WordPress-Plugin – ReportedIP (Vollversion)

ReportedIP ist ein von der Community betriebenes WordPress-Sicherheits-Plugin. Es verwandelt jede geschützte Website in einen Sensor: Wenn eine Website angegriffen wird, lernt das Netzwerk daraus, und jede andere Website kann den Angreifer abwehren, noch bevor die erste Anfrage eintrifft. Bedrohungsinformationen in Echtzeit, sechzehn Angriffssensoren einschließlich einer Web Application Firewall, 2-Faktor-Authentifizierung mit vier Methoden, progressive Eskalation der Sperrmaßnahmen und vom Server bereitgestellte, signierte Firewall-Regelsätze. Open Source, veröffentlicht unter GPLv2+ auf GitHub.

Installation

Einrichtungsassistent (10 Schritte)

Der Assistent wird bei der ersten Aktivierung ausgeführt und kann jederzeit über die Plugin-Einstellungen erneut gestartet werden. Jeder Schritt wird bei jedem Seitenwechsel (auch beim Zurück-Klicken) sofort serverseitig gespeichert, sodass Sie den Vorgang unterbrechen und fortsetzen können, ohne dass Einstellungen verloren gehen.

Betriebsmodi

Zwei Modi – wechseln Sie jederzeit zwischen ihnen, ohne lokale Daten zu verlieren.

Was Sie in den einzelnen Stufen erhalten

Das Hive-Plugin ist in der kostenlosen Version voll funktionsfähig – lokaler Schutz, alle sechzehn Sensoren, alle vier 2FA-Methoden. Die kostenpflichtigen Tarife umfassen eine verwaltete Zustellungsinfrastruktur (E-Mail und SMS) sowie höhere Kontingente für das Community-Netzwerk. Auf der Seite „Preise“ finden Sie einen vollständigen Vergleich und Informationen zum Upgrade.

Business mehrfach buchbar. Alle oben genannten Business gelten pro Lizenz. Wenn Sie an der Kasse Business , „x5“, „x10“ oder „x20“ buchen (oder dies später im Stripe-Kundenportal ändern), skalieren die täglichen Überprüfungen/Berichte, das monatliche 2FA-Kontingent für E-Mail/SMS sowie die Anzahl der Domains entsprechend Ihrer Lizenzanzahl – z. B. x5 = 75 Domains und 500.000 Überprüfungen/Tag. Ab der 2-fachen Lizenzanzahl gilt automatisch ein Mengenrabatt. PRO bleibt eine Einzellizenz; die Zahlen für Enterprise sind unbegrenzt (fair use) und werden niemals multipliziert.

Bündel-Bestellung (PRO und Business): Zunächst wird das monatliche Inklusivkontingent (25 SMS / 500 E-Mails bei PRO, 75 / 2.500 bei Business) abgezogen, anschließend das Guthaben des Prepaid-Pakets. Sobald beides aufgebraucht ist, gibt die API den HTTP-Status 429 zurück und Hive weicht auf lokale Ressourcen aus wp_mail() für E-Mails (oder SMS mit festen Obergrenzen) – andere 2FA-Methoden bleiben weiterhin verfügbar. Bundle-Guthaben verfallen nie. Stripe verwendet tax_behavior = inclusive Bei den Bruttopreis-Paketen (gemäß PAngV) wird die Umkehrung der Steuerschuldnerschaft / OSS automatisch von Stripe Tax abgewickelt.

6-lagige Verteidigung

Hive führt seine Prüfungen nacheinander durch – jede Ebene kann die Anfrage abbrechen, bevor sie die nächste erreicht. Angehängt an init mit Priorität 1, damit andere Plugins bei einer gesperrten IP-Adresse nicht ausgeführt werden.

