WP Cerber Security 8.8.3
English version: WP Cerber Security 8.8.3
Neue Sicherheitsfunktionen für die Anmeldung
Deaktivieren der standardmäßigen WordPress-Benutzerauthentifizierung über wp-login.php und Verwenden als Honeypot
Wenn aktiviert, verhindert WP Cerber jegliche Benutzerauthentifizierung, selbst mit korrekten Benutzernamen und Passwörtern. Nach einem Anmeldeversuch zeigt WP Cerber die standardmäßige Fehlermeldung „falsches Passwort“ an und imitiert damit den Standardauthentifizierungsprozess. WP Cerber nutzt nun wp-login.php als Erkennungs-Honeypot für langsame Brute-Force-Angriffe. In den Plugin-Protokollen werden solche Ereignisse als „Anmeldeversuch abgelehnt. Verbotene URL“ protokolliert. Diese Funktion ersetzt und erweitert die alte Funktion „Direkten Zugriff auf wp-login.php blockieren und HTTP 404-Fehler melden“. Mehr erfahren .

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label.
Deaktivieren von WordPress-Anmeldehinweisen in der Anmeldefehlermeldung
Wenn diese Option aktiviert ist, werden bei Anmeldeversuchen mit nicht vorhandenen Benutzernamen und E-Mail-Adressen keine ungültigen Anmeldefehler angezeigt. Dies verhindert, dass böswillige Akteure gültige Benutzernamen erraten.
Deaktivieren von WordPress-Hinweisen in der Fehlermeldung zum Zurücksetzen des Passworts
Wenn diese Option aktiviert ist, werden ungültige Benutzernamen und E-Mail-Adressen beim Zurücksetzen von Passwörtern für nicht vorhandene Konten nicht mehr in der Fehlermeldung angezeigt. Dies verhindert, dass Angreifer gültige Benutzernamen erraten. Erfordert WordPress 5.5 oder neuer.
Verhindern Sie, dass Hacker Benutzernamen herausfinden
Neue Funktionen verhindern, dass böswillige Akteure Benutzernamen ermitteln können. Dazu nutzen sie das oEmbed-Protokoll und die in WordPress 5.5 eingeführten XML-Sitemaps der Benutzer. Die neuen Einstellungen finden Sie auf der Registerkarte „Hardening“.
Mehrere Verbesserungen an den WP Cerber-Admin-Seiten
- Aktualisierung der Haupt-Dashboard-Seite von WP Cerber. Benutzer- und Schadaktivität werden in zwei verschiedenen Bereichen separat angezeigt.
- Bequemere Navigation durch die WP Cerber-Administrationsseiten durch das Admin-Menü oben. Wenn Sie eine WP Cerber-Administrationsseite öffnen, wird das WP Cerber-Administrationsmenü oben im WordPress-Administrationsmenü angezeigt. Wenn Sie die Seite verlassen, wird das Menü an der Standardposition angezeigt. Die neue Einstellung befindet sich auf der Admin-Seite „Haupteinstellungen“.
- Ein neuer Schnelllink „Anmeldeprobleme“ auf dem Dashboard, um alle Anmeldeprobleme anzuzeigen, z. B. fehlgeschlagene Anmeldungen, abgelehnte Versuche, Versuche zum Zurücksetzen von Passwörtern usw.
Verschiedene Verbesserungen und Optimierungen
- Die Anzahl der Fehlalarme bei der Überprüfung von Anweisungen mit externen IP-Adressen in .htaccess-Dateien durch den Malware-Scanner wurde reduziert.
- Die Größe der vom Integritätsprüfer und Malware-Scanner verwendeten Datenbanktabellen wurde reduziert.
- Bessere E-Mails zur Zwei-Faktor-Authentifizierung (2FA) : Der Wortlaut der Bestätigungs-E-Mail wurde aktualisiert und kann nun übersetzt werden. Der Betreff der E-Mail enthält den Site-Namen.
- Es wurde eine streng sichere Methode zur Nutzung der PHP-Funktion unserialize() implementiert, die bekanntermaßen zum Übermitteln und Ausführen von Schadcode verwendet wird. Sie ist ab PHP 7.0 aktiv.
- Es wurde eine Backup-Methode zum Ausführen von WP Cerber-Wartungsaufgaben implementiert, wenn geplante WordPress-Aufgaben nicht richtig konfiguriert sind oder nicht gestartet werden konnten.
- Mehrere WP Cerber PHP-Dateien wurden umbenannt. Im Plugin-Ordner werden mehrere verwaiste Dateien angezeigt. Diese müssen während des Plugin-Integritätsscans auf der Scannerseite sicher gelöscht werden. Der Scanner zeigt sie als „Unbeaufsichtigte verdächtige Datei“ an.
Fehlerbehebungen
- Behobener Fehler: PINs für die Zwei-Faktor-Authentifizierung (2FA) werden auf den Benutzerverwaltungsseiten im WordPress-Dashboard nicht angezeigt.
- Behobener Fehler: Das Ereignis „Autorisierung der API-Anforderung fehlgeschlagen“ wurde als „Anmeldung fehlgeschlagen“ protokolliert.