm irgend etwas stimmt da gar nicht.

  12. 12
    Kommentar von Frank Bültge

    Setze mal die Install von WP neu, also alle Dateien neu aufspielen. Irgendwo ist da was foul. Setze aber die Ordner neu, so dass du keine alten Dateien drin hast, die aber nicht benötigt werden.

  13. 13
    Kommentar von Trelas

    Ja, ich denke, das werde ich machen. Wohl aber erst, wenn V2.7 kommt.
    Werde aber die Datenbank testweise in einer neuen Installation einspielen.

    Bei mir sind unter anderen auch noch die Widget quälend langsam und ich kann keine Änderungen speichern ... (z.B. bei einen Text Widget)
    In der Tat ist da was nicht in Ordnung ...

  14. 14
    Pingback von 这样活着~~~ » wordpress 2.7兼容的插件列表
  15. 15
    Pingback von zeitsturz » WordPress - das Blog absichern
  16. 16
    Pingback von 14 tips per mettere in sicurezza wordpress | technorati.it
  17. 17
    Kommentar von leandre

    Hello,

    Great plugin :) but is doesnt work witch pdo :

    http://wordpress.org/extend/plugins/pdo-for-wordpress/

    Im use sqlite. If you find a solution i give you 100usd and this is not a joke.

    Best regards,

  18. 18
    Kommentar von Frank Bültge

    @leandre: thanks for the information, i will check this on the new version, i write on this with two ne options.

  19. 19
    Kommentar von Brad

    Danke für das wunderbare Plugin! Leider funktioniert es nicht zusammen mit Limit Login Attempts http://wordpress.org/extend/plugins/limit-login-attempts

    Wahrscheinlich lassen diese beiden sich gar nicht kombinieren, oder?

  20. 20
    Kommentar von Frank Bültge

    was auch nicht sinnvoll ist, denn sie haben beide das gleiche Ziel. Eines der beiden Plugins sollte daher genügen.

  21. 21
    Kommentar von Brad

    ich verstehe... ich kann ja "deactivates tooltip and error message at login of WordPress" deaktivieren, die anderen Sicherheitsänderungen aber lassen.

    Wann kommt dein neues Buch raus - bin schon ganz neugierig... :-)

  22. 22
    Kommentar von Frank Bültge

    @Brad: dauert noch, es reicht einfach nicht nur Nachts zu schreiben und da sich scheinbar alle Welt auf das Thema stürzt, kann ich mir ja vielleicht Zeit lassen. Plan ist eigentlich noch immer Mai im Handel.

  23. 23
    Kommentar von Brad

    Dann wünsche ich viel Kraft!!! Wollte dich nicht stressen.... - ich dachte, es liegt am Verlag, weil bei Amazon schon seit einer ganzen Weile "März 2009" steht. Marketing.. :-)

  24. 24
    Kommentar von Frank Bültge

    Oh nein, es liegt an den beiden Autoren und ihrer Hauptbeschäftigung, die jeweils 10 - 12h am Tag einnimmt und da ist am Abend nicht mehr viel los, neben Blog, Mails etc.

  25. 25
    Kommentar von johny why

    my web host tells me the following WP 2.71 core files and variables are a security risk, for exploits:

    index.php $_SERVER[DOCUMENT_ROOT],page
    errors.php $error

    what can be done?

  26. 26
    Kommentar von René

    Hallo, also danke für das tolle plugin. Im Admin backend steht jetzt allerding im Footer: Du benutzt eine Entwicklerversion (2.7.1).

    Wo kann ich "Entwicklerversion" löschen?

  27. 27
    Kommentar von Frank Bültge

    @René: was aber nicht am Plugin liegt, sondern an deiner Installation. Schau mal in /wp-includes/version.php, was dort drin steht.

  28. 28
    Kommentar von Matti

    Mir ist gerade dein Addon emfpohlen worden aber über die normale Installation finde ich kein Secure WP. Geht das nur per manuellem Download und nicht wie bei den andern Addons über die Wordpress-Admin Seite?