1. Whitelist – vertrauenswürdige IP-Adressen und CIDR-Bereiche werden immer zugelassen (Ihr Büro, Überwachungsdienste usw.).
2. Lokale Sperrliste — IP-Adressen, die Sie manuell gesperrt haben oder die lokale Schwellenwerte überschritten haben. Gespeichert in wp_reportedip_hive_blocked.
3. Web Application Firewall – Der aktive WAF-Regelsatz wird mit der URI, der Abfrage, dem Body und dem User-Agent abgeglichen; ein Treffer wird über den gemeinsam genutzten, referenzcodierten 403-Pfad blockiert. Whitelist- und autorenorientiert, um Fehlalarme zu vermeiden. Ein optionales Pre-WordPress-Plugin kann diese Ebene ausführen, noch bevor WordPress überhaupt geladen wird.
4. Versuchszähler – Zählerstände für Anmeldungen, Kommentare, XMLRPC, REST-Bursts und 404-Scans lösen eine automatische Sperrung aus, sobald der Schwellenwert erreicht ist.
5. Reputation in der Community – Im Community-Netzwerkmodus werden IP-Adressen, deren Konfidenzwert ≥ dem Schwellenwert ist, am Rand blockiert.
6. 2FA-Überprüfung – Bei geschützten Konten muss zur Anmeldung ein zweiter Authentifizierungsfaktor angegeben werden.

Die sechzehn Angriffssensoren

Jeder Sensor kann unter „Einstellungen“ → „Schutz“ separat aktiviert und angepasst werden.

Progressive Blockeskalation

Wiederholungstäter zahlen mehr. Die Standard-Sperrskala lautet: 5 Min. → 15 Min. → 30 Min. → 24 Std. → 48 Std. → 7 Tage. Nach 30 Tagen ohne Vorfälle wird der Zähler auf Stufe 1 zurückgesetzt. Bei erstmaligen Auslösungen durch legitime Besucher (CGNAT, versehentliche Eingabefehler von Admins, Datenverkehr aus Mobilfunknetzen) erfolgt die Aufhebung innerhalb von Minuten; bei hartnäckigen Angreifern wird die 7-Tage-Stufe erreicht.

Die Leiter, das Rücksetzfenster und der Hauptschalter befinden sich unter Einstellungen → Blockieren → Schrittweise Blockierung. Im Schritt „Schutz“ des Assistenten wird der Hauptschalter angezeigt, sodass neue Installationen bereits ab dem ersten Speichervorgang die Eskalationsfunktion nutzen können. Die behobene block_duration Die Einstellung bleibt auch dann bestehen, wenn die Leiste ausgeblendet wird. Eine Granularität im Unterstundenbereich wird bereitgestellt durch ReportedIP_Hive_Database::block_ip_for_minutes().

Web-Anwendungs-Firewall und Regelbereitstellung

Seit Version 2.1.2 enthält Hive eine Web Application Firewall zur Überprüfung von Anfragen. Auf init es stimmt mit dem aktiven überein waf Der Regelsatz gleicht die URI, den Abfrage-String, den Anfragetext und den User-Agent ab und blockiert einen Treffer über den gemeinsam genutzten, cachesicheren und referenzcodierten 403-Pfad. Es ist ReDoS-geschützt (begrenztes PCRE-Backtracking, Fail-Open bei fehlerhaften Regeln), berücksichtigt Whitelists und den Autor des Inhalts, um Fehlalarme zu vermeiden, und verursacht bei Vorhandensein eines persistenten Objekt-Caches etwa 4 µs CPU-Last pro Anfrage ohne zusätzliche Datenbankabfragen.

Die Regeln sind nicht fest im Plugin programmiert. Sie werden von reportedip.de bereitgestellt Rule-API — vom Server bereitgestellt, versioniert, mit Ed25519 signiert und auf vier Regelsätze verteilt (waf, bot_signatures, disposable_domains, scan_paths). Das Plugin überprüft jeden Regelsatz vor der Anwendung anhand eines mitgelieferten öffentlichen Schlüssels und greift stets auf eine mitgelieferte Basisversion zurück, sodass manipulierte, überdimensionierte oder nicht erreichbare Feeds Ihre Regeln niemals beeinträchtigen können. Neue Angriffssignaturen erreichen alle Installationen innerhalb weniger Stunden, ohne dass eine neue Plugin-Version erforderlich ist.

