All-In-One Security (AIOS) – Security and Firewall

Änderungsprotokoll

5.4.3 – 8/Sep/2025

• FEATURE: Added a feature to enforce the use of strong passwords by users
• FIX: Bypass Cookie based brute force prevention using AJAX request.
• FIX: PHP notice – the translation load text domain was called incorrectly.
• FIX: Resolved call to undefined function disk_total_space in wp-security-debug.php when the hosting provider has disabled this PHP function.
• FIX: Fatal error when accessing an array query parameter when the login page has been renamed.
• FIX: Chrome console error where the maths captcha referencing a missing input ‚id‘, causing autofill and accessibility issues.
• FIX: The AIOS translation .pot file does not include TFA labels.
• FIX: When a user profile is updated, HIBP’s ‚Enforce on profile update‘ setting incorrectly triggers an error if the password has not been changed.
• TWEAK: Added ‚aios_blocked_request_redirect_url‘ filter to allow permanently blocked IPs to be redirected to a custom URL rather than 127.0.0.1.
• TWEAK: Create new AIOS tables and update current AIOS tables to use the InnoDB engine.
• TWEAK: Moved the ‚6G firewall rules‘ feature to the PHP rules tab
• TWEAK: Moved the ‚Internet bots‘ tab into the PHP rules tab
• TWEAK: Resolved issue where IP detection status was always off for Debugging tab.
• TWEAK: The Manually approve registered users list should display the error message „You cannot block your own IP address“.

5.4.2 – 15/Jul/2025

• FEATURE: Ability to enforce checking passwords against the HIBP API when updating user profiles and resetting passwords.
• FEATURE: Add ability to upgrade all unsafe http calls on the site.
• FIX: Disabled application password link doesn’t go back to the correct place.
• FIX: Fatal in the firewall’s message store.
• FIX: Malformed URLs in User accounts tab.
• FIX: Users are logged out on Contact Form 7 submit if salt postfix enabled
• FIX: The ‚Set Password‘ page does not load for the user when cookie-based brute-force protection is enabled.
• FIX: Disallow unauthorized REST request is enabled, but the /wp-json/ shows the rest routes and rest api details
• TWEAK: Add AJAX message store helper
• TWEAK: Disable user enumeration error; aios_user_lists_forbidden should return a 403 response code instead of a 500.
• TWEAK: Rename the WP Admin menu item from ‚WP Security‘ to ‚AIOS‘ and update the icon to current version.
• TWEAK: Show AJAX table action response in popup modal
• TWEAK: Make the plugin more PCP compliant
• TWEAK: Add a notice for PHP 5.6 end of support.
• TWEAK: Change url from twitter.com to x.com
• TWEAK: Made changes to the advert links in the thank you dashboard notice.

5.4.1 – 21/May/2025

• FIX: Call to undefined function AIOWPS\Firewall\sanitize_text_field() fatal error solved.
• FIX: Resolved an issue where some information in the debugging report email was inconsistent with the information shown at Dashboard > Debugging
• FIX: Fixed a “call to undefined function wp_strip_tags” error in wp-security-user-login.php
• FIX: Resolved an issue where raw HTML was displaying in the info box under User Security > User Accounts > User Display Name
• FIX: Renamed the login page when it was exposed via auth_redirect by other plugins (e.g., Gravity Forms preview)
• FIX: Fixed an issue where the password reset functionality did not work with the renamed login page feature
• FIX: Resolved missing translations on the login page after enabling the “Rename login page” feature
• FIX: Updated the custom login page layout to match the new default WordPress login page design
• FIX: Fixed the redirection issue occurring after plugin reactivation when the cookie brute force options are saved in the database
• FIX: Fixed the undefined variable $error in wp-security-user-security-commands.php
• FIX: Fixed the login lockout request issue
• FIX: Bulk „Delete selected“ action in the Audit Log list was not working
• FIX: Corrected AIOWSPEC prefixes to AIOWPSEC
• FIX: The 5G Firewall switch is behaving inversely, enabling it removes .htaccess rules, while disabling adds them.
• FIX: Fixed the HTML code shown incorrectly on the .htaccess tab
• TWEAK: Updated links to point to our new website