  29. 29
    Kommentar von ed

    Ich hab einen Fehler entdeckt: Wenn ich nämlich einen korrekten Benutzernamen angebe, aber ein falsches Passwort, so bleibt der Benutzername stehen. Damit weiß der Hacker, dass es den Benutzernamen gibt. Bei einem falschen BN + falschem PW werden beide Felder geleert.

  30. 30
    Kommentar von Frank Bültge

    @ed: das ist kein Problem meines Plugins, das ist Standard in WordPress.

  31. 31
    Kommentar von Frank Bültge

    @Matti: das geht, suche mal im Backend nach Secure WordPress.

  32. 32
    Kommentar von Pulse-Art

    Очень полезный и нужный плагин!
    The Best plugin for WP!

  33. 33
    Pingback von Wordpress
  34. 34
    Kommentar von Michael

    Thank you for your hard work on Secure WP!

  35. 35
    Kommentar von saqib

    Hey there guys as long as wordpress has been updated to 2.8 version this is not working can you update your plugin now brother i think its time

  36. 36
    Kommentar von Frank Bültge

    The plugin works under WP 2.8, with one of new feature.

  37. 37
    Kommentar von Kawa

    wp_enqueue_script() reveals the Wordpress version if a script version isn't supplied (it puts in the Wordpress version instead). Any chance this could be blocked?

    Either way, thanks for all your hard work and making my life easier!

  38. 38
    Kommentar von Frank Bültge

    @Kawa: you have right and will see for a solution, maybe in a next version. Best regards

  39. 39
    Kommentar von sebastienr

    Hi,

    Does the plugin work for the latest versions (3.2.x) ?

  40. 40
    Kommentar von Frank Bültge

    yes, works with the latest version of WordPress.

  41. 41
    Kommentar von Michael

    Super info´s Danke Euch. Weiter so

  42. 42
    Kommentar von deLtadeep

    Ich würde das Plugin auch gerne benutzen (hab zwar einpaar Einstellungen manuell vogenommen, aber die sind bei nem Upgrade ja wieder weg), aber kann es sein, das der Downloadlink nicht mehr funktioniert oder bin ich nur zu dumm dafür? ;-)

  43. 43
    Kommentar von Frank Bültge

    Danke für den Hinweis, habe es gefixt.

  44. 44
    Kommentar von deLtadeep

    Danke ;-)

  45. 45
    Kommentar von Tobi

    Vielen Dank, für die gute Arbeit!

  46. 46
    Kommentar von mcguillan

    Es ist echt schön, dass man etwas für die Sicherheit machen kann... Wenn immer wieder solche Lücken auftauchen: http://www.heise.de/newsticker/Luecke-in-WordPress-ermoeglicht-Aussperren-des-Admins-Update--/meldung/143328

    Sauber gemacht!!!

  47. 47
    Kommentar von angel

    Hallo,

    herzlichen Dank, und bitte weiter so !

    Gruß
    angel

  48. 48
    Kommentar von Robert

    Thanks for the great plugin. I have a few suggestions.

    Instead of generating index.html files, could you have the plugin check for, and install index.php files. By default some directories already contain an index.php file. I now have directories with two index files, html and php. Not a big deal, just not clean.

    If you do set the plugin to generate php files, it would be great if you also included a script on the generated index.php that redirected the browser to the site root. That way any attempts to look into directories throws them back to the site root.

    My German sucks, but here's a translation.

    Vielen Dank für den Steck- Grossen. Ich habe einige Vorschläge.

    Anstatt index.html Dateien zu erzeugen, konnte Sie, die Steckkontrolle haben, weil und index.php Dateien installieren. Standardmäßig enthalten einige Verzeichnisse bereits eine index.php Datei. Ich habe jetzt Verzeichnisse mit zwei Index-Dateien, HTML und php. Nicht ein großes Geschäft, gerade nicht sauber.

    Wenn Sie wirklich den Steck- veranlassen, php Dateien zu erzeugen, würde es groß sein, wenn Sie auch eine Schrift auf dem erzeugten index.php einschlössen, der den Browser zur Seite-Wurzel umadressierte. Auf diese Weise werfen irgendwelche Versuche, in Verzeichnisse zu blicken, sie zur Seite-Wurzel zurück.

