Plugin Login-Info_XH
Moderator: Tata
Plugin Login-Info_XH
Login-Info_XH 1.0 beta1
https://olaf.penschke.net/?CMSimple_XH/ ... in-Info_XH
Was tut das Plugin und warum?
Eigentlich nichts weiter, als dass es bei fehlerhaften Login-Versuchen eine E-Mail an eine definierte Adresse schickt.
Das Warum ist auch leicht beantwortet. Durch Zufall ist es aufgefallen, dass bei einer Site regelmäßig und in großer Zahl fehlerhafte Logins aufgetaucht sind. Aber wer kontrolliert schon regelmäßig das Logfile?
Ja, ich weiß, ein Plugin ist dafür eigentlich vollkommen overdressed, aber ...
es war erst ein 10-Zeiler Add-on.
Leider hat der reine E-Mail-Versand per PHP nicht lange funktioniert, bis es vom Provider geblockt wurde.
Die Alternative dazu war der Versand per SMTP mittels PHPMailer. Und PHPMailer und Add-on, das passt nicht wirklich zusammen.
Im Übrigen ein Problem, welches auch beim internen Formular auftauchen kann und auch bei AdvancedForm_XH.
Ich habe eine Site bei einem Provider, da ist der Versand per PHP generell nicht verfügbar.
https://olaf.penschke.net/?CMSimple_XH/ ... in-Info_XH
Was tut das Plugin und warum?
Eigentlich nichts weiter, als dass es bei fehlerhaften Login-Versuchen eine E-Mail an eine definierte Adresse schickt.
Das Warum ist auch leicht beantwortet. Durch Zufall ist es aufgefallen, dass bei einer Site regelmäßig und in großer Zahl fehlerhafte Logins aufgetaucht sind. Aber wer kontrolliert schon regelmäßig das Logfile?
Ja, ich weiß, ein Plugin ist dafür eigentlich vollkommen overdressed, aber ...
es war erst ein 10-Zeiler Add-on.
Leider hat der reine E-Mail-Versand per PHP nicht lange funktioniert, bis es vom Provider geblockt wurde.
Die Alternative dazu war der Versand per SMTP mittels PHPMailer. Und PHPMailer und Add-on, das passt nicht wirklich zusammen.
Im Übrigen ein Problem, welches auch beim internen Formular auftauchen kann und auch bei AdvancedForm_XH.
Ich habe eine Site bei einem Provider, da ist der Versand per PHP generell nicht verfügbar.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: Plugin Login-Info_XH
Sehr schön, macht was es soll. Einzig bei bplaced gibt es eine weiße Seite mit Fehlermeldung.olape wrote: ↑Fri Jul 14, 2023 11:02 amLogin-Info_XH 1.0 beta1
https://olaf.penschke.net/?CMSimple_XH/ ... in-Info_XH
Re: Plugin Login-Info_XH
Die bplaced-free-Accounts sind oft etwas speziell.
Was sagt denn die Fehlermeldung?
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: Plugin Login-Info_XH
Ja eben, drum habe ich das auch nicht weiter ausgeführt. Die Funktion "fsockopen" und "cURL" ist hier nicht verfügbar.
Wennst du es unbedingt wissen willst.
--------------------------------------------Uncaught PHPMailer\PHPMailer\Exception: SMTP Error: Could not connect to SMTP host. Failed to connect to server in /.../www/xh176/plugins/login_info/phpmailer/PHPMailer.php:2233
Stack trace:
#0 /.../www/xh176/plugins/login_info/phpmailer/PHPMailer.php(2019): PHPMailer\PHPMailer\PHPMailer->smtpConnect(Array)
#1 /.../www/xh176/plugins/login_info/phpmailer/PHPMailer.php(1678): PHPMailer\PHPMailer\PHPMailer->smtpSend('Date: Sat, 15 J...', 'Fehlerhafter Lo...')