• In jedem Tarif kostenlos enthalten – die WAF-Engine und der OWASP-Top-10-Basissatz der Regeln der Stufe 1, der im „Local Shield“-Modus vollständig offline über den mitgelieferten Basissatz genutzt werden kann.
• Priority Sync (ab Professional) – die umfassenderen, regelmäßig aktualisierten und signierten Regelwerke der Paranoia-Stufen 2 und 3 (Abdeckung von Verschleierungs- und Umgehungstechniken) sowie die Feeds mit aktuellen Bot-IP-Bereichen und Wegwerf-Domains. Bei der kostenlosen Version erfolgt die Synchronisierung der mitgelieferten Basisdaten; bei Contributor wöchentlich; bei Professional und höher täglich.
• Erweiterter Schutz – Drop-in (optional) — vor WordPress auto_prepend_file Ein Schutzmechanismus, der die WAF ausführt, bevor WordPress geladen wird. Apache (.htaccess) und PHP-FPM (.user.ini) werden automatisch konfiguriert; Nginx und verwaltete Hosts erhalten eine php.ini-Datei bzw. ein Hosting-Panel auto_prepend_file Zeile oder ein Nginx-Snippet. Standardmäßig deaktiviert; beim Entfernen wird die Anweisung immer entfernt, bevor der Guard gelöscht wird, sodass ein veralteter Prepend die Website niemals zum Absturz bringen kann.
• Referenzcodes — Jeder Block (WAF oder Sensor) trägt einen zuordenbaren Code wie beispielsweise WAF_SQLI-3F9A2B71, das auf der Blockseite angezeigt und als X-RIP-Ref Kopfzeile. Ein fälschlicherweise gesperrter Besucher gibt eine kurze Zeichenfolge an, die ein Administrator in den Protokollen findet; das Token ist ein Einweg-Hash aus IP-Adresse, Grund und Uhrzeit, sodass keine personenbezogenen Daten preisgegeben werden.

Konfiguration und Live-Status sind im speziellen Firewall-Menü zu finden: ein Mini-Dashboard „Übersicht“ (Status pro Modul, 7-Tage-Zähler, aktuelle Firewall-Ereignisse), eine Registerkarte „WAF“ (Engine / Modus / Paranoia-Level-Auswahl), eine Registerkarte „Bot-Verifizierung“, eine Registerkarte „Spam-Abwehr“ (Wegwerf-E-Mail + Honeypot), eine Statusansicht für die Regelsynchronisierung und eine Registerkarte „Server-Einrichtung“, die alle Webserver-Einstellungen an einem Ort zusammenfasst.

Erkennung verifizierter Bots, Blockierung von Wegwerf-E-Mail-Adressen und Kommentar-Honeypot

• Geprüfte Bot-Erkennung (kostenlos). Stellt sicher, dass eine Anfrage, die vorgibt, von Googlebot, Bingbot oder einem anderen Crawler zu stammen, tatsächlich von diesen stammt – zunächst durch einen DNS-freien Abgleich mit den offiziellen IP-Bereichen des Crawlers (Priority Sync), anschließend durch einen durch Forward-DNS bestätigten Reverse-DNS-Fallback, der sowohl A- als auch AAAA-Einträge auflöst. Spoofer werden markiert (Standard) oder blockiert; ein echter Crawler wird niemals blockiert. facebookexternalhit wird anhand der von Meta veröffentlichten IP-Bereiche überprüft.
• Blockierung von Wegwerf-E-Mail-Adressen (kostenlos). Überprüft die bei der Registrierung (WordPress und WooCommerce) angegebene Adresse anhand der Liste der Wegwerf-E-Mail-Adressen. Drei Modi – Aus / Überwachen / Blockieren. Datenschutz-Relays (Apple „Hide My Email“, Firefox Relay, …) bilden eine eigene Kategorie, die standardmäßig durchgelassen wird. Die Live-Liste wird über „Priority Sync“ aktualisiert.
• Kommentar-Honeypot (kostenlos). Ein unsichtbares, von Screenreadern ignoriertes Scheinfeld im Kommentarformular; Spam-Bots, die jedes Feld ausfüllen, werden abgewehrt, ohne dass echte Besucher durch CAPTCHA-Hürden behindert werden.