  49. 49
    Kommentar von Frank Bültge

    @Robert: Thanks for your hint, yes, this is possible and i will include this in the next version.

  50. 50
    Kommentar von Julian

    Super Plugin - vielen Dank!!!

    nur 1 Verbesserungsvorschlag -> löschen der readme.html da steht auch noch die version drin :)

    Ansonsten war ich schon ewig nicht mehr auf Deiner Webseite, erstaunlich was sich hier getan hat/was Du alles geleistet hast in Sachen Wordpress! komme jetzt wohl mal öfter vorbei :)

  51. 51
    Kommentar von Robert

    Just downloaded the most recent version of your plugin, and noticed the change to php files. Your awesome, keep up the great work. Just gave your plugin 5 stars.

  52. 52
    Kommentar von Frank Bültge

    @Robert: yes, i have inlcude your idea; thanks for your comment and voting

  53. 53
    Kommentar von Wordpress.ua

    Hello. I do Ukrainian translation Secure WordPress. You can download on my site http://wpp.pp.ua/secure-wordpress/

  54. 54
    Kommentar von Dmitriy Donchenko

    Hi, Frank. Here is Russian localization of your wonderful plugin.

    Thank You for your work!

  55. 55
    Kommentar von Frank Bültge

    @Dimitry: great, thanks a lot - i have upload the files and update the readme.

  56. 56
    Kommentar von AzzePis

    Here is a right translate of your plugin to Ukrainian lang.
    http://wordpress.co.ua/plugins/plugin-secure-wordpress.html

    translation from site wpp.pp.ua was made by automatic translator, you can see it yourself - too many untranslated English words that have to be translated. :) Example, see translate of:

    Options not update - you don‘t have the privilidges to do this!

    in that .po file and my :)
    any questions are welcome on my email.

  57. 57
    Kommentar von Frank Bültge

    @AzzePis: thanks for your help; i have upload the files and change the link

  58. 58
    Kommentar von AzzePis

    you are wellcome.
    in your page on http://wordpress.org/extend/plugins/secure-wordpress/
    you have made a mistake, you write russion but have to russiAn

  59. 59
    Kommentar von Frank Bültge

    @AzzePis: thanks a lot, also fixed this

  60. 60
    Kommentar von AzzePis

    and one more thing :)
    our Ukrainian wordpress locale have a code not uk_UA, rigth code just uk, so for the right work of translation .mo file must have the name secure_wp-uk.mo, and NOT the secure_wp-uk_UA.mo.
    sorry, it was my mistake.

  61. 61
    Kommentar von Frank Bültge

    @AzzePis: i had also change this, thanks a lot

  62. 62
    Kommentar von Keith Davis

    Hi Frank
    Just downloaded and installed on my local installation of Wordpress using XAMPP.
    Looks fantastic ... I'll take a look at the settings on the local install and then add to my live site.
    Donation to follow.

  63. 63
    Kommentar von Ben

    Hi,
    Same problem on two different hosting :
    Warning: main(inc/WPlize.php): failed to open stream: No such file or directory in /home/.sites/45/site144/web/wp-content/plugins/secure-wordpress/secure-wordpress.php on line 782

  64. 64
    Kommentar von Cedric Weber

    Funktioniert das Plugin auch für WordPress Multiuser #wpmu? Kann ich es einfach in wp-content/mu-plugins installieren?

  65. 65
    Kommentar von Frank Bültge

    @Cedric: sorry, kann ich nicht sagen - versuche es doch bitte, sollte aber gehen, da ich auf Hooks zugreife, die in beiden Systemen identisch sind.

  66. 66
    Kommentar von Frank Bültge

    @Ben: do you have copy the folder inc on the webspaces?

  67. 67
    Kommentar von Ben

    Yes, but apparently, it was a chmod problem on the plugins folder. It works now. Thanks.

  68. 68
    Kommentar von blautaucher83

    Wenn ich das Plugin bei mir aktiviere, funktioniert der visuelle editor nicht mehr. Zuerst sehe ich dann gar keinen text mehr. Ich muss kurz auf html klicken und dann wieder auf visuell. Jetzt sehe ich allerdings auch im visuellen editor html test.

