Abonniere die neusten Artikel via RSS-Feed oder Atom und verfolge die Kommentare ebenso via RSS-Feed oder Atom-Feed
Anzeige
If you want the information in english - please have a look on this page.
WordPress gibt dem Anwender Information in die Hand, wenn er/sie sich falsch versucht hat einzuloggen. Die Ausgabe der Informationen sind recht vielschichtig und stellen ein Sicherheitsrisiko dar, denn mit diesen Informationen kann ein potenzieller Eindringling seinen Algorithmus beeinflussen.
Im Bereich Usability ist das auch ein feiner Zug und viele „normale Anwender“ sind für diese Information sicher dankbar. Im Bereich eines Privatblogs oder mit Nutzern die mit der Umgebung vertraut sind sind diese Informationen nicht sonderlich relevant. Darum deaktiviere ich sie und mache so ein weiteres Hilfsmittel für potentielle Eindringlinge dicht. Das geht recht einfach, denn WordPress benutzt auch hier einen Filter-Hook und somit kann man diesen Filter recht einfach deaktivieren.
Je nach Kenntnisstand kann man das auf zwei verschiedene Varianten tun. Entweder der folgende Code kommt in die functions.php des Themes oder man aktiviert einfach das nachstehend angebotene Plugin.
Das Plugin werde ich nach und nach mit weiteren Lösungen ausbauen, je nach Zeit und Kenntnisstand. Aktuell habe ich viele Lösungen auf unterschiedlichem Wege realisiert und will diese in diesem Plugin ablegen. Mit wenig Aufwand soll man so die gängigen Probleme lösen können. Ich werde aber sicher keinen Optionsbereich einbauen, denn zusätzliche Daten in der Datenbank für derartige Lösungen halte ich für überflüssig. Alles weitere dokumentiere ich dann hier im Beitrag und im Quellcode.
/**
* remove Error-information
*/
add_filter( 'login_errors', create_function( '$a', "return null;" ) );
Secure WordPress arbeitet ab WP 2.6 und wurde getestet bis Version 2.9-rare.
Ist die Arbeit nicht 1 Euro wert?
Jede Spende wird dankbar angenommen und ermöglicht das weitere Arbeiten an freier Software.
Möchtest du mehr oder anders spenden, so besuche meine Wunschliste.
Download als zip-Datei:
Download als zip-Datei (incl. pot-, mo- und po-File deutsch): downloads.wordpress.org/plugin/secure-wordpress.zip - 57 kByte
index.html zum Plugin-Verzeichnis hinzu (damit kann das Plugin Replace WP-Version entfallen)Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.
Vielen Dank für das Verständnis!
bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.
Das Weblog wird angetrieben von WordPress und aktuell gibt es 854 Beiträge, 15036 Kommentare in 14 Kategorien und 450 Tags.
Das Blog wird liebevoll mit xHTML & CSS in Handarbeit gestaltet.
Design und Code ist unter Copyright
© 2001 - 2010 bueltge.de [by:ltge.de]
19. Mai 2008 um 15:20
Guter Tipp. Ich hatte bisher den <div> in der "wp-login.php" ausgeblendet, weil es mir auch nicht gefallen hat, dass ein potentieller Angreifer auf diese Weise Informationen enthält. Aber so geht's auch. Ich habe nur kein Plugin genommen, sondern die Zeile direkt ans Ende der "/wp-includes/default-filters.php" geschrieben.
19. Mai 2008 um 17:50
23. Mai 2008 um 21:39
29. September 2008 um 04:35
9. Oktober 2008 um 12:09
10. November 2008 um 23:32
19. November 2008 um 18:56
24. November 2008 um 18:11
Works great, thank you
25. November 2008 um 12:09
Hey, wenn ich das Plugin benutze, funktioniert mein MCEComments nicht mehr.
(Die Button werden nicht angezeigt und kommen erst wieder, wenn "Secure WP" deaktiviert wird. ???
