WordPress-Plugin – ReportedIP (Vollversion)

ReportedIP ist ein von der Community betriebenes WordPress-Sicherheits-Plugin. Es verwandelt jede geschützte Website in einen Sensor: Wenn eine Website angegriffen wird, lernt das Netzwerk daraus, und jede andere Website kann den Angreifer abwehren, noch bevor die erste Anfrage eingeht. Bedrohungsinformationen in Echtzeit, dreizehn Angriffssensoren, 2FA mit vier Methoden, progressive Eskalation der Sperrmaßnahmen. Open Source, veröffentlicht unter GPLv2+ auf GitHub.

Installation

Einrichtungsassistent (9 Schritte)

Der Assistent wird bei der ersten Aktivierung ausgeführt und kann jederzeit über die Plugin-Einstellungen erneut gestartet werden. Jeder Schritt wird sofort gespeichert, sodass Sie den Vorgang unterbrechen und später fortsetzen können.

Betriebsmodi

Zwei Modi – wechseln Sie jederzeit zwischen ihnen, ohne lokale Daten zu verlieren.

Was Sie in den einzelnen Stufen erhalten

Das Hive-Plugin ist in der kostenlosen Version voll funktionsfähig – lokaler Schutz, alle dreizehn Sensoren, alle vier 2FA-Methoden. Die kostenpflichtigen Tarife umfassen eine verwaltete Zustellungsinfrastruktur (E-Mail und SMS) sowie höhere Kontingente für das Community-Netzwerk. Auf der Seite „Preise“ findest du einen vollständigen Vergleich und Informationen zum Upgrade.

Business mehrfach buchbar. Alle oben genannten Business gelten pro Lizenz. Wenn Sie an der Kasse Business , „x5“, „x10“ oder „x20“ buchen (oder dies später im Stripe-Kundenportal ändern), skalieren die täglichen Überprüfungen/Berichte, das monatliche 2FA-Kontingent für E-Mail/SMS sowie die Anzahl der Domains entsprechend Ihrer Lizenzanzahl – z. B. x5 = 75 Domains und 500.000 Überprüfungen/Tag. Ab der 2-fachen Lizenzanzahl gilt automatisch ein Mengenrabatt. PRO bleibt eine Einzellizenz; die Zahlen für Enterprise sind unbegrenzt (fair use) und werden niemals multipliziert.

Bündel-Bestellung (PRO und Business): Zunächst wird das monatliche Inklusivkontingent (25 SMS / 500 E-Mails bei PRO, 75 / 2.500 bei Business) abgezogen, anschließend das Guthaben des Prepaid-Pakets. Sobald beides aufgebraucht ist, gibt die API den HTTP-Status 429 zurück und Hive weicht auf lokale Ressourcen aus wp_mail() für E-Mails (oder SMS mit festen Obergrenzen) – andere 2FA-Methoden bleiben weiterhin verfügbar. Bundle-Guthaben verfallen nie. Stripe verwendet tax_behavior = inclusive Bei den Bruttopreis-Paketen (gemäß PAngV) wird die Umkehrung der Steuerschuldnerschaft / OSS automatisch von Stripe Tax abgewickelt.

5-Schichten-Schutz

Hive führt seine Prüfungen nacheinander durch – jede Ebene kann die Anfrage abbrechen, bevor sie die nächste erreicht. Angehängt an init mit Priorität 1, damit andere Plugins bei einer gesperrten IP-Adresse nicht ausgeführt werden.

1. Whitelist – vertrauenswürdige IP-Adressen und CIDR-Bereiche werden immer zugelassen (Ihr Büro, Überwachungsdienste usw.).
2. Lokale Sperrliste — IP-Adressen, die Sie manuell gesperrt haben oder die lokale Schwellenwerte überschritten haben. Gespeichert in wp_reportedip_hive_blocked.
3. Versuchszähler – Zählerstände für Anmeldungen, Kommentare, XMLRPC, REST-Bursts und 404-Scans lösen eine automatische Sperrung aus, sobald der Schwellenwert erreicht ist.
4. Reputation in der Community – Im Community-Netzwerkmodus werden IP-Adressen, deren Konfidenzwert ≥ dem Schwellenwert ist, am Rand blockiert.
5. 2FA-Überprüfung – Bei geschützten Konten muss zur Anmeldung ein zweiter Authentifizierungsfaktor angegeben werden.

