Muster-Plugin Beschreibung / Funktionen:

Beachten Sie, es handelt sich hierbei nur im Testplugin, keine tatsächliches Plugin mit einer Funktion. Das Test-Plugin lässt sich aber als Grundlage für ein richtiges Plugin nutzen.

Funktionen:
– Erzeugt unter “Einstellungen” den Menu-Punkt “Mein Plugin – HNP”
– Erzeugt durch Klick auf den neuen Menu-Punkt Zugang zu einer Optionen-Seite
– Erzeugt ein Text-Eingabe-Feld auf der Optionenfeld, zudem einen Speichern-Button
– Die eingetragenen Text-Eingabe-Daten können via Shortcode im Frontend angezeigt werden
– Das Shortcode ist [hnp_mein_plugin]

<?php
/*
Plugin Name: Mein Plugin - HNP Edition
Description: Ein WordPress Plugin mit Option-Seite und Shortcode - HNP Edition. Ohne Sicherheit.
Author: Homepage-nach-Preis
Version: 1.0
Author URI: https://homepage-nach-preis.de/
License: GPLv3
*/

// Fügt die Option-Seite im Backend hinzu
function hnp_mein_plugin_option_page() {
    add_options_page('Mein Plugin Optionen - HNP', 'Mein Plugin - HNP', 'manage_options', 'hnp-mein-plugin', 'hnp_mein_plugin_option_page_content');
}
add_action('admin_menu', 'hnp_mein_plugin_option_page');

// Funktion für den Inhalt der Option-Seite
function hnp_mein_plugin_option_page_content() {
    ?>
    <div class="wrap">
        <h1>Mein Plugin Einstellungen - HNP</h1>
        <form method="post" action="options.php">
            <?php
            // Fügt die WordPress Einstellungsfelder hinzu
            settings_fields('hnp_mein_plugin_settings');
            do_settings_sections('hnp-mein-plugin');
            submit_button('Speichern');
            ?>
        </form>
    </div>
    <?php
}

// Funktion für die Erstellung der Einstellungsfelder
function hnp_mein_plugin_settings_init() {
    add_settings_section('hnp_mein_plugin_section', 'Allgemeine Einstellungen - HNP', 'hnp_mein_plugin_section_callback', 'hnp-mein-plugin');
    add_settings_field('hnp_mein_plugin_text_input', 'Text Input - HNP', 'hnp_mein_plugin_text_input_callback', 'hnp-mein-plugin', 'hnp_mein_plugin_section');
    register_setting('hnp_mein_plugin_settings', 'hnp_mein_plugin_text_input');
}
add_action('admin_init', 'hnp_mein_plugin_settings_init');

// Callback-Funktion für die Sektionsüberschrift
function hnp_mein_plugin_section_callback() {
    echo 'Hier können Sie Ihre Einstellungen vornehmen - HNP.';
}

// Callback-Funktion für das Text-Input Feld
function hnp_mein_plugin_text_input_callback() {
    $text_input = get_option('hnp_mein_plugin_text_input');
    echo '<input type="text" name="hnp_mein_plugin_text_input" value="' . esc_attr($text_input) . '" />';
}

// Shortcode-Funktion zum Anzeigen der gespeicherten Daten im Frontend
function hnp_mein_plugin_shortcode() {
    $text_input = get_option('hnp_mein_plugin_text_input');
    return '<p>' . esc_html($text_input) . '</p>';
}
add_shortcode('hnp_mein_plugin', 'hnp_mein_plugin_shortcode');

?>

Der Code bietet die oben genannten Funktionen, aber keine Sicherheit. Deswegen sollte der Code / das Plugin geschützt werden – und zwar folgend:

Schützen des Plugins vor Hacking / XSS Attacken:

<?php
/*
Plugin Name: Mein Plugin - HNP Edition
Description: Ein WordPress Plugin mit Option-Seite und Shortcode - HNP Edition. Mit Sicherheit.
Author: Homepage-nach-Preis
Version: 1.0
Author URI: https://homepage-nach-preis.de/
License: GPLv3
*/

// ABSPATH -- Schützt vor direkte Zugriffe auf die Plugin-Datei
defined('ABSPATH') or die('Huh, are you trying to cheat?');