25. November 2008 um 12:24
@Trelas: klappt bei mir wunderbar, wüsste auch nicht, woran es liegen soll. Welche WP Version? Kannst du mal eine Einstellungen deaktivieren, eventuell hängt es mit einer Option zusammen, auch wenn ich nicht wüsste, woher das kommen soll.
25. November 2008 um 14:46
Ich habe Wordpress 2.6.3 und das Problem kommt auch, wenn ich WP Security Scan aktiviere.
Und wenn ich TDO Mini Forms aktiviere, dann kommt es noch besser, der tauscht den link von "Einstellungen options-general.php" auf wavatars.php.
Hmmm irgend etwas stimmt da gar nicht.
26. November 2008 um 13:16
Setze mal die Install von WP neu, also alle Dateien neu aufspielen. Irgendwo ist da was foul. Setze aber die Ordner neu, so dass du keine alten Dateien drin hast, die aber nicht benötigt werden.
26. November 2008 um 13:40
Ja, ich denke, das werde ich machen. Wohl aber erst, wenn V2.7 kommt.
Werde aber die Datenbank testweise in einer neuen Installation einspielen.
Bei mir sind unter anderen auch noch die Widget quälend langsam und ich kann keine Änderungen speichern ... (z.B. bei einen Text Widget)
In der Tat ist da was nicht in Ordnung ...
4. Dezember 2008 um 09:01
17. Dezember 2008 um 07:55
10. Januar 2009 um 14:53
24. Januar 2009 um 00:46
Hello,
Great plugin
but is doesnt work witch pdo :
http://wordpress.org/extend/plugins/pdo-for-wordpress/Im use sqlite. If you find a solution i give you 100usd and this is not a joke.
Best regards,
1. Februar 2009 um 17:41
@leandre: thanks for the information, i will check this on the new version, i write on this with two ne options.
3. März 2009 um 19:57
Danke für das wunderbare Plugin! Leider funktioniert es nicht zusammen mit Limit Login Attempts
http://wordpress.org/extend/plugins/limit-login-attemptsWahrscheinlich lassen diese beiden sich gar nicht kombinieren, oder?
3. März 2009 um 20:23
was auch nicht sinnvoll ist, denn sie haben beide das gleiche Ziel. Eines der beiden Plugins sollte daher genügen.
3. März 2009 um 20:30
ich verstehe... ich kann ja "deactivates tooltip and error message at login of WordPress" deaktivieren, die anderen Sicherheitsänderungen aber lassen.
Wann kommt dein neues Buch raus - bin schon ganz neugierig...
3. März 2009 um 21:07
@Brad: dauert noch, es reicht einfach nicht nur Nachts zu schreiben und da sich scheinbar alle Welt auf das Thema stürzt, kann ich mir ja vielleicht Zeit lassen. Plan ist eigentlich noch immer Mai im Handel.
3. März 2009 um 21:18
Dann wünsche ich viel Kraft!!! Wollte dich nicht stressen.... - ich dachte, es liegt am Verlag, weil bei Amazon schon seit einer ganzen Weile "März 2009" steht. Marketing..
3. März 2009 um 21:26
Oh nein, es liegt an den beiden Autoren und ihrer Hauptbeschäftigung, die jeweils 10 - 12h am Tag einnimmt und da ist am Abend nicht mehr viel los, neben Blog, Mails etc.
4. März 2009 um 18:48
my web host tells me the following WP 2.71 core files and variables are a security risk, for exploits:
index.php $_SERVER[DOCUMENT_ROOT],page
errors.php $error
what can be done?
31. März 2009 um 01:57
Hallo, also danke für das tolle plugin. Im Admin backend steht jetzt allerding im Footer: Du benutzt eine Entwicklerversion (2.7.1).
Wo kann ich "Entwicklerversion" löschen?
