ReportedIP 2.1.4: Die Firewall-Version, von 12 auf 16 Sensoren
ReportedIP 2.1.4 verwandelt das Plugin in eine Firewall. Seit der letzten Version, über die wir berichtet haben – 2.0.22 –, wurde Hive um eine Web Application Firewall mit Request-Prüfung, drei weitere kostenlose Sensoren und einen vom Server bereitgestellten Regel-Feed erweitert, wodurch die Erkennungsrate von 12 auf 16 Sensoren gestiegen ist.
Der gesamte Schutzkern bleibt frei und unterliegt der GPL 2.0. Aktualisieren Sie über „Plugins“ → „Nach Updates suchen“ oder laden Sie die neueste ZIP-Datei von der GitHub-Release-Seite herunter.
Was hat sich seit Hive 2.0.22 geändert?
Zwischen den Versionen 2.0.22 und 2.1.4 wurden neun Releases veröffentlicht. Die 2.1.x-Reihe steht im Mittelpunkt – eine vollständige Firewall-Ebene –, doch bereits in mehreren 2.0.2x-Versionen wurden die Erkennung verbessert und Fehler behoben, die zu einer tatsächlichen Sperrung führten.
| Version | Änderung der Überschrift |
|---|---|
| 2.0.23 | Der Einrichtungsassistent speichert nun jeden Schritt serverseitig; 404-Fehler und falsche REST-Positivmeldungen blockieren echte Besucher nicht mehr automatisch; ein angemeldeter Administrator kann nicht mehr durch eine automatische Sperre ausgesperrt werden. |
| 2.0.25 | SMS-2FA wird ausschließlich auf den verwalteten Relay-Server verlagert; GDPR-Export-/Löschfunktion und ein Generator für datenschutzkonforme Texte werden eingeführt; Schema v8. |
| 2.0.27 | Kompatibilität mit dem WordPress-Multisite-Netzwerk-Admin; Maskierung von Anmeldefehlern anhand von Fehlercodes, sodass die Gründe für die Zwei-Faktor-Authentifizierung und das Zurücksetzen des Passworts in jeder Sprache angezeigt werden. |
| 2.0.28 | Weniger Fehlalarme (umfassendere Bot-Whitelist, 404-Fehler bei statischen Assets werden ignoriert); ehrliche Informationen zum Unterschied zwischen kostenloser und kostenpflichtiger Version. |
| 2.0.29 | Der „Hardening“-Modus erkennt nun auch verteilte Botnetze, die ihre IP-Adressen in einem rollierenden Zeitfenster wechseln, und nicht mehr nur Bursts innerhalb derselben Minute. |
| 2.1.0 | MainWP-Integration und Referenzcodes für Block-Seiten (die X-RIP-Ref (Kopfzeile). |
| 2.1.2 | Die neue Version der Firewall: WAF, Erkennung verifizierter Bots, Blockierung von Wegwerf-E-Mail-Adressen, Kommentar-Honeypot, Sicherheits-Header, Hardening-Score und der Business Trail; Schema v9. |
| 2.1.3 | Die Erkennung von verifizierten Bots wurde für Crawler behoben, die eine Verbindung über IPv6 herstellen. |
| 2.1.4 | Überarbeitung der Firewall-Verwaltung, eine einzige Registerkarte für die Serverkonfiguration sowie spezifische WAF-Fehlercodes für SSRF, Log4Shell, XXE und mehr. |
Die Web Application Firewall ist das Hauptthema von 2.1.2
Mit Hive 2.1.2 wurde eine WAF zur Überprüfung von Anfragen hinzugefügt, die auf init und gleicht die URI, die Abfragezeichenfolge, den Anfragetext und den User-Agent mit einem Regelwerk für Signaturerkennung ab: SQL-Injection, XSS, Pfadtraversal, Befehlsinjection, LFI-Wrapper und Scanner-Tools, ergänzt durch SSRF, Log4Shell/JNDI, PHP-Objektinjection, NoSQL, XXE, Webshell-Uploads, CRLF und Template-Injection, die mit Version 2.1.4 hinzugefügt wurden.
Der Motor und die OWASP-Top-10-Baseline der Stufe 1 sind in jedem Tarif kostenlos enthalten. Mit dem Professional-Tarif werden die detaillierteren, regelmäßig aktualisierten Regelsätze der Stufen 2 und 3 über Priority Sync freigeschaltet. Die WAF ist gegen ReDoS-Angriffe gehärtet und arbeitet im Fail-Open-Modus, sodass eine fehlerhafte Regel die Website niemals lahmlegt.
Regeln werden aus einem signierten, vom Server bereitgestellten Feed abgerufen
Die Signaturen sind nicht fest im Plugin hinterlegt. Sie stammen aus der reportedip.de Rule API – versioniert, mit Ed25519 signiert und auf vier Regelsätze verteilt (waf, bot_signatures, disposable_domains, scan_paths), die alle sechs Stunden synchronisiert werden. Hive überprüft jeden Regelsatz vor der Anwendung anhand eines integrierten öffentlichen Schlüssels und greift stets auf eine integrierte Basisversion zurück, sodass ein manipulierter oder nicht erreichbarer Feed Ihre Regeln nicht beeinträchtigen kann. Neue Angriffssignaturen erreichen jede Installation innerhalb weniger Stunden, ohne dass eine Plugin-Aktualisierung erforderlich ist.