Sicherheits-Header

Härtung der Antwort-Header bei jeder Frontend-Anfrage. Header, die bereits von Ihrem Server oder einem anderen Plugin gesendet wurden, werden erkannt und unverändert belassen.

• Basis-Trio (kostenlos) — X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
• Fortgeschritten (Professionell) — HSTS, Permissions-Policy, eine Content-Security-Policy (standardmäßig nur zur Berichterstellung, mit einem Builder) und das Trio der domänenübergreifenden Isolierung (COOP / CORP / COEP).

Über die Registerkarte „Server-Einstellungen“ können die konfigurierten Header zusätzlich als Nginx-Konfiguration auf Serverebene exportiert werden add_header / Apache Header Richtlinien.

Sicherheits- und Härtungsbewertung

Zwei Anzeigen im Dashboard (0–100 sowie eine Bewertung von A+ bis F im Stil des Mozilla Observatory) bewerten Ihre Erfassungsreichweite und Ihre Sicherheitshärte, mit Deep Links zu den einzelnen Elementen, über die Sie einen Sensor aktivieren können. Gesperrte (kostenpflichtige) Funktionen fließen in das sichtbare Potenzial ein, nicht jedoch in Ihre Punktzahl – daher kann auch die kostenlose Version eine Bestnote erreichen.

Audit-Ereignisprotokoll (Business)

Ein ausschließlich nachträglich ergänzbarer Verlauf des Benutzerlebenszyklus – Anmeldungen, fehlgeschlagene Anmeldungen, Passwortzurücksetzungen, Profilaktualisierungen, Rollenänderungen (einschließlich des stellvertretenden Benutzers), Registrierungen und Erkennung neuer IP-Adressen – mit Filtern, CSV-/JSON-Export, WordPress-Integration für DSGVO-Export/Löschung sowie Bereinigung der Aufbewahrungsfristen (1 Jahr bei Business, konfigurierbar bei Enterprise). Gespeichert in der dedizierten audit_log Tabelle (Schema v9). Die standardmäßigen 30-Tage-Sicherheitsprotokolle sind in jedem Tarif verfügbar; der Prüfpfad ist die darüber hinausgehende Aufzeichnung auf Compliance-Niveau.

MainWP-Integration

Hive lässt sich über ein MainWP-Dashboard fernverwalten, ohne dass ein zusätzliches Child-Plugin erforderlich ist. Es bindet sich in das MainWP Child ein mainwp_child_extra_execution Der Filter (authentifiziert über den MainWP-Child-Kanal) erfüllt zwei Aufgaben: die Synchronisierung von Sicherheitskennzahlen (ausschließlich aggregierte Werte – aktive Sperren, Größe der Whitelist, fehlgeschlagene Anmeldungen, Kommentar-Spam, Reputationssperren, Größe der Warteschlange, aktuelle kritische Ereignisse, Nutzer mit aktivierter 2FA) und die Bereitstellung von API-Schlüsseln über das vertrauenswürdige Dashboard. Es verlassen keine IP-Adressen, Benutzernamen, Geheimdaten oder API-Schlüssel die Website.

Zwei-Faktor-Authentifizierung (2FA)

Es werden vier Methoden unterstützt, die pro Benutzer kombiniert werden können. Bei der Ersteinrichtung werden Wiederherstellungscodes generiert. Geheimnisse werden im Ruhezustand verschlüsselt (libsodium mit OpenSSL-Fallback).