Die dreizehn Angriffssensoren

Jeder Sensor kann unter „Einstellungen“ → „Schutz“ separat aktiviert und angepasst werden.

Progressive Blockeskalation

Wiederholungstäter zahlen mehr. Die Standard-Sperrskala lautet: 5 Min. → 15 Min. → 30 Min. → 24 Std. → 48 Std. → 7 Tage. Nach 30 Tagen ohne Vorfälle wird der Zähler auf Stufe 1 zurückgesetzt. Bei erstmaligen Auslösungen durch legitime Besucher (CGNAT, versehentliche Eingabefehler von Admins, Datenverkehr aus Mobilfunknetzen) erfolgt die Aufhebung innerhalb von Minuten; bei hartnäckigen Angreifern wird die 7-Tage-Stufe erreicht.

Die Leiter, das Rücksetzfenster und der Hauptschalter befinden sich unter Einstellungen → Blockieren → Schrittweise Blockierung. Im Schritt „Schutz“ des Assistenten wird der Hauptschalter angezeigt, sodass neue Installationen bereits ab dem ersten Speichervorgang die Eskalationsfunktion nutzen können. Die behobene block_duration Die Einstellung bleibt auch dann bestehen, wenn die Leiste ausgeblendet wird. Eine Granularität im Unterstundenbereich wird bereitgestellt durch ReportedIP_Hive_Database::block_ip_for_minutes().

Zwei-Faktor-Authentifizierung (2FA)

Es werden vier Methoden unterstützt, die pro Benutzer kombiniert werden können. Bei der Ersteinrichtung werden Wiederherstellungscodes generiert. Geheimnisse werden im Ruhezustand verschlüsselt (libsodium mit OpenSSL-Fallback).

• TOTP – RFC 6238 (6 Ziffern, 30-Sekunden-Fenster). Kompatibel mit Google Authenticator, Authy, 1Password, Bitwarden, …
• E-Mail – sechsstelliger Einmalcode über den konfigurierten E-Mail-Anbieter; mit Ratenbegrenzung (3 Codes alle 15 Minuten, 5 Verifizierungsversuche pro Code, 60 Sekunden Wartezeit vor erneutem Versand).
• SMS – sechsstelliges Einmalpasswort über den verwalteten reportedIP (ab dem Professional-Tarif; siehe unten). Die Telefonnummer wird im Ruhezustand verschlüsselt.
• WebAuthn – Passkeys, Sicherheitsschlüssel (YubiKey), plattformbasierte Authentifizierer (Touch ID, Face ID, Windows Hello). Interner CBOR-Parser, keine externen Abhängigkeiten.
• Vertrauenswürdige Geräte — Opt-in-Tokens zum Speichern dieses Geräts mit konfigurierbarer Gültigkeitsdauer (Standard: 30 Tage). Gespeichert in wp_reportedip_hive_trusted_devices als SHA-256-Hashes.
• Wiederherstellungscodes — 10 Einwegartikel xxxx-xxxx Codes; Warnung bei „Low-Code“ ab ≤ 3 verbleibenden Codes.

2FA-Brute-Force-Schutz

Die 2FA-Verifizierungsleiter ist 3 → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Wenn der Zählerstand die oberste Stufe erreicht, wird die IP in die zentrale auto_block_ip() Pfad (Ereignis 2fa_brute_force), was wie bei jedem anderen Sensor eine schrittweise Eskalation und eine Meldung im Community-Modus auslöst.

Headless 2FA REST

Für App-Integrationen stellt das Plugin drei Routen unter dem Namespace bereit reportedip-hive/v1:

• POST /2fa/challenge — Benutzername + Passwort → Challenge-Token + aktivierte Methoden (20 Anfragen / 5 Minuten pro IP-Adresse).
• POST /2fa/verify — Token + Methode + Code → setzt das Authentifizierungs-Cookie (30 Anfragen pro 5 Minuten pro IP-Adresse).
• GET /2fa/methods — Aktive Methoden für den aktuellen Benutzer auflisten.

WooCommerce-Anmeldung im Frontend

Die 2FA-Funktion von Hive bleibt in Ihrem aktiven Shop-Theme integriert – Kunden, die sich über [woocommerce_my_account]… die klassische Kasse oder die WooCommerce-Blöcke „Warenkorb“ und „Kasse“ führen ihren zweiten Schritt auf einer themenbezogenen Seite aus. Der Status von Warenkorb und Kasse bleibt während der Weiterleitung erhalten, und das Cookie für vertrauenswürdige Geräte wird mit dem wp-login-Ablauf geteilt.