31. März 2009 um 08:47
@René: was aber nicht am Plugin liegt, sondern an deiner Installation. Schau mal in /wp-includes/version.php, was dort drin steht.
10. April 2009 um 23:28
Mir ist gerade dein Addon emfpohlen worden aber über die normale Installation finde ich kein Secure WP. Geht das nur per manuellem Download und nicht wie bei den andern Addons über die Wordpress-Admin Seite?
16. April 2009 um 17:41
Ich hab einen Fehler entdeckt: Wenn ich nämlich einen korrekten Benutzernamen angebe, aber ein falsches Passwort, so bleibt der Benutzername stehen. Damit weiß der Hacker, dass es den Benutzernamen gibt. Bei einem falschen BN + falschem PW werden beide Felder geleert.
18. April 2009 um 11:33
@ed: das ist kein Problem meines Plugins, das ist Standard in WordPress.
22. April 2009 um 16:25
@Matti: das geht, suche mal im Backend nach Secure WordPress.
26. April 2009 um 23:13
Очень полезный и нужный плагин!
The Best plugin for WP!
24. Juni 2009 um 21:10
11. Juli 2009 um 06:40
Thank you for your hard work on Secure WP!
17. Juli 2009 um 08:13
Hey there guys as long as wordpress has been updated to 2.8 version this is not working can you update your plugin now brother i think its time
17. Juli 2009 um 08:36
The plugin works under WP 2.8, with one of new feature.
25. Juli 2009 um 19:40
wp_enqueue_script() reveals the Wordpress version if a script version isn't supplied (it puts in the Wordpress version instead). Any chance this could be blocked?
Either way, thanks for all your hard work and making my life easier!
25. Juli 2009 um 23:32
@Kawa: you have right and will see for a solution, maybe in a next version. Best regards
31. Juli 2009 um 08:04
Hi,
Does the plugin work for the latest versions (3.2.x) ?
31. Juli 2009 um 12:46
yes, works with the latest version of WordPress.
3. August 2009 um 13:58
Super info´s Danke Euch. Weiter so
5. August 2009 um 09:40
Ich würde das Plugin auch gerne benutzen (hab zwar einpaar Einstellungen manuell vogenommen, aber die sind bei nem Upgrade ja wieder weg), aber kann es sein, das der Downloadlink nicht mehr funktioniert oder bin ich nur zu dumm dafür?
5. August 2009 um 10:13
Danke für den Hinweis, habe es gefixt.
5. August 2009 um 11:30
Danke
10. August 2009 um 19:28
Vielen Dank, für die gute Arbeit!
11. August 2009 um 17:00
Es ist echt schön, dass man etwas für die Sicherheit machen kann... Wenn immer wieder solche Lücken auftauchen:
http://www.heise.de/newsticker/Luecke-in-WordPress-ermoeglicht-Aussperren-des-Admins-Update--/meldung/143328Sauber gemacht!!!
21. August 2009 um 01:34
Hallo,
herzlichen Dank, und bitte weiter so !
Gruß
angel
3. September 2009 um 07:55
Thanks for the great plugin. I have a few suggestions.
Instead of generating index.html files, could you have the plugin check for, and install index.php files. By default some directories already contain an index.php file. I now have directories with two index files, html and php. Not a big deal, just not clean.
If you do set the plugin to generate php files, it would be great if you also included a script on the generated index.php that redirected the browser to the site root. That way any attempts to look into directories throws them back to the site root.
My German sucks, but here's a translation.
Vielen Dank für den Steck- Grossen. Ich habe einige Vorschläge.
Anstatt index.html Dateien zu erzeugen, konnte Sie, die Steckkontrolle haben, weil und index.php Dateien installieren. Standardmäßig enthalten einige Verzeichnisse bereits eine index.php Datei. Ich habe jetzt Verzeichnisse mit zwei Index-Dateien, HTML und php. Nicht ein großes Geschäft, gerade nicht sauber.