• TOTP – RFC 6238 (6 Ziffern, 30-Sekunden-Fenster). Kompatibel mit Google Authenticator, Authy, 1Password, Bitwarden, …
• E-Mail – sechsstelliger Einmalcode über den konfigurierten E-Mail-Anbieter; mit Ratenbegrenzung (3 Codes alle 15 Minuten, 5 Verifizierungsversuche pro Code, 60 Sekunden Wartezeit vor erneutem Versand).
• SMS – sechsstelliges Einmalpasswort über den verwalteten reportedIP (ab dem Professional-Tarif; siehe unten). Die Telefonnummer wird im Ruhezustand verschlüsselt.
• WebAuthn – Passkeys, Sicherheitsschlüssel (YubiKey), plattformbasierte Authentifizierer (Touch ID, Face ID, Windows Hello). Interner CBOR-Parser, keine externen Abhängigkeiten.
• Vertrauenswürdige Geräte — Opt-in-Tokens zum Speichern dieses Geräts mit konfigurierbarer Gültigkeitsdauer (Standard: 30 Tage). Gespeichert in wp_reportedip_hive_trusted_devices als SHA-256-Hashes.
• Wiederherstellungscodes — 10 Einwegartikel xxxx-xxxx Codes; Warnung bei „Low-Code“ ab ≤ 3 verbleibenden Codes.

2FA-Brute-Force-Schutz

Die 2FA-Verifizierungsleiter ist 3 → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Wenn der Zählerstand die oberste Stufe erreicht, wird die IP in die zentrale auto_block_ip() Pfad (Ereignis 2fa_brute_force), was wie bei jedem anderen Sensor eine schrittweise Eskalation und eine Meldung im Community-Modus auslöst.

Headless 2FA REST

Für App-Integrationen stellt das Plugin drei Routen unter dem Namespace bereit reportedip-hive/v1:

• POST /2fa/challenge — Benutzername + Passwort → Challenge-Token + aktivierte Methoden (20 Anfragen / 5 Minuten pro IP-Adresse).
• POST /2fa/verify — Token + Methode + Code → setzt das Authentifizierungs-Cookie (30 Anfragen pro 5 Minuten pro IP-Adresse).
• GET /2fa/methods — Aktive Methoden für den aktuellen Benutzer auflisten.

WooCommerce-Anmeldung im Frontend

Die 2FA-Funktion von Hive bleibt in Ihrem aktiven Shop-Theme integriert – Kunden, die sich über [woocommerce_my_account]… die klassische Kasse oder die WooCommerce-Blöcke „Warenkorb“ und „Kasse“ führen ihren zweiten Schritt auf einer themenbezogenen Seite aus. Der Status von Warenkorb und Kasse bleibt während der Weiterleitung erhalten, und das Cookie für vertrauenswürdige Geräte wird mit dem wp-login-Ablauf geteilt.

• Konfigurationspfad — 2FA → Frontend-Anmeldung für WooCommerce.
• Konfigurierbare Slugs — challenge slug (Standard reportedip-hive-2fa) und Setup-Slug (Standard reportedip-hive-2fa-setup); sowohl bearbeitbare als auch auf Konflikte geprüfte Regeln sowie Umschreibungsregeln werden bei Änderungen automatisch aktualisiert.
• Herabstufung des Tarifs – vorübergehende Deaktivierung bei den Tarifen „Free“ und „Contributor“; Einstellungen, Slug-Auswahl und Onboarding-Status bleiben erhalten, es kommt zu keinem Datenverlust beim erneuten Upgrade.
• Konflikterkennung – Hive zeigt eine Administratormeldung an, wenn Solid Security, das WP Two-Factor-Plugin oder Wordfence 2FA die Kontrolle über das Anmeldeformular hat, und deaktiviert die Frontend-Abfrage, um doppelte Aufforderungen zu vermeiden.
• Verfügbarkeit des Tarifs — Ab der Professional-Version. Die kostenlosen WooCommerce-Sensoren für fehlgeschlagene Anmeldeversuche (woocommerce_login_failed, woocommerce_checkout_login_form_failed_login) bleiben in jedem Plan enthalten und tragen weiterhin zum Brute-Force-Zähler bei.

Zustellung von E-Mails und SMS

Die Mail-Schicht läuft über einen austauschbaren Provider-Vertrag (ReportedIP_Hive_Mailer). Der Standardanbieter ist WordPress wp_mail(); Integratoren können ihre eigenen Daten einfügen, ohne den Rest des Plugins zu verändern. SMS-2FA ist eine Professional-Funktion, die ausschließlich über den verwalteten relay reportedip.de bereitgestellt wird – ein eigenes SMS-Konto oder ein Mobilfunkvertrag sind nicht erforderlich. Sie wird bei Abschluss eines kostenpflichtigen Tarifs automatisch konfiguriert; aktivieren Sie sie unter Einstellungen → 2FA → SMS.