// Fügt die Option-Seite im Backend hinzu -- current_user_can gewährleistet, dass nur User mit ausreichenden Rechten auf die Options-Seite zugreifen können
// esc_html() gewährleistet, dass die Ausgabe nicht als ausführbarer Code interpretiert wird
function hnp_mein_plugin_option_page() {
    if (!current_user_can('manage_options')) {
        wp_die('You do not have enough permission to view this page');
    }

    add_options_page('Mein Plugin Optionen - HNP', 'Mein Plugin - HNP', 'manage_options', 'hnp-mein-plugin', 'hnp_mein_plugin_option_page_content');
}
add_action('admin_menu', 'hnp_mein_plugin_option_page');

// Funktion für den Inhalt der Option-Seite
function hnp_mein_plugin_option_page_content() {
    ?>
    <div class="wrap">
        <h1><?php echo esc_html__('Mein Plugin Einstellungen - HNP', 'hnp'); ?></h1>
        <form method="post" action="options.php">
            <?php
            // Fügt die WordPress Einstellungsfelder hinzu
            settings_fields('hnp_mein_plugin_settings');
            do_settings_sections('hnp-mein-plugin');
            submit_button(esc_html__('Speichern', 'hnp'));
            ?>
        </form>
    </div>
    <?php
}

// Funktion für die Erstellung der Einstellungsfelder -- sanitize_text_field unerwünschte HTML- oder JavaScript-Tags entfernen
function hnp_mein_plugin_settings_init() {
    add_settings_section('hnp_mein_plugin_section', esc_html__('Allgemeine Einstellungen - HNP', 'hnp'), 'hnp_mein_plugin_section_callback', 'hnp-mein-plugin');
    add_settings_field('hnp_mein_plugin_text_input', esc_html__('Text Input - HNP', 'hnp'), 'hnp_mein_plugin_text_input_callback', 'hnp-mein-plugin', 'hnp_mein_plugin_section');
    register_setting('hnp_mein_plugin_settings', 'hnp_mein_plugin_text_input', 'sanitize_text_field');
}
add_action('admin_init', 'hnp_mein_plugin_settings_init');

// Callback-Funktion für die Sektionsüberschrift
function hnp_mein_plugin_section_callback() {
    echo esc_html__('Hier können Sie Ihre Einstellungen vornehmen - HNP.', 'hnp');
}

// Callback-Funktion für das Text-Input Feld
function hnp_mein_plugin_text_input_callback() {
    $text_input = get_option('hnp_mein_plugin_text_input');
    echo '<input type="text" name="hnp_mein_plugin_text_input" value="' . esc_attr($text_input) . '" />';
}

// Shortcode-Funktion zum Anzeigen der gespeicherten Daten im Frontend
function hnp_mein_plugin_shortcode() {
    $text_input = get_option('hnp_mein_plugin_text_input');
    return '<p>' . esc_html($text_input) . '</p>';
}
add_shortcode('hnp_mein_plugin', 'hnp_mein_plugin_shortcode');

// Prüfe auf Leerzeichen / Enter nach dem Abschluss-Tag
?>

current_user_can

Die Funktion ‘current_user_can(‘manage_options’)’ ist eine Berechtigungsprüfungsfunktion in WordPress. Mit dieser Funktion wird überprüft, ob der aktuelle angemeldete Benutzer die Berechtigung hat, auf eine bestimmte Funktion oder Seite zuzugreifen.

Im Kontext des gegebenen Codes wird ‘current_user_can(‘manage_options’)’ verwendet, um sicherzustellen, dass nur Benutzer mit ausreichenden Berechtigungen auf die Optionsseite des Plugins zugreifen können.

Sollte ein User nicht über die erforderlichen Berechtigungen verfügt, wird die Funktion ‘wp_die()’ aufgerufen. Diese Funktion zeigt eine Fehlermeldung an und bricht die weitere Ausführung des Codes ab. Dies hindert den Benutzer daran, auf die Optionsseite zuzugreifen. Und schützt somit vor unerwünschten Änderungen.

Durch die Verwendung von ‘current_user_can(‘manage_options’)’ wird also sichergestellt, dass nur berechtigte Benutzer Zugriff auf die Optionsseite des Plugins haben, was die Sicherheit und Integrität des Systems verbessert.

defined(‘ABSPATH’)

Die Zeile ‘defined(‘ABSPATH’) or die(‘Huh, are you trying to cheat?’);’ ist eine Sicherheitsmaßnahme, die sicherstellt, dass der direkte Zugriff auf die Plugin-Datei verhindert wird.

