WordPress-Plugin – ReportedIP Light
ReportedIP Light schützt WordPress-Anmeldungen vor Brute-Force- und Password-Spray-Angriffen. Es ist bewusst auf das Wesentliche konzentriert: einen Versuchs-Zähler pro IP-Adresse, eine progressive Sperrskala und eine optionale Community-Abfrage. Kein überflüssiger Ballast, keine Dashboards, kein Upselling. Das Plugin funktioniert im Local-Shield-Modus sofort – es ist keine Konfiguration erforderlich.
Installation
Von WordPress.org installieren
Gehen Sie in Ihrem WordPress-Adminbereich zu „Plugins“ → „Neu hinzufügen“, suchen Sie nach ReportedIP Light“ und klicken Sie dann auf „Jetzt installieren “ und anschließend auf „Aktivieren“. Alternativ können Sie die ZIP-Datei von wordpress.reportedip herunterladen und über „Plugins“ → „Neu hinzufügen“ → „Plugin hochladen“ hochladen.
Starten Sie den Setup-Assistenten
Der vierstufige Assistent wird bei der ersten Aktivierung automatisch gestartet. Sie können ihn aber auch komplett überspringen – Hive Light ist im Local-Shield-Modus sofort einsatzbereit.
Bleiben Sie auf dem Laufenden
Updates werden über den Standardkanal von WordPress.org bereitgestellt. Neue Versionen erscheinen innerhalb weniger Stunden nach ihrer Veröffentlichung unter „Dashboard“ → „Updates“ – keine manuelle Neuinstallation, kein Update-Checker von Drittanbietern.
Einrichtungsassistent (4 Schritte)
Der Assistent wird bei der ersten Aktivierung ausgeführt und kann über die Plugin-Einstellungen erneut gestartet werden. Jeder Schritt wird sofort gespeichert, sodass Sie den Vorgang jederzeit unterbrechen und später fortsetzen können.
| Schritt | Was damit konfiguriert wird |
|---|---|
| 1. Willkommen | Einführung und Link zur Dokumentation. |
| 2. Betriebsmodus | Wählen Sie „Local Shield“ (Standard, kein ausgehender Datenverkehr) oder „Community Network“ mit einem kostenlosen Community Access Key von reportedip.de. |
| 3. Schutz | Schwellenwert für Anmeldeversuche pro IP-Adresse, Zeitfenster, feste vs. progressive Sperrstrategie, Leiter-Editor. |
| 4. Fertig | Zusammenfassung und ein Link zur Einstellungsseite mit nur einem Klick. |
Betriebsmodi
Zwei Modi, zwischen denen jederzeit umgeschaltet werden kann, ohne dass die Daten zu den lokalen Versuchen verloren gehen.
| Funktion | Lokaler Schutz (Standard) | Gemeinschaftsnetzwerk |
|---|---|---|
| Zähler für Brute-Force-Angriffe pro IP-Adresse | Ja | Ja |
| Progressive Blockeskalation | Ja | Ja |
| Manuelle Whitelist | Ja | Ja |
| Überprüfung der Reputation der ausgehenden IP-Adresse vor der Anmeldung | Nein | Ja |
| Ausgehender Bericht über gesperrte IP-Adressen (Cron-Auftrag in der Warteschlange, alle 15 Minuten) | Nein | Ja |
| Community-Zugangsschlüssel erforderlich | Nein | Ja (kostenlos unter reportedip.de) |
| Daten verlassen Ihren Server | Niemals | Nur die IP-Adresse des Angreifers, die ID der Integer-Kategorie und ein mit SHA-256 gehashtes Benutzername (mit einem Salt versehen) wp_salt()) |
Was Sie bekommen – und was nicht
Hive Light ist bewusst schlank gehalten. Alles, was ein kostenpflichtiges Relay, eine Multisite-Lizenz oder einen Upsell-Prozess erfordern würde, ist in der Full Edition auf GitHub zu finden.