5.4.0 – 27/Mar/2025

• FIX: Replaced firewall URI parsers with non-WordPress methods
• FIX: Resolved PHP 5.6 compatibility issue caused by the ?? operator in 5.3.10

5.3.10 – 26/Mar/2025

• FEATURE: Added commenting capability to IP whitelists
• FEATURE: Added diagnostics reporting
• FEATURE: Added a whitelist and user role-based access limit to the REST API firewall
• FIX: „Undefined index: path“ error when front-end HTTP Authentication is enabled.
• FIX: Resolved dashboard translation issue where text lacked whitespace and was not properly translated
• TWEAK: Remove uses of unserialize without restriction of allowed_classes
• TWEAK: Refactored IP commands class to use response helper
• TWEAK: Removed WP REST API tab
• TWEAK: Switched „Critical Feature Status“ toggle buttons on the dashboard to a status light system
• TWEAK: Updated the security strength meter on the dashboard
• TWEAK: Improved the dashboard widget to display a chart showing the number of logins over the last 7 days
• TWEAK: Enhanced the maintenance mode switch on the dashboard for consistency with the rest of the plugin
• TWEAK: Converted Brute Force menu actions to use AJAX
• TWEAK: Updated seasonal notices

5.3.8 – 16/Dec/2024

• FIX: Die Plugin-Hinweise wurden aktualisiert, um übersetzungsbezogene fatale Fehler zu beheben.

5.3.7 – 5/Dec/2024

• ANPASSUNG: Ändere den Antwortcode für blockierte unautorisierte REST-Anfragen auf 403.
• ANPASSUNG: Firewall-Protokollierung vorübergehend entfernt

5.3.6 – 3/Dec/2024

• FIX: Ein Problem mit der Klasse AIOS_Firewall_Resource wurde behoben.

5.3.5 – 24/Nov/2024

• FIX: Benutzerdefinierte .htaccess-Regeln werden jetzt korrekt escaped, d.h. ohne Backslashes.
• FIX: Import-Einstellungen schlugen fehl, wenn Besucher-Sperrmeldungen eine Textausrichtung oder andere Formatierungen aufwiesen
• FIX: Der Audit-Protokoll-Filter für den Ereignistyp funktioniert jetzt korrekt, auch wenn der Ereignistyp in andere Sprachen als Englisch übersetzt wurde.
• FIX: Textüberlauf in der blauen Box auf der Seite Einstellungen > WP Versionsinfo behoben
• FIX: Einige Benutzer-Meta-Schlüssel wurden nach der Deinstallation des Plugins nicht entfernt
• FIX: Unter-Websites erkennen die Funktion Datenbank-Präfix nicht mehr fälschlicherweise als aktiv
• FIX: Fatale Fehler bei fehlenden Firewall-Ressourcen wurden verhindert und durch Debug-Log-Einträge ersetzt
• FIX: WordPress-Datenbankfehler: BLOB-, TEXT-, GEOMETRY- oder JSON-Spalten können nicht mit einem Standardwert versehen werden
• FIX: Die Funktion load_plugin_textdomain wird während der Init-Aktion aufgerufen, und die Übersetzungen werden erst danach angewendet
• FIX: Die umbenannte Login-Seite verwendet jetzt die WordPress-Übersetzungen
• ANPASSUNG: Ein Filter für PHP-Firewall-Regelvorlagen wurde hinzugefügt
• ANPASSUNG: Das Feld für den Ländercode in Audit-Protokollen wurde aktualisiert und basiert nun auf der IP-Adresse (Premium).
• ANPASSUNG: Der Text auf der Registerkarte „404-Erkennung“ wurde verbessert.
• TWEAK: Die Zulassen-Liste wurde in die Registerkarte „Schwarze Liste“ verschoben und in „Block & Zulassen-Listen“ umbenannt.
• ANPASSUNG: Die WP REST API-Funktion wurde in die Registerkarte PHP-Regeln verschoben
• ANPASSUNG: Mehrere Befehlsklassen wurden überarbeitet, um die neue AJAX-Response-Helfer-Methode zu verwenden: Tools, Dateiscan, Dateien, Einstellungen und Log-Befehlsklassen
• ANPASSUNG: Die Benutzeroberfläche für die .htaccess-Regeln, Captcha-Einstellungen und Dateischutz-Registerkarten wurde aktualisiert.
• ANPASSUNG: Hinweis im Reiter Einstellungen > Plugin-Einstellungen löschen hinzugefügt
• ANPASSUNG: Frühe Aufrufe von get_plugin_data() erfordern keine Übersetzungen mehr
• ANPASSUNG: Die Firewall-Befehlsklasse wurde überarbeitet, um die Response-Helper-Methode zu verwenden.
• ANPASSUNG: Eine Konstante AIOS_DISABLE_HTTP_AUTHENTICATION wurde hinzugefügt. Definiere diese in deiner wp-config.php, um die HTTP-Authentifizierung zu deaktivieren