• Konfigurationspfad — 2FA → Frontend-Anmeldung für WooCommerce.
• Konfigurierbare Slugs — challenge slug (Standard reportedip-hive-2fa) und Setup-Slug (Standard reportedip-hive-2fa-setup); sowohl bearbeitbare als auch auf Konflikte geprüfte Regeln sowie Umschreibungsregeln werden bei Änderungen automatisch aktualisiert.
• Herabstufung des Tarifs – vorübergehende Deaktivierung bei den Tarifen „Free“ und „Contributor“; Einstellungen, Slug-Auswahl und Onboarding-Status bleiben erhalten, es kommt zu keinem Datenverlust beim erneuten Upgrade.
• Konflikterkennung – Hive zeigt eine Administratormeldung an, wenn Solid Security, das WP Two-Factor-Plugin oder Wordfence 2FA die Kontrolle über das Anmeldeformular hat, und deaktiviert die Frontend-Abfrage, um doppelte Aufforderungen zu vermeiden.
• Verfügbarkeit des Tarifs — Ab der Professional-Version. Die kostenlosen WooCommerce-Sensoren für fehlgeschlagene Anmeldeversuche (woocommerce_login_failed, woocommerce_checkout_login_form_failed_login) bleiben in jedem Plan enthalten und tragen weiterhin zum Brute-Force-Zähler bei.

Zustellung von E-Mails und SMS

Die Mail-Schicht läuft über einen austauschbaren Provider-Vertrag (ReportedIP_Hive_Mailer). Der Standardanbieter ist WordPress wp_mail(); Integratoren können ihre eigenen Daten einfügen, ohne den Rest des Plugins zu verändern. SMS-2FA ist eine Professional-Funktion, die ausschließlich über den verwalteten relay reportedip.de bereitgestellt wird – ein eigenes SMS-Konto oder ein Mobilfunkvertrag sind nicht erforderlich. Sie wird bei Abschluss eines kostenpflichtigen Tarifs automatisch konfiguriert; aktivieren Sie sie unter Einstellungen → 2FA → SMS.

Konfigurationsübersicht

Alle Einstellungen befinden sich unter ReportedIP “ → „Einstellungen“. Die wichtigsten Standardeinstellungen:

Datenbanktabellen

Bei der Aktivierung erstellt, mit Präfix versehen wp_reportedip_hive_. Schema-Version 3, mit idempotenter Migration bei jedem Plugin-Update.

• logs — Sicherheitsereignisse, JSON-Details, Schweregrad, Markierung „gemeldet“.
• whitelist — vertrauenswürdige IP-Adressen und CIDR-Bereiche; Ablaufdatum optional.
• blocked — aktive Sperren (manuell / automatisch / aufgrund der Reputation), mit blocked_until.
• attempts — IP-spezifische Zähler pro Versuchstyp, mit Zeitstempeln für den ersten und letzten Versuch.
• api_queue — ausstehende und fehlgeschlagene Meldungen an die Community-API; Wiederholungslogik.
• stats — Tageswerte für die Diagramme im Dashboard (7- und 30-Tage-Trends).
• trusted_devices — 2FA-Gerätetoken (SHA-256-Hashes), IP-Adresse und Gerätename, Ablaufdatum.

Frontend-Shortcodes & automatische Fußzeile

Fügen Sie an einer beliebigen Stelle auf der Website ein kleines „Protected by Hive“-Logo ein. Alle Shortcodes geben ein einzelnes <rip-hive-banner> Webkomponente, die aktuelle Zahlen aus einem 6-Stunden-Zwischenspeicher abruft (kein API-Aufruf pro Seitenaufruf).

• [reportedip_badge] — kleines Abzeichen (Standard) schützen Ton).
• [reportedip_stat] — einzelne Statistik (Standard Vertrauen Ton).
• [reportedip_banner] — breites Banner (Standard Gemeinschaft Ton).
• [reportedip_shield] — Schild-Symbol (Standard Mitwirkender Ton).

Gemeinsame Merkmale: stat (z. B. attacks_30d, reports_total), tone (protect / trust / community / contributor), color, background, label, intro. Die automatische Fußzeile im Assistenten verwendet dieselbe Komponente, deren Variante und Ausrichtung konfigurierbar sind.