| Fähigkeit | Hive Light | Hive (Vollversion) |
|---|---|---|
| Brute-Force-Anmeldeüberwachung | Ja | Ja |
| Progressive Block-Leiter (5 Min. → 7 Tage) | Ja | Ja |
| Manuelle Whitelist + Entsperrung nach IP-Adresse | Ja | Ja |
| Optionale IP-Abfrage und Berichterstellung für die Community | Ja (kostenloser Schlüssel) | Ja (kostenlose und kostenpflichtige Tarife) |
| Cache-Plugin-kompatible Blockseite (WP Rocket, W3TC, Super Cache, LiteSpeed) | Ja | Ja |
| Cloudflare / Unterstützung für Reverse-Proxy-Header | Ja (Header „Trusted Proxy“) | Ja |
| Kommentar-Spam, XML-RPC, REST-Burst-Sensoren | — | Ja |
| 404 / Scanner-Detektor mit Honeypot-Pfaden | — | Ja |
| Block zur Benutzerauflistung | — | Ja |
| App-Passwort-Überwachung | — | Ja |
| Erkennung von Geo-/ASN-Anomalien | — | Ja |
| Durchsetzung der Passwortstärke | — | Ja |
| URL für die Anmeldung ausblenden | — | Ja |
| Vierfache 2FA (TOTP / E-Mail / SMS / WebAuthn) + Wiederherstellungscodes + Vertrauenswürdige Geräte | — | Ja |
| Prüfung der 2-Faktor-Authentifizierung (2FA) im WooCommerce-Frontend sowie der Abonnements und Mitgliedschaften | — | Ja (PRO+) |
| Mehrstandort (Netzwerkaktivierung) | — | Ja |
| Verwalteter E-Mail-/SMS-Relay-Dienst mit Prepaid-Paketen | — | Ja (PRO+) |
| Stufenbasierte Preisgestaltung (Kostenlos / Contributor / PRO / Business Enterprise) | — | Ja |
| WP-CLI-Tools für die Zwei-Faktor-Authentifizierung | — | Ja (Business) |
| Rollenbezogene 2FA-Richtlinien, Begrenzung der Anmeldezeiten, wöchentliche Sicherheitsberichte | — | Ja |
Progressive Blockeskalation
Hive Light wird mit derselben Standard-Rangliste wie die Vollversion ausgeliefert: 5 Min. → 15 Min. → 30 Min. → 24 Std. → 48 Std. → 7 Tage. Nach 30 Tagen ohne Vorfälle wird der Zähler auf Stufe 1 zurückgesetzt. Fehler von ungeschickten Administratoren, CGNAT-Adressen und gemeinsam genutzte Ausgänge von Mobilfunknetzen werden innerhalb von Minuten wiederhergestellt; hartnäckige Angreifer steigen schnell in der Rangliste auf. Die Skala kann auf der Registerkarte „Schutz“ bearbeitet werden, und es steht ein Modus mit fester Dauer zur Verfügung, falls Sie eine einheitliche Sperrdauer bevorzugen.
