Schwere Sicherheitslücke in Ultimate Member!
Quote from gon on July 1, 2023, 8:14 pmSeit einiger Zeit warnt Wordfence vor Ultimate Member bis V. 2.6.6.
Angeblich kann ein jedes Mitglied Adminrechte erlangen!
Da es die Hersteller weiterhin nicht schaffen, die letzten Lücken zu schließen, wird die Deinstallation angeraten. Was ich leider auch machen musste.Das Asgaros Forum braucht aber eine adäquate Benutzerverwaltung und wie ich glaube, wird hier Ultimate Member empfohlen und auch hier, in diesem Supportforum genutzt?
Vielleicht ist das der Grund für die vielen Spammer hier?Das Spammer-Problem muss doch irgendwie in den Griff zu bekommen sein?
Welches Programm ist Schuld? Asgaros, WP oder wie ich vermute Ultimate Member?
Seit einiger Zeit warnt Wordfence vor Ultimate Member bis V. 2.6.6.
Angeblich kann ein jedes Mitglied Adminrechte erlangen!
Da es die Hersteller weiterhin nicht schaffen, die letzten Lücken zu schließen, wird die Deinstallation angeraten. Was ich leider auch machen musste.
Das Asgaros Forum braucht aber eine adäquate Benutzerverwaltung und wie ich glaube, wird hier Ultimate Member empfohlen und auch hier, in diesem Supportforum genutzt?
Vielleicht ist das der Grund für die vielen Spammer hier?
Das Spammer-Problem muss doch irgendwie in den Griff zu bekommen sein?
Welches Programm ist Schuld? Asgaros, WP oder wie ich vermute Ultimate Member?
Quote from Asgaros on July 11, 2023, 9:54 amHallo @gon
Nein, ich nutze kein Ultimate Member. Welches Programm ist schuld? Keines! Das Problem ist, dass Bots ohne Probleme Accounts in WordPress erstellen können – trotz etlicher Captcha-Plugins, die ich getestet habe. Am besten wäre es, wenn WordPress eine eigene Lösung von Haus aus einbauen würde.
Hallo @gon
Nein, ich nutze kein Ultimate Member. Welches Programm ist schuld? Keines! Das Problem ist, dass Bots ohne Probleme Accounts in WordPress erstellen können – trotz etlicher Captcha-Plugins, die ich getestet habe. Am besten wäre es, wenn WordPress eine eigene Lösung von Haus aus einbauen würde.
Quote from gon on July 11, 2023, 9:03 pmnutze kein Ultimate Member.
oh, naja, hätte ja sein können. (habe jetzt nicht näher nachgeforscht, welche Plugins hier sonst noch laufen)
Das Problem ist, dass Bots ohne Probleme Accounts in WordPress erstellen können
Das sollte aber so nicht sein!
Ich betreue etliche Websites; eine bekanntere Mediensite war mal für Registrierungen offen. Doch hier waren die sicher natürlichen Personen das größere Übel, die verzapften den meisten Unsinn. Jedenfalls machten uns die Bots da weniger Ärger.
Wir haben später die Registrierungen nur wegen der blöden (und oft rechtswidrigen) Kommentare der Menschen wieder abgestellt, den Kommentarbereich geschlossen.
trotz etlicher Captcha-Plugins
Das Problem gibts also immer noch …
Am besten wäre es, wenn WordPress eine eigene Lösung von Haus aus einbauen würde.
Stimmt.
Oder vllt. gibts doch irgendein Plugin, mit dem man das abstellen könnte?
Denke, ich werde da mal im WP Forum nachfragen, wie das heutzutage gehen könnte.
Denn zwei Dinge sind mir wichtig:
- Das dieses Board, die Foren endlich mal Botfrei werden. Es ist ja übervoll von Spams, man muss die echten Beiträge mit der Lupe suchen. Das schmälert den Wert dieses Plugins!
- Sollte ich heuer ein Board/Forum bauen – mit dem einzig wirklich schnellen, einfachen, klar strukturierten Asgaros Forum!
Alternativen gibts für mich keine (nein, auch die Standalone Foren-SW Platzhirschen mag ich nicht) – aber Asgaros läuft ja nicht standalone, ohne WP …Daher biete ich auch meine Hilfe an, falls ich als erfahrenerer, aber ewig lernender WP Nutzer hier irgendwas helfen kann. Und sei es nur Bots löschen …
Wie auch immer, sobald ich was nützliches erfahre, melde ich mich wieder – bis dahin schönen Sommer!
nutze kein Ultimate Member.
oh, naja, hätte ja sein können. (habe jetzt nicht näher nachgeforscht, welche Plugins hier sonst noch laufen)
Das Problem ist, dass Bots ohne Probleme Accounts in WordPress erstellen können
Das sollte aber so nicht sein!
Ich betreue etliche Websites; eine bekanntere Mediensite war mal für Registrierungen offen. Doch hier waren die sicher natürlichen Personen das größere Übel, die verzapften den meisten Unsinn. Jedenfalls machten uns die Bots da weniger Ärger.