#2 /.../www/xh176/plugins/login_info/phpmailer/PHPMailer.php(1516): PHPMailer\PHPMailer\PHPMailer->postSend()
#3 /.../www/xh176/plugins/login_info/logininfofuncs.php(134): PHPMailer\PHPMailer\PHPMailer->send()
#4 /.../www/xh176/plugins/login_info/index.php(33): op_loginInfo()
#5 /.../www/xh176/cmsimple/cms.php(1115): include('/.../www/...')
#6 /.../www/xh176/index.php(6): include('/.../www/...')
#7 {main}
thrown in /.../www/xh176/plugins/login_info/phpmailer/PHPMailer.php on line 2233
*EDIT
Der Debug-Mode zeigt bei "Einstellungen" > "Info" auch noch folgendes an:
WARNING: get_headers() [function.get-headers]: Zugriff via http:// steht ab bplaced pro zur Verfügung. Mehr Infos unter: https://my.bplaced.net/upgrade-center
/.../www/xh176/cmsimple/adminfuncs.php:196
WARNING: get_headers() [function.get-headers]: This function may only be used against URLs
/.../www/xh176/cmsimple/adminfuncs.php:196
Re: Plugin Login-Info_XH
Ja, das muss ich wissen
Mal ernsthaft.
Da würde ich vielleicht überlegen, ob ich da noch was in den Systemcheck des Plugins aufnehmen kann / muss.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: Plugin Login-Info_XH
Hallo,
aus Neugier habe ich das Plugin installiert und nachdem ich mit einer "Mülladresse" alle Daten bei der Konfiguration eingegeben habe (siehe Bild [ external image ]), hat es eigentlich funktioniert. Ohne nicht!
Eine Info per Mail kam = OK, aber ich würde mir wünschen, wenn in dieser eMail auch der falsch eingetragene Wert/Name mit angezeigt wird. Weiß nicht, ob sowas geht ?
Es ist ja der Login als Administrator, alle anderen Logins (reigster, memeberpages) haben keinen Einfluss. Wer sich als sog. "Administrator" einloggen will, würde ich schon gerne wissen.
es grüßt
motsch
aus Neugier habe ich das Plugin installiert und nachdem ich mit einer "Mülladresse" alle Daten bei der Konfiguration eingegeben habe (siehe Bild [ external image ]), hat es eigentlich funktioniert. Ohne nicht!
Eine Info per Mail kam = OK, aber ich würde mir wünschen, wenn in dieser eMail auch der falsch eingetragene Wert/Name mit angezeigt wird. Weiß nicht, ob sowas geht ?
Es ist ja der Login als Administrator, alle anderen Logins (reigster, memeberpages) haben keinen Einfluss. Wer sich als sog. "Administrator" einloggen will, würde ich schon gerne wissen.
es grüßt
motsch
You do not have the required permissions to view the files attached to this post.
Re: Plugin Login-Info_XH
Ja, klar, es muss alles korrekt ausgefüllt sein, sonst kann es nicht funktionieren.
Ja, es geht nur um den Admin-Login.
Aber was sollte denn da abgefragt werden.
Es wird ja nur ein Passwort eingegeben, keine E-Mail-Adresse, kein Benutzername.
Selbst wenn das falsche Passwort mit in der E-Mail stehen würde, was würde das denn bringen?
Übersehe ich hier etwas?
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: Plugin Login-Info_XH
Hallo,
naja, wenn es nicht so interessant ist, dann nicht.
Habe gerade mal versucht auf die Seite von https://olaf.penschke.net/ als Admin einzuloggen, waren logischerweise Fehlmeldungen (die hoffentlich mit dem PlugIn gemeldet werden), aber ich bzw. der Besitzer der Seite möchte vielleicht doch wissen, wer da war und versucht hat?
Das ist mein Gedanke ...
... Login-Link kann man zwar "deaktivieren", aber ???