Konfigurationsübersicht
Alle Einstellungen finden Sie unter ReportedIP Light“ → „Einstellungen“. Die wichtigsten Standardeinstellungen:
| Einstellung | Standard | Beschreibung |
|---|---|---|
operation_mode | Lokaler Schutzschild | „Local Shield“ oder „Community Network“. „Local Shield“ sendet keinerlei ausgehende Anfragen. |
access_key | (leer) | Optionaler Community-Zugangsschlüssel von reportedip.de. |
login_threshold / login_timeframe_minutes | 5 / 15 | Fehlgeschlagene Anmeldeversuche pro IP-Adresse vor der automatischen Sperrung. |
block_duration_minutes | 1.440 (24 Std.) | Block mit fester Länge (wird verwendet, wenn die Leiter ausgeschaltet ist). |
block_escalation_enabled + block_ladder_minutes | Am — 5., 15., 30., 1.440., 2.880., 10.080. | Progressive Skala (Minuten pro Stufe). |
block_escalation_reset_days | 30 | Anzahl der abstinenten Tage, bevor das IP wieder bei Schritt 1 beginnt. |
trusted_proxy_header | (aus) | Einstellen auf CF-Connecting-IP hinter Cloudflare oder zu X-Forwarded-For hinter einem weiteren vertrauenswürdigen Reverse-Proxy. Nur aktivieren, wenn Ihr Proxy den Header bei jeder Anfrage zuverlässig umschreibt. |
api_endpoint | https://reportedip.de/wp-json/reportedip/v2/ | Filterbar nach reportedip_hive_api_endpoint. |
api_timeout | 2 s | Bei fehlgeschlagenen Abfragen wird der Vorgang fortgesetzt – die Anmeldung wird fortgesetzt, wenn die API nicht antwortet. |
queue_retention_days | 14 | Wie lange werden Zeilen aus dem Bericht über nicht versendete Nachrichten vor dem Löschen aufbewahrt? |
uninstall_drops_tables | Aus | Wenn diese Option aktiviert ist, werden bei der Deinstallation alle wp_reportedip_hive_* Tabellen und Optionen. |
Datenbanktabellen
Bei der Aktivierung erstellt, mit Präfix versehen wp_reportedip_hive_ (Präfix für eine einzelne Website – Hive Light unterstützt keine Aktivierung in einem Netzwerk mit mehreren Websites). Nur vier Tabellen:
attempts— Zähler pro IP-Adresse / pro Typ / pro gehashtem Benutzernamen mit Zeitstempeln für den ersten und letzten Zugriff.blocked— aktive Sperren (manuell / automatisch / aufgrund der Reputation), Grund, Sperrtyp undblocked_until.whitelist— vertrauenswürdige IP-Adressen / CIDR-Bereiche; optionale Gültigkeitsdauer.api_queue— ausstehende und fehlgeschlagene Meldungen an reportedip.de; werden alle 15 Minuten per Cron erneut versucht.
Was nicht gespeichert wird: unverschlüsselte Benutzernamen, Passwörter, Anfragetexte, User-Agents, Kommentarinhalt oder Domain-Kennungen. Benutzernamen werden gespeichert als sha256(username + wp_salt()) nur.
Externe Dienste & DSGVO
In Lokaler Schutzschild Modus, den das Plugin erstellt Null ausgehende Netzwerkanfragen. In Gemeinschaftsnetzwerk In diesem Modus kommuniziert das Plugin mit drei Endpunkten reportedip.de (alle Übertragungen sind auf WordPress.org readme.txt (gemäß den Richtlinien von wp.org):
| Endpunkt | Auslöser | Gesendete Daten |
|---|---|---|
GET /wp-json/reportedip/v2/check?ip=… | Ein Anmeldeversuch wird wp_authenticate_user. | Nur die Quell-IP-Adresse des Anmeldeversuchs. Header X-Key mit dem Zugriffsschlüssel. Zeitlimit 2 s, Fail-Open. |
POST /wp-json/reportedip/v2/report | Ein Schwellenwert für Brute-Force-Angriffe wurde überschritten; der Bericht wird in die Warteschlange gestellt und vom 15-Minuten-Cron-Job versendet. | Die IP-Adresse des Verstoßes, die ID der Kategorie als Ganzzahl, ein kurzer, für Menschen lesbarer Kommentar („5 fehlgeschlagene Anmeldeversuche in 15 Minuten“). Keine Benutzernamen im Klartext, keine Passwörter, kein Domainname, kein Request-Body. |
GET /wp-json/reportedip/v2/verify-key | Ein Administrator klickt in den Einstellungen auf „Verbindung testen“. | Der Zugriffsschlüssel wird derzeit überprüft. |
Rechtsgrundlage (Art. 6 Abs. 1 Buchstabe f DSGVO): Netz- und Informationssicherheit – die Speicherung von Protokolldaten, die automatische Bereinigung und die IP-spezifische Hash-Erstellung dienen dem Schutz sowohl Ihrer Nutzer als auch unbeteiligter Besucher. Eine vollständige Übersicht über die Datenverarbeitung finden Sie in der Datenschutzerklärung auf dieser Website.