Wenn Sie wirklich den Steck- veranlassen, php Dateien zu erzeugen, würde es groß sein, wenn Sie auch eine Schrift auf dem erzeugten index.php einschlössen, der den Browser zur Seite-Wurzel umadressierte. Auf diese Weise werfen irgendwelche Versuche, in Verzeichnisse zu blicken, sie zur Seite-Wurzel zurück.
3. September 2009 um 08:33
@Robert: Thanks for your hint, yes, this is possible and i will include this in the next version.
9. September 2009 um 07:42
Super Plugin - vielen Dank!!!
nur 1 Verbesserungsvorschlag -> löschen der readme.html da steht auch noch die version drin
Ansonsten war ich schon ewig nicht mehr auf Deiner Webseite, erstaunlich was sich hier getan hat/was Du alles geleistet hast in Sachen Wordpress! komme jetzt wohl mal öfter vorbei
10. September 2009 um 16:33
Just downloaded the most recent version of your plugin, and noticed the change to php files. Your awesome, keep up the great work. Just gave your plugin 5 stars.
10. September 2009 um 17:21
@Robert: yes, i have inlcude your idea; thanks for your comment and voting
14. September 2009 um 11:55
Hello. I do Ukrainian translation Secure WordPress. You can download on my site
http://wpp.pp.ua/secure-wordpress/27. Oktober 2009 um 15:26
Hi, Frank. Here is Russian localization of your wonderful plugin.
Thank You for your work!
27. Oktober 2009 um 17:03
@Dimitry: great, thanks a lot - i have upload the files and update the readme.
2. November 2009 um 16:01
Here is a right translate of your plugin to Ukrainian lang.
http://wordpress.co.ua/plugins/plugin-secure-wordpress.htmltranslation from site wpp.pp.ua was made by automatic translator, you can see it yourself - too many untranslated English words that have to be translated.
Example, see translate of:
in that .po file and my
any questions are welcome on my email.
2. November 2009 um 16:18
@AzzePis: thanks for your help; i have upload the files and change the link
2. November 2009 um 16:42
you are wellcome.
in your page on
http://wordpress.org/extend/plugins/secure-wordpress/you have made a mistake, you write russion but have to russiAn
2. November 2009 um 16:51
@AzzePis: thanks a lot, also fixed this
2. November 2009 um 16:56
and one more thing
our Ukrainian wordpress locale have a code not uk_UA, rigth code just uk, so for the right work of translation .mo file must have the name secure_wp-uk.mo, and NOT the secure_wp-uk_UA.mo.
sorry, it was my mistake.
3. November 2009 um 08:32
@AzzePis: i had also change this, thanks a lot
7. November 2009 um 16:38
Hi Frank
Just downloaded and installed on my local installation of Wordpress using XAMPP.
Looks fantastic ... I'll take a look at the settings on the local install and then add to my live site.
Donation to follow.
10. November 2009 um 19:54
Hi,
Same problem on two different hosting :
Warning: main(inc/WPlize.php): failed to open stream: No such file or directory in /home/.sites/45/site144/web/wp-content/plugins/secure-wordpress/secure-wordpress.php on line 782
13. November 2009 um 03:01
Funktioniert das Plugin auch für WordPress Multiuser #wpmu? Kann ich es einfach in
wp-content/mu-pluginsinstallieren?13. November 2009 um 10:33
@Cedric: sorry, kann ich nicht sagen - versuche es doch bitte, sollte aber gehen, da ich auf Hooks zugreife, die in beiden Systemen identisch sind.
13. November 2009 um 17:36
@Ben: do you have copy the folder inc on the webspaces?
17. November 2009 um 09:42
Yes, but apparently, it was a chmod problem on the plugins folder. It works now. Thanks.
17. November 2009 um 15:29
Wenn ich das Plugin bei mir aktiviere, funktioniert der visuelle editor nicht mehr. Zuerst sehe ich dann gar keinen text mehr. Ich muss kurz auf html klicken und dann wieder auf visuell. Jetzt sehe ich allerdings auch im visuellen editor html test.