Egal,
war nur mal ne Anfrage, vergesst es!
motsch
naja, wenn es nicht so interessant ist, dann nicht.
Habe gerade mal versucht auf die Seite von https://olaf.penschke.net/ als Admin einzuloggen, waren logischerweise Fehlmeldungen (die hoffentlich mit dem PlugIn gemeldet werden), aber ich bzw. der Besitzer der Seite möchte vielleicht doch wissen, wer da war und versucht hat?
Das ist mein Gedanke ...
... Login-Link kann man zwar "deaktivieren", aber ???
Egal,
war nur mal ne Anfrage, vergesst es!
motsch
Re: Plugin Login-Info_XH
Das verstehe ich schon, aber:
diese Information ist ja beim Login gar nicht vorgesehen. Es gibt nur das Passwort.
Und selbst wenn, dann würde ein Angreifer doch versuchen, vorhandene User - Passwortkombinationen zu erraten und nicht seinen Namen eingeben.
Die IP-Adresse ist das einzig Greifbare. Und auch diese ist eigentlich nur von geringem Nutzen. Denn der größte Teil der Adressen wird ja dynamisch vergeben, es ist also für einen „normalen“ Menschen nicht / kaum möglich, den Inhaber zu ermitteln. Und selbst wenn, könnte dieser im tiefsten Urwald sitzen. Außerdem könnte der „Angreifer“ einen Proxy nutzen und damit wäre die IP schon wieder nutzlos.
Der einzige Nutzen der IP ist tatsächlich, dass, wenn man das Protokoll von XH einsieht, herauszubekommen ist, ob es im Nachgang eine erfolgreiche Anmeldung mit derselben IP-Adresse gab. Anhand dessen könnte man dann etwas gezielter handeln (War es möglicherweise einfach und tatsächlich nur ein Versehen? Gab es Änderungen zu diesem Zeitpunkt?).
Weit in die Zukunft gedacht soll das Plugin möglicherweise bei mehrfachen fehlerhaften Versuchen die IP blocken. Aber ob und wann das wird, weiß ich nicht.
Das Plugin war eigentlich gar nicht zum Veröffentlichen gedacht, sondern nur gezielt auf die Anwendung bei einem Einzellfall getrimmt.
Ich fand es dann aber schade, da mit relativ wenig Aufwand ein für alle nutzbares Plugin herauskommen konnte.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: Plugin Login-Info_XH
Hallo Olaf,
da ich mehr Daten von Angreifern brauche als das Passwort, habe ich das Plugin nach Ansicht der Konfiguration rasch wieder gelöscht.
Ein im Klartext hinterlegtes Passwort kommt für mich auch nicht in Frage (danke für den Hinweis im Konfgurationsdialog!).
Ich lese da lieber weiterhin täglich mein Logbuch.
Zur Verteidigung meiner Websites nutze ich nicht nur „CMSimple_XH anstatt WordPress”, sondern zusätzlich
die beiden frei verfügbaren Open-Source-Lösungen von Jeff Starr:
– Blackhole https://perishablepress.com/blackhole-bad-bots/
– 8G Firewall https://perishablepress.com/8g-firewall/
Diese habe ich miteinander kombiniert (Firewall modifiziert) und erspare mir das regelmäßige manuelle Erweitern der IP-Blockade um neue Bad Bots in meiner .htaccess-Datei.
Stattdessen werden auffällige Späher und Angreifer automatisch erkannt (8G Firewall) und in eine Bannliste eingetragen (Blackhole).
Das ist langfristig effektiver und hält die aggressiven Bots besser von der eigenen Website fern.
Mit einem DDoS-Angriff als Gegenreaktion (Rache …) muss man immer rechnen, aber das passiert bei manuellem Sperren genauso wie bei vollautomatischer Verbannung solcher Zeitgenossen. Und richtet sich selten gegen kleinere und private Websites.
