Meist sind es die Plugins von Drittanbietern, die Sicherheitsprobleme bei Wordpress verursachen. Das System Wordpress selber wirkt recht stabil und sicher (auch wegen der regelmäßigen Updates).
In letzter Zeit gab es besonders zwei Plugins, die Sichreheitsprobleme betrafen: WooCommerce, das mit Abstand beliebteste und sehr weit verbreitete Shoptool von Wordpress sowie ein Plugin, um die DSGVO auf seiner Webseite umzusetzen: WP GDPR Compliance.
Beide Plugins sollten schnell aktualisiert werden, Einzelheiten zu den Hacks und Versionen findet man bei heise.de (WooCommerce und DSGVO-Plugin)
Nach der Aktualisierung von WooCommerce kann es im Dashboard von Wordpress eine Meldung geben, dass man „Veraltete Templates aktualisieren“ sollte. Das passiert dann, wenn man ein eigenes Theme angelegt (bzw. ein Childtheme) und auch das WC-Theme angepasst hat. In seinem Themeordner findet man dann einen Ordner woocommerce mit den entsprechenden geänderten Dateien. Welche Dateien genau betroffen sind, sieht man, wenn man im Dashboard unter WooCommerce auf Status klickt; dort werden ganz unten die veralteten Dateien mit Pfad angezeigt. Diese könnte man theoretisch einfach per ftp mit den neueren WC-Dateien überschreiben, die man normalerweise im Ordner wp-content/plugins/woocommerce findet. Allerdings gehen dann alle Änderungen verloren. Also muss man diese Änderungen vorher in die neueren Dateien übertragen. Dazu lädt man sich am besten alle zu ändernden Dateien im Original (also aus dem Ordner des Plugins WooCommerce (wp-content/plugins/woocommerce) auf seinen Computer herunter und bearbeitet sie in einem HTML-Editor. Günstig ist, wenn man im Editor die Ansicht teilen kann, sodass man links die neuere und rechts die veraltete Datei mit den gemachten Änderungen hat (Brackets kann das z. B.). Diese Änderungen überträgt man Zeile für Zeile in die neuere Datei (kann etwas mühsam sein und vorteilhaft sind sicher rudimentäre php-Kenntnisse, damit man nichts kaputt macht).
Dann lädt man die geänderten neueren Dateien in den woocommerce-Ordner in seinem Theme (wp-content/themes/yourtheme/woocommerce) und überschreibt die dort vorhandenen Dateien. Vorher bitte die vorhandenen Dateien sichern (sowohl im Theme- als auch im Plugin-Ordner). Die Fehlermeldung im Dashboard sollte verschwunden sein und hoffentlich alles wie gewohnt funktionieren.
In letzter Zeit gibt es viele Spam-Kommentare, deswegen habe ich die Kommentarfunktion erst einmal abgeschaltet.
Einen Kommentar schreiben
Kommentar von Thomas |
Hallo, guter Tipp, genau das habe ich gerade gesucht. Beste Grüße, Thomas
Kommentar von Kristina |
Sehr genialer Tipp. Das brauchte ich! Vielen lieben Dank!
Kommentar von Alex |
DANKE! Ich hab auch eben danach gesucht und es klappt bestens.
Kommentar von Emanuel P. |
Bin gespannt, Backend ist leicht aber Frontend sind viele am Grübeln wegen des 401 Fehlers und es existiert leider keine gute Anleitung wi man 2FA fürs Frontend richtig konfiguriert (speziell Template Anpassung und security.yml)
Antwort von Anika Strobach
Danke für den Kommentar. Ich hoffe, ich habe bald die Zeit dazu!
Kommentar von Gerhard Hirt |
Guten Tag
Was kann ich tun, wenn z.B. bei der 7. Pos. die Meldung Zeitüberschreitung kommt?
Was ist der vermutliche Grund für diese Zeitüberschreitung.
Danke für eine kurze Antwort
Gerhard
Antwort von Anika Strobach
Vielen Dank für den Kommentar.
Die Zeitüberschreitung liegt normalerweise daran, dass die Internetverbindung zu langsam oder gestört ist, entweder bei Ihnen selber oder bei dem Server, auf dem Ihre Webseite liegt. Oft klappt es zu einem anderen Zeitpunkt.
Mehr kann ich leider aus der Ferne und mit den wenigen Infos nicht sagen.
Kommentar von Karsten |
Hallo,
ich habe das plugin installiert und aktiviert.
In einem Beitrag per code -> php-> pass = XXXX eingetragen
Es erfolgt keine Abfrage!
Codeschnipsel als weißes Feld!
Was mache ich falsch?
Der Beitrag ist einfach nur ein Link, den man nach Eingabe des richtigen Passwortes sehen soll.
Kommentar von Marion |
Hallo Anika,
danke für die hilfreiche Anleitung!
Weißt Du, ob man die 2FA problemlos wieder rückgängig machen kann?
Viele Grüße
Marion
Kommentar von Matthias Hechler |
Muss die DENIC denn nicht auch den Provider herausgeben?
Kommentar von Gottfried |
Hallo, 2FA ist ne super Sache, aber nun ist das Handy weg und ich habe noch eine Sicherung der Backup Codes. Muss ich den Codeblock nun ganz in des Feld eingeben?
Kommentar von Comichaot |
Hatte die letzten Tage vermehret Brutforce angriffe aber dank Limit Login Attempts Reloaded ist alles gut!
Kommentar von Michael Conrad |
Danke für den super Tipp! Das war genau das Steinchen, was mir auf den Weg zur Suche nach dem Webserver gefehlt hat.
Sie müssen sich anmelden, um Kommentare hinzuzufügen.