WP-CLI-Referenz

Die 2FA-Tools sind vollständig skriptfähig. Verfügbar unter wp reportedip 2fa …:

wp reportedip 2fa status [--user=<id>]
wp reportedip 2fa enable <user_id> --method=<totp|email|sms|webauthn> [--secret=<base32>]
wp reportedip 2fa disable <user_id> [--method=<m>]
wp reportedip 2fa reset <user_id>
wp reportedip 2fa enforce --role=<role> [--remove]
wp reportedip 2fa audit [--user=<id>] [--since=<date>]
wp reportedip 2fa cleanup

Kompatibilität mit Cache-Plugins

Seit Version 1.5.2 definiert die „Blocked-Page“-Antwort DONOTCACHEPAGE, DONOTCACHEDB und DONOTCACHEOBJECT (wird von WP Rocket, W3 Total Cache, WP Super Cache und LiteSpeed Cache unterstützt) und gibt explizit Cache-Control: no-store, no-cache, must-revalidate, max-age=0, Pragma: no-cache sowie der WordPress-Kern nocache_headers() festgelegt. Ein einzelner blockierter Angreifer kann den Seiten-Cache nicht mehr mit einem 403-Fehler belasten, den legitime Besucher andernfalls bis zum Ablauf des Caches erhalten würden.

Filter und Aktions-Hooks

• apply_filters('reportedip_hive_external_url', $url, $context) — Ersetzen Sie alle externen URLs (Datenschutzerklärung, Registrierung, FAQ, …).
• apply_filters('reportedip_hive_rest_bypass_routes', $routes) — die Liste der REST-Routenpräfixe erweitern, die den Burst-Monitor umgehen (Cookie-Banner-Integrationen).
• apply_filters('reportedip_hive_scan_paths', $paths) — die Liste der Honeypot-Pfade für den Scan-Detektor erweitern.
• do_action('reportedip_hive_ip_blocked', $ip, $reason) — wird ausgelöst, wenn eine IP-Adresse gesperrt wird.
• do_action('reportedip_hive_report_queued', $ip, $category) — wird ausgelöst, wenn ein Bericht für die API in die Warteschlange gestellt wird.

Häufig gestellte Fragen

Die Fragen, die uns am häufigsten gestellt werden. Jede Antwort enthält gegebenenfalls einen Link zum entsprechenden Abschnitt weiter oben.

Allgemeines

Installation und Einrichtung

Modi & Sensoren

2FA

Leistung und Kompatibilität

Datenschutz & DSGVO

Anpassung & Erweiterung

add_filter('reportedip_hive_rest_bypass_routes', function ($routes) {
    $routes[] = '/my-consent-plugin/v1';
    return $routes;
});

add_filter('reportedip_hive_scan_paths', function ($paths) {
    $paths[] = '/.aws/credentials';
    return $paths;
});

Kontingente, Tarife & Konto

Fehlerbehebung

Das Plugin blockiert keine IP-Adressen

Überprüfen Sie, ob der „Nur-Bericht“-Modus aktiviert ist – in diesem Modus werden Bedrohungen protokolliert, ohne sie zu blockieren. Vergewissern Sie sich außerdem, dass der Schwellenwert für die Blockierung nicht zu hoch eingestellt ist (Standardwert: 75 %) und dass die automatische Blockierung aktiviert ist (die Dauerstrategie ist deaktiviert, solange die automatische Blockierung ausgeschaltet ist).

API-Verbindungsfehler im Community-Netzwerk-Modus

Stellen Sie sicher, dass Ihr Server ausgehende HTTPS-Anfragen an reportedip.de. Einige Hosts blockieren ausgehende Verbindungen standardmäßig. Überprüfen Sie den API-Schlüssel auf der Dashboard.

Besucher, die das Cookie-Banner ignorieren, werden gesperrt

Seit Version 1.5.0 sind die vier Namespaces von Common Consent (real-cookie-banner, complianz, borlabs-cookie, cookie-law-info) werden standardmäßig umgangen. Wenn Ihr Stack einen anderen Namensraum verwendet, erweitern Sie die Umgehungsliste über die reportedip_hive_rest_bypass_routes Filter.

Legitime Nutzer werden gesperrt

Fügen Sie deren IP-Adressen oder CIDR-Bereiche zur lokalen Whitelist hinzu. IP-Adressen auf der Whitelist werden niemals blockiert, unabhängig von ihrer Reputation.