Wir haben später die Registrierungen nur wegen der blöden (und oft rechtswidrigen) Kommentare der Menschen wieder abgestellt, den Kommentarbereich geschlossen.
trotz etlicher Captcha-Plugins
Das Problem gibts also immer noch …
Am besten wäre es, wenn WordPress eine eigene Lösung von Haus aus einbauen würde.
Stimmt.
Oder vllt. gibts doch irgendein Plugin, mit dem man das abstellen könnte?
Denke, ich werde da mal im WP Forum nachfragen, wie das heutzutage gehen könnte.
Denn zwei Dinge sind mir wichtig:
- Das dieses Board, die Foren endlich mal Botfrei werden. Es ist ja übervoll von Spams, man muss die echten Beiträge mit der Lupe suchen. Das schmälert den Wert dieses Plugins!
- Sollte ich heuer ein Board/Forum bauen – mit dem einzig wirklich schnellen, einfachen, klar strukturierten Asgaros Forum!
Alternativen gibts für mich keine (nein, auch die Standalone Foren-SW Platzhirschen mag ich nicht) – aber Asgaros läuft ja nicht standalone, ohne WP …
Daher biete ich auch meine Hilfe an, falls ich als erfahrenerer, aber ewig lernender WP Nutzer hier irgendwas helfen kann. Und sei es nur Bots löschen …
Wie auch immer, sobald ich was nützliches erfahre, melde ich mich wieder – bis dahin schönen Sommer!
Quote from Asgaros on July 13, 2023, 5:51 amDanke @gon!
Es ist leider ein ewiges Katz und Maus Spiel. Versuchte habe ich es schon mit reCaptcha, hCaptcha, Honeypot – selbst eine E-Mail-Verifikation hat nichts gebracht. Ich werde nicht aufgeben, bis endlich Ruhe herrscht. 😀
Danke @gon!
Es ist leider ein ewiges Katz und Maus Spiel. Versuchte habe ich es schon mit reCaptcha, hCaptcha, Honeypot – selbst eine E-Mail-Verifikation hat nichts gebracht. Ich werde nicht aufgeben, bis endlich Ruhe herrscht. 😀
Quote from gon on July 13, 2023, 11:59 amMan hat ja nur die Möglichkeiten:
- Nur mit WP: Einstellungen > Allgemein: “Jeder kann sich registrieren” zulassen. Aber egal was man bei Diskussionen einstellt, es hat ja keinen Einfluss auf das Forum? Oder könnte man irgendwelche
user can ... commentsSachen auch dafür nutzen?- Mit einem Mitgliedsschafts-Plugin lässt sich zwar weit mehr steuern und sichern (u.a. eben auch eine manuelle Freischaltung der Benutzer uvam) – aber scheinbar sind derzeit alle diese Plugins im Brennpunkt der Hacks.
Nie las man bei Wordfence mehr (auch ausgenutzte!) Lücken in diesen Plugins (u.a. eben Ultimate Member).
Betrifft auch Plugins, welche nur die Registrierungen steuern! (z.B. hier)- Oder: Alle Foren als genehmigungspflichtig einstellen. Dann hat man zwar immer noch die Idioten und Bots in Benutzer drin, aber die können dann nichts posten.
Doch solche Restriktionen sind halt auch nicht jedem Foristen und Forenbetreiber angenehm …selbst eine E-Mail-Verifizierung hat nichts gebracht
Was wurde verifiziert? Die Registrierung oder / und die Beiträge? Wie war die umgesetzt? Mit einem Plugin oder ?
Ich werde nicht aufgeben, bis endlich Ruhe herrscht.
Super!
Wie gesagt, ich helfe wenn und wo ich kann
Man hat ja nur die Möglichkeiten:
- Nur mit WP: Einstellungen > Allgemein: “Jeder kann sich registrieren” zulassen. Aber egal was man bei Diskussionen einstellt, es hat ja keinen Einfluss auf das Forum? Oder könnte man irgendwelche
user can ... commentsSachen auch dafür nutzen? - Mit einem Mitgliedsschafts-Plugin lässt sich zwar weit mehr steuern und sichern (u.a. eben auch eine manuelle Freischaltung der Benutzer uvam) – aber scheinbar sind derzeit alle diese Plugins im Brennpunkt der Hacks.
Nie las man bei Wordfence mehr (auch ausgenutzte!) Lücken in diesen Plugins (u.a. eben Ultimate Member).
Betrifft auch Plugins, welche nur die Registrierungen steuern! (z.B. hier) - Oder: Alle Foren als genehmigungspflichtig einstellen. Dann hat man zwar immer noch die Idioten und Bots in Benutzer drin, aber die können dann nichts posten.
Doch solche Restriktionen sind halt auch nicht jedem Foristen und Forenbetreiber angenehm …
selbst eine E-Mail-Verifizierung hat nichts gebracht
Was wurde verifiziert? Die Registrierung oder / und die Beiträge? Wie war die umgesetzt? Mit einem Plugin oder ?
Ich werde nicht aufgeben, bis endlich Ruhe herrscht.
Super!
Wie gesagt, ich helfe wenn und wo ich kann
Quote from Minna_1234 on September 4, 2023, 4:33 pmo
o