    Ich benutze WP 2.8.6
    Das Problem tritt auch auf, wenn ich zusätzlich das Plugin "Fold Page List" aktiviere. Fold Page List allein funktioniert.

  69. 69
    Kommentar von Frank Bültge

    @blautaucher: Das Plugin geht nicht auf den Editor ein, eventuell gibt es eine Inkonsistenz der beiden verwendeten Plugin. Funktioniert bei dir Secure WordPress allein?

  70. 70
    Kommentar von blautaucher83

    alleine funktioniert es! Habe den anderen Plugin Author ebenfalls kontaktiert, hoffe er hat mein Englisch verstanden.

  71. 71
    Kommentar von Frank Bültge

    Sei so gut und gib mir eine Rückmeldung, dann schaue ich auch mal, wird aber frühestens in der kommende Woche werden, da ich unterwegs bin.

  72. 72
    Kommentar von Nick

    Ich werde aber sicher keinen Optionsbereich einbauen [...]

    Hehe, das war wohl nichts. ;-) Aber gut so, tolles Plugin, danke sehr!

    Wie heißt denn dieses Plugin, das nach Markieren eines Textes einen "Antworten"-Link erscheinen lässt und bei Klick darauf ein entsprechendes Blockquote im Kommentarfeld anlegt?

  73. 73
    Kommentar von Nick

    Leider wird das Plugin BM Custom Login durch Secure WordPress außer Kraft gesetzt. :-(

    Und der WPSCAN gibt mir immer fogende Meldung aus, obwohl ich die entsprechende Option aktiviert und die URL im richtigen Format eingegeben habe: ERROR: [DNS] You must supply a valid URL (i.e http://www.example.com/wordpress/).

  74. 74
    Kommentar von Frank Bültge

    @Nick: da hast du wohl recht ;) Die Erweiterung ist kein Plugin, ist ein JavaScript, hintergründe dazu findest du in dem zugehörigen Beitrag.

  75. 75
    Kommentar von Nick

    Oh, klasse, vielen Dank! :-)

    Schaust du auch noch mal auf #75?

  76. 76
    Kommentar von Nick

    Im Dashboard wird im Kasten "dashboard_right_now" auch Nicht-Admins die WordPress-Version angezeigt. Könntest du das noch fixen?

  77. 77
    Kommentar von Frank Bültge

    @Nick: Aktuell zeige ich ja für alle User, die Zugang zum Admin haben, die Version; steht auch im Footer von WP. Mit meinem Plugin Adminimize kann man das ändern. Ansonsten verstehe ich die Anforderung nicht ganz, warum soll die Version weg, reicht nicht der Hinweis, dass es eine neue Version gibt?

  78. 78
    Kommentar von Nick

    Vielen Dank für deine Antwort!

    Ja, mit dem großartigen Adminimize kann man den Footer verstecken. Im Dashboard können aber User ohne Adminrechte, sogar Abonnenten, die WordPress-Version im Dashboard-Widget "Aktuell" sehen. Dort steht zum Beispiel: "Du nutzt WordPress 2.8.6." Bei Blogs, bei denen sich jeder als Abonnent anmelden kann, hebt das die Versionsverschleierung ja quasi vollständig auf.

    Wie meinst du das mit dem Hinweis auf eine neue Version?

    ---

    Hast du eine Idee, wie ich 'Secure WordPress' dazu bringen kann mit 'BM Custom Login' zu harmonieren und warum der WPSCAN nicht funktioniert?

  79. 79
    Kommentar von Frank Bültge

    @Nick: ich habe mal eine neue Version erstellt, kannst du mir eine Mail senden, so dass ich dir die neue Version zum Testen zukommen lassen kann? Zu WPSCAN: scheinbar liegt ein Problem dort vor, geht auch in meinen Test aktuell nicht. Das Problem mit dem Plugin BC Custom Login ist leider, dass er einen recht schlechten Code nutzt, den ich wohl außer Kraft setze. Daher geht das Plugin nicht. Alternativ müsste ich Daten zulassen, die ich aber explizit verbieten will. Daher hilft es nur, wenn du eine eigene Lösung in dein Theme integrierst oder als Plugin speicherst. Diverse Tutorials habe ich dazu hier im Blog und die klappen immer wunderbar.