Konfigurationsübersicht

Alle Einstellungen befinden sich unter ReportedIP “ → „Einstellungen“. Die wichtigsten Standardeinstellungen:

Datenbanktabellen

Acht Tabellen, die bei der Aktivierung erstellt und mit einem Präfix versehen werden wp_reportedip_hive_. Schema-Version 9, mit idempotenter schrittweiser Migration bei jedem Plugin-Update; optionales Löschen bei Deinstallation. Bei Multisite befinden sich alle Tabellen unter $wpdb->base_prefix Daher gelten die Entscheidungen bezüglich der Bedrohungsstufe netzwerkweit.

• logs — Sicherheitsereignisse, JSON-Details, Schweregrad, Markierung „gemeldet“.
• whitelist — vertrauenswürdige IP-Adressen und CIDR-Bereiche; Ablaufdatum optional.
• blocked — aktive Sperren (manuell / automatisch / aufgrund der Reputation), mit blocked_until.
• attempts — IP-spezifische Zähler pro Versuchstyp, mit Zeitstempeln für den ersten und letzten Versuch.
• api_queue — ausstehende und fehlgeschlagene Meldungen an die Community-API; Wiederholungslogik.
• stats — Tageswerte für die Diagramme im Dashboard (7- und 30-Tage-Trends).
• trusted_devices — 2FA-Gerätetoken (SHA-256-Hashes), IP-Adresse und Gerätename, Ablaufdatum.
• audit_log — Nur-Anhängen-Prüfprotokoll für den Benutzerlebenszyklus (Business); hinzugefügt in Schema v9.

Frontend-Shortcodes & automatische Fußzeile

Fügen Sie an einer beliebigen Stelle auf der Website ein kleines „Protected by Hive“-Logo ein. Alle Shortcodes geben ein einzelnes <rip-hive-banner> Webkomponente, die aktuelle Zahlen aus einem 6-Stunden-Zwischenspeicher abruft (kein API-Aufruf pro Seitenaufruf).

• [reportedip_badge] — kleines Abzeichen (Standard) schützen Ton).
• [reportedip_stat] — einzelne Statistik (Standard Vertrauen Ton).
• [reportedip_banner] — breites Banner (Standard Gemeinschaft Ton).
• [reportedip_shield] — Schild-Symbol (Standard Mitwirkender Ton).

Gemeinsame Merkmale: stat (z. B. attacks_30d, reports_total), tone (protect / trust / community / contributor), color, background, label, intro. Die automatische Fußzeile im Assistenten verwendet dieselbe Komponente, deren Variante und Ausrichtung konfigurierbar sind.

WP-CLI-Referenz

Die 2FA-Tools sind vollständig skriptfähig. Verfügbar unter wp reportedip 2fa …:

wp reportedip 2fa status [--user=<id>]
wp reportedip 2fa enable <user_id> --method=<totp|email|sms|webauthn> [--secret=<base32>]
wp reportedip 2fa disable <user_id> [--method=<m>]
wp reportedip 2fa reset <user_id>
wp reportedip 2fa enforce --role=<role> [--remove]
wp reportedip 2fa audit [--user=<id>] [--since=<date>]
wp reportedip 2fa cleanup

Kompatibilität mit Cache-Plugins

Seit Version 1.5.2 definiert die „Blocked-Page“-Antwort DONOTCACHEPAGE, DONOTCACHEDB und DONOTCACHEOBJECT (wird von WP Rocket, W3 Total Cache, WP Super Cache und LiteSpeed Cache unterstützt) und gibt explizit Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache sowie der WordPress-Kern nocache_headers() festgelegt. Ein einzelner blockierter Angreifer kann den Seiten-Cache nicht mehr mit einem 403-Fehler belasten, den legitime Besucher andernfalls bis zum Ablauf des Caches erhalten würden.