Filter und Aktions-Hooks
apply_filters('reportedip_hive_is_whitelisted', $is_whitelisted, $ip)— Die Whitelist-Prüfung umgehen (nur in Ausnahmefällen verwenden).apply_filters('reportedip_hive_get_client_ip', $ip)— Die IP-Erkennungslogik überschreiben (nützlich hinter nicht standardmäßigen Reverse-Proxys).apply_filters('reportedip_hive_event_category_map', $map)— Ordnen Sie Ihre Ereignisnamen den IDs der Bedrohungskategorien zu.apply_filters('reportedip_hive_api_endpoint', $url)— Richten Sie das Plugin auf eine andere Installation ReportedIP aus.do_action('reportedip_hive_log', $event, $data)— wird bei jedem aufgezeichneten Ereignis ausgelöst.do_action('reportedip_hive_ip_blocked', $ip, $reason)— wird ausgelöst, wenn eine IP-Adresse gesperrt wird.do_action('reportedip_hive_report_queued', $ip, $category)— wird ausgelöst, wenn ein Bericht in die Warteschlange gestellt wird.
Upgrade auf ReportedIP (Vollversion)
Hive Light ist bewusst auf das Szenario von Brute-Force-Angriffen beschränkt. Wenn Ihre Website eine der folgenden Funktionen benötigt, wechseln Sie zur Vollversion:
- Vierfache Zwei-Faktor-Authentifizierung (2FA) mit WebAuthn, TOTP, E-Mail und SMS sowie Wiederherstellungscodes und vertrauenswürdigen Geräten.
- Sensoren über die Anmeldung hinaus – XML-RPC, Kommentar-Spam, REST-Burst, 404-/Scanner-Detektor, Blockierung von Benutzer-Enumeration, Überwachung von App-Passwörtern, Geo-/ASN-Anomalien.
- Aktivierung eines Netzwerks mit mehreren Standorten (
Network: true). - WooCommerce-Frontend-2FA (themenbezogene Herausforderung innerhalb des „Mein Konto“- bzw. „Kassen“-Ablaufs).
- Verwalteter E-Mail-/SMS-Relay-Dienst mit Prepaid-Paketen (kein eigenes SMTP-/SMS-Gateway, das gewartet werden muss).
- Rollenbasierte 2FA-Richtlinien, Begrenzung der Anmeldezeiten, wöchentliche Sicherheitsberichte im PDF-Format, Tool zum Datenexport gemäß DSGVO.
Die Migration ist ein einseitiger Vorgang: Deaktivieren Sie Hive Light, installieren Sie Hive (Vollversion) und aktivieren Sie es anschließend wieder. Beide Plugins verwenden dieselbe wp_reportedip_hive_* Tabellenpräfix und eine idempotente Schemamigration; die Full Edition erweitert das Schema um drei zusätzliche Tabellen (logs, stats, trusted_devices) und erkennt beim ersten Start vorhandene Light-Daten. Führen Sie niemals beide Plugins gleichzeitig aus — gleiche Textdomäne, gleiches Klassenpräfix, sofortige Neudefinition einer Funktion führt zu einem schwerwiegenden Fehler.
Preise und einen Funktionsvergleich finden Sie auf der Produktseite.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Hive Light und Hive (Vollversion)?
Hive Light ist ein reiner Brute-Force-Anmeldeschutz für WordPress.org – dauerhaft kostenlos, ohne Upselling und ohne Preisstufen. Hive (Full Edition) ist die komplette Sicherheitssuite, die über GitHub vertrieben wird: zwölf Sensoren, 2FA mit vier Methoden, Multisite-Unterstützung, WooCommerce-Integration, stufenbasierte Preisgestaltung mit verwaltetem E-Mail-/SMS-Relay. Zwei verschiedene Plugins, zwei Vertriebskanäle, derselbe Autor und dieselbe Community.
Kann ich Hive Light und Hive (Vollversion) auf derselben Website ausführen?