Indem ‘defined(‘ABSPATH’)’ überprüft wird, wird überprüft, ob die Konstante ‘ABSPATH’ definiert ist. Diese Konstante enthält den absoluten Pfad zum Hauptverzeichnis der WordPress-Installation. Sie wird meist in der ‘wp-config.php’-Datei definiert.

Wenn die Konstante ‘ABSPATH’ nicht definiert ist, deutet dies darauf hin, dass scheinbar die Plugin-Datei direkt aufgerufen wird. Also nicht über das WordPress-System. Und das könnte auf einen Versuch hinweisen, unberechtigten Zugriff oder Manipulation vorzunehmen.

In solch einem Fall wird ‘or die(‘Huh, are you trying to cheat?’);’ ausgeführt. Diese Anweisung bricht die Ausführung des Codes ab und gibt die angegebene Fehlermeldung aus. Dadurch wird verhindert, dass der restliche Code im Plugin ausgeführt wird.

Durch die Verwendung dieser Sicherheitsmaßnahme wird sichergestellt, dass das Plugin nur über das WordPress-System aufgerufen wird und nicht direkt über den Dateipfad. Dadurch wird das Risiko von potenziell unsicheren oder unerlaubten Zugriffen stark reduziert.

esc_html()

Die Funktion ‘esc_html()’ wird verwendet, um eine Zeichenkette (String) sicher für die Ausgabe im HTML-Code zu machen. Sie konvertiert bestimmte Zeichen in ihre entsprechenden HTML-Entitäten. Um potenziell unsicheren Code zu verhindern und Cross-Site Scripting (XSS) Angriffe zu vermeiden.

Durch die Anwendung von ‘esc_html()’ wird sichergestellt, dass Sonderzeichen wie ‘<‘, ‘>’, ‘&’, ‘”‘, ”’ usw. in HTML-Entitäten umgewandelt werden. Dadurch wird verhindert, dass unerwünschter Code ausgeführt oder HTML-Tags interpretiert werden, die potenziell schädlichen Code enthalten könnten.

Die Verwendung von ‘esc_html()’ ist eine wichtige Sicherheitsmaßnahme in der Webentwicklung, insbesondere bei der Verarbeitung von Benutzereingaben. Sie hilft dabei, die Integrität und Sicherheit von Webanwendungen zu gewährleisten, indem sie verhindert, dass bösartiger Code in die Ausgabe gelangt und potenzielle Schwachstellen ausnutzt.

Es ist eine bewährte Praxis, ‘esc_html()’ immer dann anzuwenden, wenn Benutzereingaben in HTML-Dokumente eingefügt werden, um das Risiko von XSS-Angriffen zu minimieren und eine sichere Ausgabe zu gewährleisten.

sanitize_text_field()

Die Funktion ‘sanitize_text_field()’ wird verwendet, um eine Zeichenkette (String) zu bereinigen. Also sicher, für die Verwendung in einer Datenbank oder als Ausgabe in HTML, zu machen. Sie entfernt potenziell schädlichen oder unerwünschten Code aus dem übergebenen Text und sorgt für eine sichere Aufnahme von Benutzereingaben.

Durch die Anwendung von ‘sanitize_text_field()’ werden unerwünschte Zeichen wie HTML-Tags, JavaScript-Code oder andere spezielle (XSS relevante) Zeichen entfernt oder in eine sichere Form umgewandelt. Dadurch wird das Risiko von Sicherheitslücken wie Cross-Site Scripting (XSS) minimiert.

Die Verwendung von ‘sanitize_text_field()’ ist besonders wichtig, wenn Benutzereingaben in Datenbanken gespeichert oder in HTML-Ausgaben verwendet werden. Denn sie hilft dabei, sicherzustellen, dass die Daten den erwarteten Formatierungsregeln entsprechen und keine potenziell schädlichen Inhalte enthalten.

Es ist empfehlenswert, ‘sanitize_text_field()’ einzusetzen, wenn Benutzereingaben verarbeitet werden, insbesondere wenn sie für Datenbankabfragen, dynamische Inhalte oder Ausgaben in HTML-Templates verwendet werden. Dies trägt dazu bei, die Sicherheit der Anwendung zu verbessern und das Risiko von Angriffen zu verringern, welche durch unsaubere oder unzureichend validierte Benutzereingaben ausgelöst werden könnten.