Filter und Aktions-Hooks

• apply_filters('reportedip_hive_external_url', $url, $context) — Ersetzen Sie alle externen URLs (Datenschutzerklärung, Registrierung, FAQ, …).
• apply_filters('reportedip_hive_rest_bypass_routes', $routes) — die Liste der REST-Routenpräfixe erweitern, die den Burst-Monitor umgehen (Cookie-Banner-Integrationen).
• apply_filters('reportedip_hive_scan_paths', $paths) — die Liste der Honeypot-Pfade für den Scan-Detektor erweitern.
• do_action('reportedip_hive_ip_blocked', $ip, $reason) — wird ausgelöst, wenn eine IP-Adresse gesperrt wird.
• do_action('reportedip_hive_report_queued', $ip, $category) — wird ausgelöst, wenn ein Bericht für die API in die Warteschlange gestellt wird.

Häufig gestellte Fragen

Die Fragen, die uns am häufigsten gestellt werden. Jede Antwort enthält gegebenenfalls einen Link zum entsprechenden Abschnitt weiter oben.

Allgemeines

Installation und Einrichtung

Modi & Sensoren

2FA

Leistung und Kompatibilität

Datenschutz & DSGVO

Anpassung & Erweiterung

add_filter('reportedip_hive_rest_bypass_routes', function ($routes) {
    $routes[] = '/my-consent-plugin/v1';
    return $routes;
});

add_filter('reportedip_hive_scan_paths', function ($paths) {
    $paths[] = '/.aws/credentials';
    return $paths;
});

Kontingente, Tarife & Konto

Fehlerbehebung

Das Plugin blockiert keine IP-Adressen

Überprüfen Sie, ob der „Nur-Bericht“-Modus aktiviert ist – in diesem Modus werden Bedrohungen protokolliert, ohne sie zu blockieren. Vergewissern Sie sich außerdem, dass der Schwellenwert für die Blockierung nicht zu hoch eingestellt ist (Standardwert: 75 %) und dass die automatische Blockierung aktiviert ist (die Dauerstrategie ist deaktiviert, solange die automatische Blockierung ausgeschaltet ist).

API-Verbindungsfehler im Community-Netzwerk-Modus

Stellen Sie sicher, dass Ihr Server ausgehende HTTPS-Anfragen an reportedip.de. Einige Hosts blockieren ausgehende Verbindungen standardmäßig. Überprüfen Sie den API-Schlüssel auf der Dashboard.

Besucher, die das Cookie-Banner ignorieren, werden gesperrt

Seit Version 1.5.0 sind die vier Namespaces von Common Consent (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) werden standardmäßig umgangen. Wenn Ihr Stack einen anderen Namensraum verwendet, erweitern Sie die Umgehungsliste über die reportedip_hive_rest_bypass_routes Filter.

Legitime Nutzer werden gesperrt

Fügen Sie deren IP-Adressen oder CIDR-Bereiche zur lokalen Whitelist hinzu. IP-Adressen auf der Whitelist werden niemals blockiert, unabhängig von ihrer Reputation.

Hohe API-Auslastung / Keine Überprüfungen mehr verfügbar

Antworten werden standardmäßig 24 Stunden lang lokal zwischengespeichert (mit ETag). Wenn Ihnen die Überprüfungen weiterhin ausgehen, erhöhen Sie cache_duration oder Ihren Tarif upgraden. Überwachen Sie die Warteschlange und das Kontingent auf der Dashboard.

Durch 2FA ausgesperrt

Verwenden Sie einen der bei der Einrichtung der 2FA gespeicherten Wiederherstellungscodes. Sollten diese verloren gegangen sein, kann ein Administrator die 2FA für jeden Benutzer unter Benutzer → Zwei-Faktor-Authentifizierung. Als letztes Mittel: wp reportedip 2fa reset <user_id>.

Der Block-Editor (Gutenberg) wird immer wieder gedrosselt

Der Block-Editor löst innerhalb weniger Sekunden über 50 REST-Aufrufe aus. Seit Version 1.2.2 werden angemeldete Benutzer vom globalen REST-Burst-Monitor nicht mehr erfasst; es werden nur noch anonyme Bursts gezählt. Stelle sicher, dass du Version 1.2.2 oder eine neuere Version verwendest.