Nein. Beide Plugins verwenden dieselbe Textdomäne (reportedip-hive) und Klassenpräfix (ReportedIP_Hive). Wenn Sie beide ausführen, kommt es zu sofortigen, schwerwiegenden Fehlern aufgrund von Funktions-Neudefinitionen. Wählen Sie eine Option aus. Um von „Light“ zu „Full“ zu wechseln: Deaktivieren Sie „Light“, installieren Sie „Full“ und aktivieren Sie es wieder. Die Datenbanktabellen werden wiederverwendet.
Brauche ich ein Konto bei reportedip.de?
Nein – Local Shield funktioniert ohne Konto. Sie benötigen nur einen kostenlosen Community Access Key, wenn Sie das Community-Netzwerk aktivieren möchten, das Reputationsabfragen gegenüber dem Hive ermöglicht und anonymisierte Angriffsberichte zurücksendet. Den Schlüssel erhalten Sie in wenigen Sekunden unter reportedip.de/register/.
Warum heißt das wp.org-PluginReportedIP – und nicht „Hive Light“?
Der Slug des WordPress.org-Plugins lautet reportedip-hive (der Paketname), aber der in der Plugin-Verwaltung angezeigte Name lautet ReportedIP Light“. Der Slug bleibt über alle Versionen hinweg unverändert – nur der für Menschen lesbare Name ändert sich. Die Vollversion verwendet dieselbe Textdomäne, sodass bei zukünftigen Migrationen die Optionsschlüssel und Datenbanktabellen erhalten bleiben.
Wird mich das Plugin von meiner eigenen Website aussperren?
Das kann passieren, wenn Sie sich wiederholt von Ihrer eigenen IP-Adresse aus fehlgeleitet anmelden. Um das Problem zu beheben, warten Sie entweder, bis die Sperre abgelaufen ist, fügen Sie Ihre IP-Adresse vorab zur Whitelist hinzu oder löschen Sie den Eintrag aus der wp_reportedip_hive_blocked Tabelle über phpMyAdmin oder WP-CLI: wp db query "DELETE FROM wp_reportedip_hive_blocked WHERE ip_address = 'YOUR_IP'".
Schützt Hive Light Anwendungspasswörter?
Nein. Die aktuelle Version schützt Standard wp-login.php Anmeldungen. App-Passwörter nutzen einen separaten Authentifizierungspfad, der hier nicht überwacht wird. Die Vollversion enthält einen App-Passwort-Monitor, der die application_password_failed_authentication Veranstaltungen.
Funktioniert das mit WooCommerce-Anmeldeformularen?
Ja – WooCommerce verwendet den Standard wp_login_failed Aktion, die von Hive Light überwacht wird. Anmeldeversuche bei WooCommerce werden zusammen mit regulären Anmeldungen gezählt. Die 2FA im WooCommerce-Frontend (In-Storefront-Challenge) ist eine Funktion der Full Edition.
Meine Website wird von Cloudflare geschützt – werden die tatsächlichen IP-Adressen erkannt?
Ja – einstellen Header „Trusted Proxy“ in Einstellungen → Verbindung zu CF-Connecting-IP. Aktivieren Sie diese Option nur, wenn Ihr Reverse-Proxy den Header bei jeder eingehenden Anfrage zuverlässig überschreibt; andernfalls kann der Header gefälscht werden. Dieselbe Logik unterstützt X-Forwarded-For für Proxys, die nicht von Cloudflare stammen.
Wo ist der Quellcode?
Das Plugin befindet sich im offiziellen WordPress.org-SVN-Repository unter dem Slug reportedip-hive. Zur Nachverfolgung von Problemen wird ein GitHub-Mirror gepflegt; der offizielle Vertriebskanal ist wordpress.reportedip.
Was passiert mit meinen Daten, wenn ich die App deinstalliere?
Standardmäßig bleiben die Tastenbelegungen erhalten, sodass Ihre Einstellungen bei einer Neuinstallation beibehalten werden. Wenn Sie uninstall_drops_tables Zunächst löscht der Deinstallations-Hook alle wp_reportedip_hive_* Tabellen und entfernt alle reportedip_hive_* Optionen. Berichte, die sich bereits in der Community-Datenbank befinden, bleiben erhalten – sie lassen keine Rückschlüsse auf Ihre Website zu.