  80. 80
    Kommentar von Nick

    Lieber Frank, entschuldige bitte meine verspätete Antwort. Herzlichen Dank für deine Antwort. Klar, meine E-Mail-Adresse ist nun hinterlegt. Wegen WPSCAN habe ich mal Kontakt aufgenommen, mal abwarten, was dabei raus kommt. Was BC Custom Login angeht, vielleicht kann ich den Autor bitten seinen Code zu verbessern, das sind ja nur 78 LOC. Dazu müsste ich allerdings wissen, wo genau das Problem liegt. Liebe Grüße

  81. 81
    Kommentar von Babul Mukherjee

    The menu image causes an SSL error/warning if FORCE_SSL_ADMIN is true.

    I added code after the following line (line 396) to fix:

    $menutitle = 'get_resource_url('secure_wp.gif') . '" alt="" />' . ' ';

    Here is the code I added:

    // added check for SSL login and to adjust url for logo accordingly
    if ( force_ssl_login() || force_ssl_admin() ) {
    $menutitle = str_replace( 'http://', 'https://', $menutitle );
    }

  82. 82
    Kommentar von Frank Bültge

    @Babul: many thanks for this hint!

  83. 83
    Kommentar von Andreas

    Ein sehr guter Tipp, vielen Dank. Ich werde das Plugin gleich in meine Liste der besten Sicherheit Plugins aufnehmen!

    Ein tolles Blog. Weiter so und ein glückliches 2010!

  84. 84
    Kommentar von Toni

    Lieber Frank,
    Ich habe das plugin lokal auf meinem Rechner (MAC OSX/XAMP) insatlliert.
    Die Änderung des Prefix funktioniert nicht mizt folgender Fehlermeldung.

    "Your currently used User to Access the Wordpress Database, holds too many rights. We suggest that you limit his rights or to use another User with more limited rights instead, to increase your Security."

    Die wp-config steht auf chmod777 und das eingrenzen der Rechte/Rolle des Users funktioniert nicht, da ich mit eingeschränkten Rechten nicht auf das Plugin zugreifen kann. Irgendetwas habe ich wohl übersehen.
    Kannst Du mir helfen?

  85. 85
    Kommentar von Artur

    Besten Dank! Wenn das Plugin keine Probleme verursacht, ist das ein muss für Wordpress!

  86. 86
    Kommentar von Frank Bültge

    @Toni: das Plugin greift den Präfix nicht an, kann also nicht folgen.

  87. 87
    Kommentar von Toni

    @frank: ja, das ist richtig. Du kannst meinen Beitrag gerne löschen. Es war ein anderes Plugin das probleme bereitete.

    sorry, ich war wohl etwas durch den wind-)

  88. 88
    Kommentar von Aileen

    Hello,

    Thank you for the nice plug in. I have a quick qeustion.
    If I enable "Remove Windows Live Writer link in wp_head of the frontend" option, then will I not be able to post posts using Windows Live Writer? Or it is just security measure and it does not affect using Windows Live Writer to post on the blog?

    Thank you for your help.

  89. 89
    Kommentar von Frank Bültge

    @Aileen: When you use a external Tool for blogging or pounce to WordPress you do not activate this option, the apps of iPhone, Blackberry and desktop-tool use this interface and is ot a security measure. Deactive this only, when you not use a external tool for WordPress.

  90. 90
    Kommentar von Rick A

    It sometimes becomes necessary to revert to an older version of a plugin so it would be helpful if you included the rev level in the name of the zip file. It avoids confusion when saving them locally.

    BTW, great plugin. Thanks for all your work on it.

  91. 91
    Kommentar von Pablo Jimenez

    HI! I made the spanish translation. how can i send you the files? (.mo .po and .pot)

    great plugin!
    Greetings!

  92. 92
    Kommentar von Frank Bültge

    @Rick A: An older version of this plugin has the same name, also the zip-file form wordpress.org - i dont understand this.

Überlastung, Kommentare sind vorübergehend geschlossen

Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.

Vielen Dank für das Verständnis!