Plugin-Download:

Das fertige Muster-Plugin (mit Sicherheitsoptimierungen) kann hier runtergeladen werden:
[sdm_download id=”7784″ fancy=”0″]
Der Code / das Plugin darf frei genutzt werden, ob privat oder gewerblich. Der Code darf frei verändert / erweitert werden. Eine Urhebernennung ist nicht zwingend notwendig und auch die Authoren-Tags dürfen entfernt werden. Bitte beachten Sie, dass dieser Download keinerlei Gewährleistung oder Support beinhaltet. Jegliche Nutzung oder Installation erfolgt auf eigene Verantwortung.

Der Beitrag Muster WordPress Plugin mit Anti-Hacking Funktionen erschien zuerst auf Homepage nach Preis - Webseite erstellen lassen. Geschrieben von Homepage-nach-Preis.

Erfolgreiche, gut besuchte Webseiten oder Inhaber von stark-umkämpften Business-Bereichen sind nahezu immer Zielscheiben von Hackern oder Script-Kids. Eine Webseite bzw. einen Server durch Ddos-Flut-Attacken zu überlasten oder direkt das Passwort durch Brute-Force-Attacken zu cracken, ist eine Standardvorgehensweise von Online-Angreifern. WordPress hat eine Schwachstelle im System, wodurch solche Vorgehensweisen sehr effektiv sind – die XML-RPC Funktion.

Schwachstelle ist die Schnittstelle XML-RPC

Die xmlrpc.php Datei wird fast immer als Zielscheibe eines WordPress-Angriffs genutzt, da diese mit wenig Aufwand – gegenüber anderen möglichen Angriffspunkten von WordPress – geknackt werden kann. Eigentlich dient die XML-RPC Funktion dazu, dass eine Verbindung zwischen externen Apps und einer Webseite hergestellt werden kann, beispielsweise kann dadurch über das Smartphone, Blog-Einträge geschrieben und veröffentlicht werden. Auch wird die Pingback-Funktion über die XML-Datei geregelt.

Diese Funktionen benötigen allerdings die meisten Webseitenbesitzer nicht und sollten daher, als Schutz vor Angriffen, abgeschaltet werden.

So wird die WordPress-Website geschützt

1. Die Xmlrpc Funktion abschalten
Um die XML-RPC Funktion zu deaktivieren, muss am Ende der Function.php, des aktuellen Themes, diese Befehle hinzugefügt werden.

2. Dateien bzw. Zugriffe in der Htaccess sperren
Als 2. Schritt sollten noch die Verzeichnisse bzw. Dateien für Direktzugriffe gesperrt werden, dazu wird folgendes am Ende der .htaccess Datei im Hauptverzeichnis der WordPress-Installation hinzugefügt.

Kostenloser Download

Hier können Sie die fertigen Befehle bzw. den Code herunterladen

[sdm_download id=”2978″ fancy=”0″]

Dies ist ein kostenloser Download, es entstehen keine Kosten und daher besteht auch keine Garantie und Gewährleistung. Die Optimierungsfiles sind nur für die Eigennutzung gestattet, eine Weitergabe ist nicht erlaubt.

Wir bieten übrigens professionelle Webseiten Optimierungen ab bereits 149 Euro. MEHR INFOS

Der Beitrag WordPress Webseite vor Hacker schützen / XML-RPC erschien zuerst auf Homepage nach Preis - Webseite erstellen lassen. Geschrieben von Homepage-nach-Preis.

Jeder Blog-Besitzer kennt sie, die unendlichen Spam-Einträge in Blog-Kommentaren. Woher kommen diese aber, wer schreibt solche Spam-Kommentare und wieso? Natürlich werden die Spam-Einträge meist nicht per Hand geschrieben, sondern von Spam-Bots automatisch erstellt. Der Hauptgrund der Einträge ist Backlink-Building, also um Links von anderen Webseiten zu erhalten und in schnellster Zeit relevant für Suchmaschinen zu werden. Ebenso soll Traffic (Besucher) für die kuriosen Spam-Betreiber-Webseiten erzeugt werden.

Steigt das Ranking dadurch?

Kurzzeitig ja, je nach Anzahl der umgesetzten Spam-Kommentare werden aber solche Webseiten früher oder später aus dem Ranking der Suchmaschinen genommen und mit einer dauerhaften “Penetration” bestraft. Für die Spam-Betreiber ist das aber nicht weiter schlimm, denn Sie besitzen hunderte solcher Webseiten und wenn halt eine Seite bestraft wurde, so wird diese einfach abgeworfen und eine neue per Fertig-Template erstellt.