5.3.4 – 21/Oct/2024

• FUNKTION: Es wurde eine HTTP-Authentifizierungsfunktion hinzugefügt, die es ermöglicht, die Website mit einem Benutzernamen/Passwort-Login zu schützen.
• FIX: Neue Methode zum Zurücksetzen der Firewall-Regeln in den allgemeinen Einstellungen hinzugefügt
• FIX: Problem mit dem Post-Cache behoben, das ein Problem bei der Verhinderung von Kommentarspam verursachte
• ANPASSUNG: Eine Hilfsklasse für API-Anfragen hinzugefügt
• ANPASSUNG: Whitespaces am Ende von Sätzen entfernt

5.3.3 – 16/Sep/2024

• FUNKTION: Captcha-Option für die klassische WooCommerce-Gastkassenseite hinzugefügt.
• FIX: Responsive Layout-Probleme mit dem Dashboard-Benachrichtigungslogo auf mobilen Geräten behoben.
• FIX: Drehkreuz-Captcha-Widget wird mehrfach angezeigt
• FIX: Speicherproblem beim Lesen größerer Hostsystem-Logdateien behoben
• FIX: Entfernte .htaccess-Optionen aus dem Menü Einstellungen auf Nginx, IIS und nicht unterstützten Webservern
• FIX: UX-Popup-Problem und Bereinigung der Firewall-Zulassungsliste behoben
• FIX: Es wurde ein Problem behoben, bei dem Massentabellenaktionen auch dann noch ausgeführt wurden, wenn der Bestätigungsdialog abgebrochen wurde.
• FIX: Null-Check hinzugefügt, um PHP-Warnungen in Firewall-Regeln zu verhindern
• ANPASSUNG: Die Aktionen in den Menüs Einstellungen, Dateisystemsicherheit, Spamschutz und Benutzersicherheit wurden ajaxiert.
• ANPASSUNG: Ajax-Unterstützung für Listentabellen und das Audit-Protokoll hinzugefügt
• ANPASSUNG: CAPTCHA-Feld zu MemberPress Passwort vergessen und Registrierungsformularen hinzugefügt
• ANPASSUNG: Ausschluss von .htaccess Tabs aus den Einstellungen, wenn der Server nicht unterstützt wird
• ANPASSUNG: Die Benutzeroberfläche der Firewall-Regeln und die Beschreibung des Malware-Scanners wurden aktualisiert.
• ANPASSUNG: Die htaccess-Backup-Methode wurde optimiert, um den zufälligen Dateinamen zu generieren
• ANPASSUNG: ‚Zugriff auf WP-Standarddateien verhindern‘ aus der .htaccess entfernt und ‚license.txt‘ zur Löschliste hinzugefügt.

5.3.2 – 06/Aug/2024

• FIX: Fehler, der es Unter-Website-Administratoren ermöglichte, Audit-Protokolle anderer Unter-Websites zu löschen
• FIX: Deaktivierte Blacklisting auf Unterseiten, da die PHP-basierte Firewall derzeit für die gesamte Multisite gilt
• FIX: Ein Problem bei der Ermittlung der Google Bot IP-Bereiche
• ANPASSUNG: Zusätzliche Schutzmaßnahmen vor dem Ändern der .htaccess-Datei hinzugefügt
• ANPASSUNG: Aktionen im Menü Werkzeuge, Firewall und Scanner werden jetzt über AJAX verarbeitet
• ANPASSUNG: Führende und abschließende Leerzeichen aus den Eingaben in der Registerkarte WHOIS-Lookup entfernt
• ANPASSUNG: Ein Bestätigungs-Pop-up wurde hinzugefügt, wenn Benutzer Datensätze in der Tabelle Debug Logs löschen.
• ANPASSUNG: Captcha-Unterstützung für das MemberPress-Plugin hinzugefügt
• ANPASSUNG: Die UX der WP REST API Optionen wurde verbessert
• ANPASSUNG: Interne Code-Verbesserungen zur Verbesserung der Wartbarkeit
• ANPASSUNG: Der Feature Manager wurde aktualisiert, um die Leistung zu verbessern
• ANPASSUNG: Das Problem der leeren Tabellen in der mobilen Ansicht wurde behoben