Ich benutze WP 2.8.6
Das Problem tritt auch auf, wenn ich zusätzlich das Plugin "Fold Page List" aktiviere. Fold Page List allein funktioniert.
17. November 2009 um 15:39
@blautaucher: Das Plugin geht nicht auf den Editor ein, eventuell gibt es eine Inkonsistenz der beiden verwendeten Plugin. Funktioniert bei dir Secure WordPress allein?
17. November 2009 um 15:48
alleine funktioniert es! Habe den anderen Plugin Author ebenfalls kontaktiert, hoffe er hat mein Englisch verstanden.
18. November 2009 um 09:46
Sei so gut und gib mir eine Rückmeldung, dann schaue ich auch mal, wird aber frühestens in der kommende Woche werden, da ich unterwegs bin.
19. November 2009 um 15:21
Hehe, das war wohl nichts.
Aber gut so, tolles Plugin, danke sehr!
Wie heißt denn dieses Plugin, das nach Markieren eines Textes einen "Antworten"-Link erscheinen lässt und bei Klick darauf ein entsprechendes Blockquote im Kommentarfeld anlegt?
19. November 2009 um 15:47
Leider wird das Plugin BM Custom Login durch Secure WordPress außer Kraft gesetzt.
Und der WPSCAN gibt mir immer fogende Meldung aus, obwohl ich die entsprechende Option aktiviert und die URL im richtigen Format eingegeben habe: ERROR: [DNS] You must supply a valid URL (i.e
http://www.example.com/wordpress/).20. November 2009 um 09:04
@Nick: da hast du wohl recht
Die Erweiterung ist kein Plugin, ist ein JavaScript, hintergründe dazu findest du in dem zugehörigen Beitrag.
20. November 2009 um 14:55
Oh, klasse, vielen Dank!
Schaust du auch noch mal auf #75?
20. November 2009 um 16:31
Im Dashboard wird im Kasten "dashboard_right_now" auch Nicht-Admins die WordPress-Version angezeigt. Könntest du das noch fixen?
23. November 2009 um 16:12
@Nick: Aktuell zeige ich ja für alle User, die Zugang zum Admin haben, die Version; steht auch im Footer von WP. Mit meinem Plugin Adminimize kann man das ändern. Ansonsten verstehe ich die Anforderung nicht ganz, warum soll die Version weg, reicht nicht der Hinweis, dass es eine neue Version gibt?
24. November 2009 um 15:22
Vielen Dank für deine Antwort!
Ja, mit dem großartigen Adminimize kann man den Footer verstecken. Im Dashboard können aber User ohne Adminrechte, sogar Abonnenten, die WordPress-Version im Dashboard-Widget "Aktuell" sehen. Dort steht zum Beispiel: "Du nutzt WordPress 2.8.6." Bei Blogs, bei denen sich jeder als Abonnent anmelden kann, hebt das die Versionsverschleierung ja quasi vollständig auf.
Wie meinst du das mit dem Hinweis auf eine neue Version?
---
Hast du eine Idee, wie ich 'Secure WordPress' dazu bringen kann mit 'BM Custom Login' zu harmonieren und warum der WPSCAN nicht funktioniert?
25. November 2009 um 17:34
@Nick: ich habe mal eine neue Version erstellt, kannst du mir eine Mail senden, so dass ich dir die neue Version zum Testen zukommen lassen kann? Zu WPSCAN: scheinbar liegt ein Problem dort vor, geht auch in meinen Test aktuell nicht. Das Problem mit dem Plugin BC Custom Login ist leider, dass er einen recht schlechten Code nutzt, den ich wohl außer Kraft setze. Daher geht das Plugin nicht. Alternativ müsste ich Daten zulassen, die ich aber explizit verbieten will. Daher hilft es nur, wenn du eine eigene Lösung in dein Theme integrierst oder als Plugin speicherst. Diverse Tutorials habe ich dazu hier im Blog und die klappen immer wunderbar.