Vor Spam Bots schützen

Es gibt einige Möglichkeiten um Spam-Bots zu erkennen und von einer Webseite auszuschließen, ich empfehle hierbei eine “Honey Pot” Funktion. Honey Pot heißt im deutschen Honigtopf und soll Bots anlocken um diese zu erkennen. In der Umsetzung wird beispielsweise ein verstecktes Fenster im Blog programmiert, welches von einer organischen Person nicht gesehen werden kann, da es nur im Quellcode existiert. Ein Bot hingegen sieht eine Webseite nicht gerendert, sondern nur den Quellcodes und somit auch die “Input” Tabellen. Eine versteckte Tabelle wird nur von einem Bot ausgefüllt und der Übeltäter lässt sich dadurch identifizieren.

Honey-Pot WordPress Plugin

Für WordPress muss eine solche Funktion nicht selbst geschrieben/programmiert werden. Einfach eins der vielen “Honeypot”-Plugins aus der WordPress Sammlung installieren.

Honey-Pot Php Code

Wer selbst einen Schutz einbinden möchte, kann dies über ein kleines Php-Script:

function preprocess_new_comment($commentdata)
{
if(!isset($_POST['is_legit']))
{ die('Waidmannsheil Spambot, aber nicht hier!'); }
return $commentdata;
}
if(function_exists('add_action'))
{add_action('preprocess_comment', 'preprocess_new_comment');
}

Natürlich würde auch eine Captcha-Funktion die meisten Spam-Bots blockieren, allerdings verringert dies ebenso die Aktivitäten von Besuchern und ist somit nicht die beste Lösung.

Wir bieten Webseiten Optimierungen ab bereits 149 Euro. MEHR INFOS

Der Beitrag Webseite vor Spam-Bots schützen erschien zuerst auf Homepage nach Preis - Webseite erstellen lassen. Geschrieben von Homepage-nach-Preis.

Https ist die Abkürzung für “Hypertext Transfer Protocol Secure” (sicheres Hypertext-Übertragungsprotokoll) und ist eine Übertragungsmethode für abhörsicheres surfen im Internet, dies ist auch als SSL-Zertifikat bekannt. Bei dieser sicheren Kommunikation zwischen Server (Homepage, Webseiten & Onlineshops) und Besucher, werden alle eingehenden und ausgehenden Daten verschlüsselt. Zuzüglich wird der Besucher und ebenso die Homepage authentifiziert, das bedeutet, dass beide Seiten der Verbindung beim Aufbau der Kommunikation die Identität des Verbindungspartners überprüfen können.

Webseiten Besucher & Besitzer

Ohne eine eindeutige Identifizierung durch eine HTTPS-Verbindung, lässt sich nicht nachprüfen, wer der tatsächliche Inhaber der Webseite ist und ebenso nicht, wer der tatsächliche Besucher der Webseite ist. Auch Daten, Nachrichten und sogar Kreditkartennummern bei zum Beispiel Onlineshop-Käufe, lassen sich ohne HTTPS-Verschlüsselung von jeder weiteren Person im selben Netzwerk abfangen. Ein solcher Datendiebstahl kann großen Schaden bei Privat-Personen und Homepage-Besitzer anrichten, wenn Beispielweise am Monatsende eine XXXX € Kreditkarten-Abrechnung vorliegt, ohne dass die Kreditkarte genutzt wurde. Deswegen sollte jeder Onlineshop, zum Eigenschutz und Schutz der Kunden, mit einer sicheren HTTPS-Verbindung arbeiten.

SSL-Verschlüsselungen dienen nicht nur als Schutz für Käufer & Verkäufer, ebenso wird Vertrauen bei potenziellen Kunden aufgebaut. Deswegen ist auch für eine höhere Kundenerzeugungsrate eine solche Verschlüsselung hilfreich. Ein weiterer positiver Effekt ist eine hohe Versicherungssumme bei den meisten SSL-Paketen, hierbei haftet der SSL-Anbieter bei Schaden durch Sniffing oder Hacking. Auch im Ranking von Suchmaschinen (SEO) haben Webseiten mit einem solchen SSL-Zertifikat einen kleinen Bonus, dieser ist aber nicht allzu hoch.

Benötigen Sie eine SSL-Optimierung auf Ihrer Webseite? Wir erstellen solche Optimierungen für Sie. HOMEPAGE OPTIMIERUNGEN INFOS

Der Beitrag HTTPS – Mehr Sicherheit auf Webseiten erschien zuerst auf Homepage nach Preis - Webseite erstellen lassen. Geschrieben von Homepage-nach-Preis.