DSGVO & Datenschutz

Das Plugin wurde unter Berücksichtigung des Datenschutzes entwickelt und entspricht vollständig der DSGVO.

• „Local Shield“-Modus: Es verlassen keine Daten Ihren Server. Die gesamte Erkennung und Blockierung erfolgt lokal.
• Community-Netzwerkmodus: Es werden lediglich die IP-Adresse des Angreifers, die Bedrohungskategorie und der Zeitstempel weitergegeben. Keine Benutzernamen, keine Passwörter, keine Kommentarinhalte, keine Endnutzerdaten.
• User-Agents werden vor der Speicherung auf 50 Zeichen gekürzt.
• Automatische Bereinigung: Sicherheitsprotokolle werden nach Ablauf der konfigurierten Aufbewahrungsfrist (standardmäßig 30 Tage) gelöscht. Die automatische Anonymisierung greift bereits früher (standardmäßig nach 7 Tagen).
• Verschlüsselung im Ruhezustand: TOTP-Schlüssel, WebAuthn-Anmeldedaten und SMS-Telefonnummern werden mit libsodium (OpenSSL-Fallback) verschlüsselt.
• Kein Tracking: Keine Cookies, keine Tracking-Pixel, keine Telemetrie.
• Open Source: Der vollständige Quellcode ist auf GitHub veröffentlicht – jede Zeile ist überprüfbar.

Die wichtigsten Neuerungen

• 2.1.x — Die Firewall-Version: ein serverbasiertes, mit Ed25519 signiertes Rule Delivery Framework, das eine anfragenprüfende Web Application Firewall speist (kostenlose Engine + Paranoia-Level-1-Baseline, PRO Level 2/3 über Priority Sync), verifizierte Bot-Erkennung, Blockierung von Wegwerf-E-Mail-Adressen, ein Kommentar-Honeypot, Security-Response-Header (grundlegend kostenlos, erweitert PRO), eine Dashboard-Bewertung für Schutz und Absicherung sowie Referenzcodes für Blockierungsseiten (X-RIP-Ref), den Protokollverlauf für Business (Schema v9), die MainWP-Integration und einen Firewall-Adminbereich.
• 2.0.x — Netzwerkweite Aktivierung an mehreren Standorten (Network: true), Verwaltung der Sicherheitsstufen pro Blog, Banner für Stufen-Upgrades, verbesserte Überwachung von App-Passwörtern und geografischen Anomalien, 2FA im WooCommerce-Frontend ab PRO+, Hardening-Modus für koordinierte Angriffe, Erkennung und Meldung von Scheinkomponenten.
• 1.5.2 — Kompatibilität des Cache-Plugins auf der 403-Seite; die 2FA-Drosselung wird zu einer echten Eskalationssperre; init Priorität 1.
• 1.5.1 – Übersichtlichkeit der Blockierungsregisterkarten (Nur-Bericht > Automatische Blockierung > Dauer-Strategie); Editoren für feste Länge und Leiter-Editoren tauschen ihre Positionen.
• 1.5.0 – Schrittweise Eskalation der Sperrdauer (von 5 Minuten auf 7 Tage); Cookie-Banner-Endpunkte werden standardmäßig umgangen; die Standardwerte für 404-Fehler und Kommentar-Spam wurden gelockert.
• 1.2.4 – Die Schaltfläche „Erneut versuchen“ in der API-Warteschlange löst nun tatsächlich den API-Aufruf aus.
• 1.2.0 – Sieben neue Sensoren: App-Passwort-Überwachung, REST-Burst-Überwachung, Blockierung von Benutzer-Enumeration, 404/Scan-Detektor, Geo-Anomalie, Passwortstärke, Ausblenden der Login-URL.
• 1.1.0 – Zentraler E-Mail-Versand mit Markenvorlage.
• 1.0.0 – Erste öffentliche Version: IP-Sperrung, 2-Faktor-Authentifizierung mit vier Methoden, Einrichtungsassistent, Listentabellen.

Vollständiger Verlauf: CHANGELOG.md auf GitHub.

Suchen Sie die kleinere Ausgabe?