Ein optionales Pre-WordPress-Drop-in kann die WAF ausführen, noch bevor WordPress überhaupt geladen wird, mit automatischer Konfiguration für Apache und PHP-FPM sowie einem Nginx-Snippet. Es ist standardmäßig deaktiviert, und beim Entfernen wird die Direktive immer entfernt, bevor der Schutzmechanismus gelöscht wird, sodass ein veralteter Prepend die Website niemals zum Absturz bringen kann.
Drei weitere kostenlose Sensoren: Verified-Bot, Einmal-E-Mail, Kommentar-Honeypot
Mit demselben Update wurden drei Erkennungssensoren hinzugefügt, die in jedem Tarif kostenlos sind, wodurch sich die Gesamtzahl von 12 auf 16 erhöhte:
- Die verifizierte Bot-Erkennung stellt sicher, dass eine Anfrage, die vorgibt, von Googlebot, Bingbot oder einem anderen Crawler zu stammen, tatsächlich von diesen stammt – zunächst durch einen DNS-freien Abgleich mit den offiziellen IP-Bereichen des Crawlers, anschließend durch einen vorwärtsbestätigten Reverse-DNS-Fallback. Spoofer werden markiert oder blockiert; echte Crawler werden niemals blockiert. In Version 2.1.3 wurde der IPv6-Pfad korrigiert, sodass echte Crawler unter IPv6 nicht mehr fälschlicherweise als Fälschungen erkannt werden.
- Die Blockierung von Wegwerf-E-Mail-Adressen überprüft die Adresse bei der Registrierung in WordPress und WooCommerce und bietet die Modi „Aus“, „Überwachen“ und „Blockieren“. Datenschutz-Relays wie „Apple Hide My Email“ und „Firefox Relay“ bilden eine eigene Kategorie und werden standardmäßig durchgelassen.
- „Comment Honeypot“ fügt dem Kommentarformular ein unsichtbares, von Screenreadern ignoriertes Scheinfeld hinzu; Spam-Bots, die jedes Feld ausfüllen, werden abgewehrt, ohne dass echte Besucher durch CAPTCHA-Hürden behindert werden.
Die vollständige Liste und die Standardschwellenwerte finden Sie im Leitfaden zu den 16 Angriffssensoren, die WordPress-Einbrüche erkennen.
Sicherheits-Header, ein Sicherheitsbewertungswert und ein Business -Protokoll Business
2.1.2 lieferte zudem drei weitere Funktionen aus, die über die Erkennung hinausgingen. Hive sendet nun bei jeder Frontend-Anfrage Hardening-Response-Header – das Basis-Trio (X-Content-Type-Options, X-Frame-Options, Referrer-Policy) kostenlos, sowie HSTS, Permissions-Policy, eine „report-only-first“-Content-Security-Policy und das Cross-Origin-Isolation-Trio in der Professional-Version. Header, die bereits von Ihrem Server oder einem anderen Plugin gesendet wurden, werden erkannt und unverändert belassen.
Das Dashboard wurde um zwei Anzeigen erweitert (0–100 sowie eine Bewertung von A+ bis F im Stil des Mozilla Observatory), die die Erkennungsreichweite und die Sicherheitshärte bewerten und über Deep Links zu den einzelnen Punkten verfügen. Business bieten zusätzlich eine „Append-only“-Funktion Protokoll der Prüfvorgänge — Anmeldungen, fehlgeschlagene Anmeldungen, Passwortzurücksetzungen, Profilaktualisierungen, Rollenänderungen einschließlich des stellvertretenden Benutzers sowie die Erkennung neuer IP-Adressen — mit Filtern, CSV-/JSON-Export und WordPress-DSGVO-Integration. Es läuft auf einem dedizierten audit_log Tabelle, die durch Schema v9 hinzugefügt wurde.
2.1.0 und 2.1.4: Benutzererfahrung für Management und Administration
Mit Version 2.1.0 lässt sich Hive nun ohne zusätzliches untergeordnetes Plugin über das MainWP-Dashboard fernverwalten, und jede blockierte Antwort erhält einen zuordenbaren Referenzcode wie beispielsweise WAF_SQLI-3F9A2B71, auf der Seite angezeigt und als X-RIP-Ref Header. Das Token ist ein Einweg-Hash aus IP-Adresse, Grund und Uhrzeit, sodass ein fälschlicherweise gesperrter Besucher eine kurze Zeichenfolge angeben kann, die ein Administrator in den Protokollen findet, ohne dabei persönliche Daten preiszugeben.
In Version 2.1.4 wurde der Admin-Bereich der Firewall überarbeitet: Die Registerkarte „Übersicht“ ist nun ein Mini-Dashboard mit dem Status der einzelnen Module und einem Stream der jüngsten Firewall-Ereignisse, die Registerkarte „Server-Einrichtung“ fasst alle Webserver-Einstellungen an einem Ort zusammen, und die Einrichtung des erweiterten Schutzes ist nun überprüfbar – der Status gibt an, ob der Schutzmechanismus bei der aktuellen Anfrage tatsächlich ausgeführt wurde.
So führen Sie ein Update durch
Der integrierte Update-Checker fragt GitHub alle 12 Stunden ab; neue Versionen werden wie jedes andere Update auf Ihrem Plugin -Bildschirm angezeigt. Um Version 2.1.4 sofort herunterzuladen, öffnen Sie „Plugins“ → „Nach Updates suchen“. Der Firewall-Schritt im Einrichtungsassistenten führt Sie bei Neuinstallationen durch die WAF, die „verified-bot“-Aktion, den Einmal-E-Mail-Modus und den Kommentar-Honeypot mit sicheren Standardeinstellungen.