Probleme beim Einloggen

In dieser Gruppe dreht sich alles um das CMS WordPress: Erfahrungsaustausch, Termine, Tipps und Know How für Anfänger und Fortgeschrittene

Jörg Niethammer HTTPS-Umstellung bei WordPress
Obwohl DSGVO und auch Google mittlerweile HTTPS voraussetzen, gibt es immer noch genügend unsichere http-Websites. Vor allem bei kleineren WordPress-Blogs fällt das immer wieder auf.
Ich habe neulich eine HTTPS-Umstellung durchgeführt und mein Erlebtes Schritt für Schritt festgehalten: https://www.onlinesolutionsgroup.de/blog/wordpress-https-umstellung/
Viel Erfolg & schönes Wochenende!
Oliver Lenz YouTube vs. DSGVO
Wie macht man das denn nun mit den eingebetteten YouTube-Videos in Wordpress? Ich finde immer nur drei Lösungsvorschläge:
1. Erweiterter Datenschutz im Embed-Code
Ich will keinen Embed-Code verwenden. Is doch so einfach in Wordpress nur den Link in einen Beitrag zu kopieren. Außerdem ist damit nur ein Teil des Datenschutzes gedeckt.
2. Das Plugin WP YouTube Lyte
Das speichert ein Bild als Videovorschau und lässt den User erstmal klicken, bevor das Video geladen wird und somit Daten gesendet werden, also eine Zweiklick-Lösung. Ich habe das auf drei Websites ausprobiert und es funktioniert nicht. Evtl. ein Konflikt mit Jetpack?
3. Das Plugin Embed videos and respect privacy
Auch das habe ich nicht zum Laufen gebracht.
Ich finde eine Zwei-Klick-Lösung am geschmeidigsten und das scheint auch momentan das Sicherste zu sein, wenn auch nicht 100% sicher.
Kennt jemand eine weitere Lösung? Oder hat jemand ähnliche Probleme gehabt und weiß Abhilfe?
Oliver Lenz
+11 weitere Kommentare
Letzter Kommentar:
Oliver Lenz
Also ich habe jetzt wieder auf WP YouTube Lyte zurück gestellt und einen Hinweis darunter geschrieben:
Hinweis: Mit Klick auf den Play-Button erklären Sie sich einverstanden, dass Nutzungsdaten an YouTube/Google gesendet werden.
Wenn das ein Bild ist, das lokal gespeichert wird und erst bei Klick auf Play die Verbindung zu Youtube hergestellt wird, dann ist ja erstmal gut.
Ich hoffe es gibt bald eine schönere Lösung, vor allem responsiv ohne feste Größenangabe.
Ralf Zschemisch [goelm] Wordpress schließt Sicherheitslücke nicht
Hallo,
Golem schreibt
/*
Eine Sicherheitslücke in Wordpress erlaubt angemeldeten Nutzern, die Installation zu übernehmen und Code auszuführen. Wordpress wusste von dem Problem seit November 2017, hat es aber bisher nicht gefixt.
*/
https://www.golem.de/news/codeausfuehrung-wordpress-schliesst-sicherheitsluecke-nicht-1806-135182.html
Beste Grüße
Ralf Zschemisch
https://blog.r23.de
Ralf Zschemisch Hanna Sturm
+4 weitere Kommentare
Letzter Kommentar:
Ralf Zschemisch
Nur für XING Mitglieder sichtbar

>Hier ist das Ticket bei wordpress mit Kommentaren
Es geht bei der Sicherheitslücke nicht um ein Problemchen mit "delete core files."
Time Line
Date What
2017/11/20 Vulnerability reported to the WordPress security team on Hackerone.
2017/11/22 The vulnerability was triaged and verified by the security team.
2017/12/12 Asked for progress.
2017/12/18 Wordpress is working on a patch. Asked for release date. No response.
2018/01/09 Asked for release date. No response.
2018/01/20 Asked for mediation on Hackerone due to the severity of the issue and the lack of communication.
2018/01/24 The WordPress security team estimates the time to fix to be 6 months.
2018/05/24 Asked for progress and/or plans on the issue, and given a reminder that we would publish it soon. No response.
2018/05/24 Sent twitter DM to a member of the security team to make sure they do not overlook the message on Hackerone.
2018/06/26 The issue remains unpatched more than 7 months after reporting.
So etwas
$newmeta['thumb'] = $_POST['thumb'];
kommunizert man nicht über ein öffentliches Ticket System sondern wendet sich an das WordPress Security Team über Hackerone.
@lenon schreibt ja auf TRAC ausdrücklich
Die kürzlich von ripstech veröffentlichte Sicherheitslücke hätte vermieden werden können, wenn man seine Implementierung akzeptiert und wp_delete_file verwendet worden wäre.
https://core.trac.wordpress.org/ticket/42986#comment:2
(wie lenon zu dieser Meinung kommt entzieht sich mir...)
Der Trac Strang hat keinen Bezug zu ripstech und der katastrophalen Kommunikation
zwischen WordPress "security" team und externen Entwicklern.
Schönes Wochenende
Donal Elsted Was zum Teufel ist "force-download.php"?
Habe neulich die Statistik meiner Webseite angeschaut und unter "Fehlerseiten" sehe ich "force-download.php" (Pfad-> "wp-content/force-download.php")
Kann mir jemand erklären, wie ernst das ist. In einem Artikel aus dem Jahr 2015 lese ich, dass es sich um ein Exploit handelt, das versucht, die wp-config.php-Datei herunterzuladen. Ich habe keine Probleme mit der Webseite festgestellt.
Boris Jäger Donal Elsted
+6 weitere Kommentare
Letzter Kommentar:
Boris Jäger
Eigentlich ist klar, warum es einen 404er erzeugt, denn es handelt sich um die Code-Datei eines Plugins und nicht um eine post oder page .
Vielleicht hat das Plugin noch Spuren auf der Seite oder in der Datenbank hinterlassen. Am besten mal mit "Search & Replace" prüfen oder mit "Sweep" die Datenbank säubern.
Eine Infektion muss nicht unbedingt stattgefunden haben, dennoch ist es ratsam die Seite und den Code diesbezüglich zu checken.

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "WordPress"

  • Gegründet: 27.07.2007
  • Mitglieder: 10.620
  • Sichtbarkeit: offen
  • Beiträge: 6.766
  • Kommentare: 36.818
  • Marktplatz-Beiträge: 13