28. November 2009 um 14:55
Lieber Frank, entschuldige bitte meine verspätete Antwort. Herzlichen Dank für deine Antwort. Klar, meine E-Mail-Adresse ist nun hinterlegt. Wegen WPSCAN habe ich mal Kontakt aufgenommen, mal abwarten, was dabei raus kommt. Was BC Custom Login angeht, vielleicht kann ich den Autor bitten seinen Code zu verbessern, das sind ja nur 78 LOC. Dazu müsste ich allerdings wissen, wo genau das Problem liegt. Liebe Grüße
19. Dezember 2009 um 23:57
The menu image causes an SSL error/warning if FORCE_SSL_ADMIN is true.
I added code after the following line (line 396) to fix:
$menutitle = 'get_resource_url('secure_wp.gif') . '" alt="" />' . ' ';Here is the code I added:
// added check for SSL login and to adjust url for logo accordinglyif ( force_ssl_login() || force_ssl_admin() ) {
$menutitle = str_replace( 'http://', 'https://', $menutitle );
}
22. Dezember 2009 um 13:36
@Babul: many thanks for this hint!
31. Dezember 2009 um 13:40
Ein sehr guter Tipp, vielen Dank. Ich werde das Plugin gleich in meine Liste der besten Sicherheit Plugins aufnehmen!
Ein tolles Blog. Weiter so und ein glückliches 2010!
21. Januar 2010 um 16:02
Lieber Frank,
Ich habe das plugin lokal auf meinem Rechner (MAC OSX/XAMP) insatlliert.
Die Änderung des Prefix funktioniert nicht mizt folgender Fehlermeldung.
"Your currently used User to Access the Wordpress Database, holds too many rights. We suggest that you limit his rights or to use another User with more limited rights instead, to increase your Security."
Die wp-config steht auf chmod777 und das eingrenzen der Rechte/Rolle des Users funktioniert nicht, da ich mit eingeschränkten Rechten nicht auf das Plugin zugreifen kann. Irgendetwas habe ich wohl übersehen.
Kannst Du mir helfen?
1. Februar 2010 um 01:41
Besten Dank! Wenn das Plugin keine Probleme verursacht, ist das ein muss für Wordpress!
3. Februar 2010 um 12:04
@Toni: das Plugin greift den Präfix nicht an, kann also nicht folgen.
9. Februar 2010 um 16:29
@frank: ja, das ist richtig. Du kannst meinen Beitrag gerne löschen. Es war ein anderes Plugin das probleme bereitete.
sorry, ich war wohl etwas durch den wind-)
17. Februar 2010 um 11:01
Hello,
Thank you for the nice plug in. I have a quick qeustion.
If I enable "Remove Windows Live Writer link in wp_head of the frontend" option, then will I not be able to post posts using Windows Live Writer? Or it is just security measure and it does not affect using Windows Live Writer to post on the blog?
Thank you for your help.
17. Februar 2010 um 12:25
@Aileen: When you use a external Tool for blogging or pounce to WordPress you do not activate this option, the apps of iPhone, Blackberry and desktop-tool use this interface and is ot a security measure. Deactive this only, when you not use a external tool for WordPress.
10. März 2010 um 15:50
It sometimes becomes necessary to revert to an older version of a plugin so it would be helpful if you included the rev level in the name of the zip file. It avoids confusion when saving them locally.
BTW, great plugin. Thanks for all your work on it.
10. März 2010 um 19:47
HI! I made the spanish translation. how can i send you the files? (.mo .po and .pot)
great plugin!
Greetings!
10. März 2010 um 22:18
@Rick A: An older version of this plugin has the same name, also the zip-file form wordpress.org - i dont understand this.