Wie Du schon geschrieben hast: wenn ein Angreifer einen Proxy (oder andere Möglichkeiten) nutzt, ist eine Sperre schwierig.
Auch bei meiner eigenen Lösung ist es möglich, dass Angreifer einfach erneut mit IP-Adressen aus einem anderen Adressraum wiederkommen. Beim täglichen Studium meines Logbuchs sehe ich oft, dass Bots eines Betreibers für mehrere Aufgaben ganz verschiedene IP-Adressen verwenden. Oder manche auch mit aufsteigenden Nummern.
Fazit:
Die beste Verteidigung ist …
a) Verwendung eines beinahe immunen CMSs mit Privacy by Design wie dem von uns geliebten XH
b) immer nur aktuelle PHP-Version verwenden, also z. Zeit 8.0 aufwärts (seriöse ISPs machen das automatisch)
c) bei Verwendung von Apache als Webserver die neueste Version und Schutz durch geeignete Skripte in .htaccess
d) Software-Firewall wie die 7G Firewall oder deren Nachfolger 8G Firewall (beta) von Jeff Starr
e) zusätzlich Honey Pots wie Blackhole nutzen, um Bad Bots zu stoppen und für immer zu verbannen
da ich mehr Daten von Angreifern brauche als das Passwort, habe ich das Plugin nach Ansicht der Konfiguration rasch wieder gelöscht.
Ein im Klartext hinterlegtes Passwort kommt für mich auch nicht in Frage (danke für den Hinweis im Konfgurationsdialog!).
Ich lese da lieber weiterhin täglich mein Logbuch.
Zur Verteidigung meiner Websites nutze ich nicht nur „CMSimple_XH anstatt WordPress”, sondern zusätzlich
die beiden frei verfügbaren Open-Source-Lösungen von Jeff Starr:
– Blackhole https://perishablepress.com/blackhole-bad-bots/
– 8G Firewall https://perishablepress.com/8g-firewall/
Diese habe ich miteinander kombiniert (Firewall modifiziert) und erspare mir das regelmäßige manuelle Erweitern der IP-Blockade um neue Bad Bots in meiner .htaccess-Datei.
Stattdessen werden auffällige Späher und Angreifer automatisch erkannt (8G Firewall) und in eine Bannliste eingetragen (Blackhole).
Das ist langfristig effektiver und hält die aggressiven Bots besser von der eigenen Website fern.
Mit einem DDoS-Angriff als Gegenreaktion (Rache …) muss man immer rechnen, aber das passiert bei manuellem Sperren genauso wie bei vollautomatischer Verbannung solcher Zeitgenossen. Und richtet sich selten gegen kleinere und private Websites.
Wie Du schon geschrieben hast: wenn ein Angreifer einen Proxy (oder andere Möglichkeiten) nutzt, ist eine Sperre schwierig.
Auch bei meiner eigenen Lösung ist es möglich, dass Angreifer einfach erneut mit IP-Adressen aus einem anderen Adressraum wiederkommen. Beim täglichen Studium meines Logbuchs sehe ich oft, dass Bots eines Betreibers für mehrere Aufgaben ganz verschiedene IP-Adressen verwenden. Oder manche auch mit aufsteigenden Nummern.
Fazit:
Die beste Verteidigung ist …
a) Verwendung eines beinahe immunen CMSs mit Privacy by Design wie dem von uns geliebten XH
b) immer nur aktuelle PHP-Version verwenden, also z. Zeit 8.0 aufwärts (seriöse ISPs machen das automatisch)
c) bei Verwendung von Apache als Webserver die neueste Version und Schutz durch geeignete Skripte in .htaccess
d) Software-Firewall wie die 7G Firewall oder deren Nachfolger 8G Firewall (beta) von Jeff Starr
e) zusätzlich Honey Pots wie Blackhole nutzen, um Bad Bots zu stoppen und für immer zu verbannen