Hohe API-Auslastung / Keine Überprüfungen mehr verfügbar

Antworten werden standardmäßig 24 Stunden lang lokal zwischengespeichert (mit ETag). Wenn Ihnen die Überprüfungen weiterhin ausgehen, erhöhen Sie cache_duration oder Ihren Tarif upgraden. Überwachen Sie die Warteschlange und das Kontingent auf der Dashboard.

Durch 2FA ausgesperrt

Verwenden Sie einen der bei der Einrichtung der 2FA gespeicherten Wiederherstellungscodes. Sollten diese verloren gegangen sein, kann ein Administrator die 2FA für jeden Benutzer unter Benutzer → Zwei-Faktor-Authentifizierung. Als letztes Mittel: wp reportedip 2fa reset <user_id>.

Der Block-Editor (Gutenberg) wird immer wieder gedrosselt

Der Block-Editor löst innerhalb weniger Sekunden über 50 REST-Aufrufe aus. Seit Version 1.2.2 werden angemeldete Benutzer vom globalen REST-Burst-Monitor nicht mehr erfasst; es werden nur noch anonyme Bursts gezählt. Stelle sicher, dass du Version 1.2.2 oder eine neuere Version verwendest.

DSGVO & Datenschutz

Das Plugin wurde unter Berücksichtigung des Datenschutzes entwickelt und entspricht vollständig der DSGVO.

• „Local Shield“-Modus: Es verlassen keine Daten Ihren Server. Die gesamte Erkennung und Blockierung erfolgt lokal.
• Community-Netzwerkmodus: Es werden lediglich die IP-Adresse des Angreifers, die Bedrohungskategorie und der Zeitstempel weitergegeben. Keine Benutzernamen, keine Passwörter, keine Kommentarinhalte, keine Endnutzerdaten.
• User-Agents werden vor der Speicherung auf 50 Zeichen gekürzt.
• Automatische Bereinigung: Sicherheitsprotokolle werden nach Ablauf der konfigurierten Aufbewahrungsfrist (standardmäßig 30 Tage) gelöscht. Die automatische Anonymisierung greift bereits früher (standardmäßig nach 7 Tagen).
• Verschlüsselung im Ruhezustand: TOTP-Schlüssel, WebAuthn-Anmeldedaten und SMS-Telefonnummern werden mit libsodium (OpenSSL-Fallback) verschlüsselt.
• Kein Tracking: Keine Cookies, keine Tracking-Pixel, keine Telemetrie.
• Open Source: Der vollständige Quellcode ist auf GitHub veröffentlicht – jede Zeile ist überprüfbar.

Die wichtigsten Neuerungen

• 2.0.x — Netzwerkweite Aktivierung an mehreren Standorten (Network: true), Verwaltung der Stufen pro Blog, Banner für Stufen-Upgrades, verbesserte Überwachung von App-Passwörtern und geografischen Anomalien, 2FA im WooCommerce-Frontend ab PRO+.
• 1.5.2 — Kompatibilität des Cache-Plugins auf der 403-Seite; die 2FA-Drosselung wird zu einer echten Eskalationssperre; init Priorität 1.
• 1.5.1 – Übersichtlichkeit der Blockierungsregisterkarten (Nur-Bericht > Automatische Blockierung > Dauer-Strategie); Editoren für feste Länge und Leiter-Editoren tauschen ihre Positionen.
• 1.5.0 – Schrittweise Eskalation der Sperrdauer (von 5 Minuten auf 7 Tage); Cookie-Banner-Endpunkte werden standardmäßig umgangen; die Standardwerte für 404-Fehler und Kommentar-Spam wurden gelockert.
• 1.2.4 – Die Schaltfläche „Erneut versuchen“ in der API-Warteschlange löst nun tatsächlich den API-Aufruf aus.
• 1.2.0 – Sieben neue Sensoren: App-Passwort-Überwachung, REST-Burst-Überwachung, Blockierung von Benutzer-Enumeration, 404/Scan-Detektor, Geo-Anomalie, Passwortstärke, Ausblenden der Login-URL.
• 1.1.0 – Zentraler E-Mail-Versand mit Markenvorlage.
• 1.0.0 – Erste öffentliche Version: IP-Sperrung, 2-Faktor-Authentifizierung mit vier Methoden, Einrichtungsassistent, Listentabellen.

Vollständiger Verlauf: CHANGELOG.md auf GitHub.

Suchen Sie die kleinere Ausgabe?