5.3.1 – 26/Jun/2024

• FUNKTION: CAPTCHA für passwortgeschützte Seiten/Beiträge hinzugefügt
• FIX: Captcha wird auf der BuddyPress-Registrierungsseite nicht angezeigt
• FIX: WooCommerce-Logout-Problem, wenn die Funktionen „Umbenannte Anmeldeseite“ und „Login-Whitelist“ beide aktiviert sind
• FIX: Fehlende CAPTCHAs, wenn sich mehrere WooCommerce-Anmelde- und Registrierungsformulare auf derselben Seite befinden
• FIX: Ein Problem mit den 404-Erkennungsaktionen wurde behoben
• FIX: Ein UI-Problem mit dem 2FA-QR-Code-Bild
• ANPASSUNG: Das Attribut data-cfasync=“false“ wurde zur Standard-Captcha-URL hinzugefügt, um das Laden über Cloudflare Rocket Loader zu ermöglichen.
• ANPASSUNG: Lösche die Datensätze der Anmeldesperrentabelle nach 90 Tagen, um die Größe zu begrenzen. Die Konstante AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS wurde hinzugefügt, um den Standard zu ändern.
• ANPASSUNG: Die Häufigkeit des Malware-Scanners wurde von täglich auf wöchentlich aktualisiert.
• ANPASSUNG: Die Benutzeroberfläche des Passwort-Tools zur Messung der Passwortstärke wurde aktualisiert.
• ANPASSUNG: Füge einen Link „IP sperren“ und „IP auf die schwarze Liste setzen“ zur IP-Spalte des Audit-Protokolls hinzu.
• ANPASSUNG: Verbessert die Erkennung von gefälschten Googlebots. Wenn gethostbyaddr fehlschlägt, greift die Firewall auf die Überprüfung bekannter Googlebot-IP-Bereiche zurück
• ANPASSUNG: Die Spaltenüberschrift für die Tabelle „Dauerhaft gesperrte IP-Adressen“ wurde aktualisiert, damit sie mit anderen Tabellen übereinstimmt.
• ANPASSUNG: Warnung verhindern, wenn DISALLOW_FILE_EDIT bereits definiert wurde
• ANPASSUNG: Behebt Fälle, in denen eine Übersetzungsfunktion für mehrere Sätze verwendet wird
• ANPASSUNG: Verbesserte UX bei AJAX-Aufrufen
• ANPASSUNG: Entfernte Trash-Spam-Kommentare mit doppelter Beschreibung

5.3.0 – 01/May/2024

• FUNKTION: Bulk-Force-Logout-Funktion für eingeloggte Benutzer hinzugefügt
• FIX: Ein Problem mit der Abmeldefunktion der WooCommerce-Seite „Mein Konto“, wenn die Cookie-basierte Brute-Force-Funktion aktiviert ist
• FIX: Warnung undefinierter Array-Schlüssel SCRIPT_FILENAME
• FIX: Benutzerdefinierte Umleitung nach dem Login funktioniert nicht, wenn die Url den Parameter redirect_to enthält
• FIX: Liste der Administratorkonten wird nicht auf der Benutzersicherheitsseite angezeigt
• FIX: Problem mit Cookie-basierter Bruteforce-Verhinderung behoben, wenn die Salt-Postfix-Funktion aktiviert ist.
• FIX: Das Länderfeld wurde in den 404-Ereignisprotokollen nicht angezeigt (Premium)
• FIX: Das Länderfeld wurde nicht im Smart 404 Blocked IP Log angezeigt (Premium)
• ANPASSUNG: Das Übersetzungsproblem wurde behoben, da die vom Administrator eingestellte Sprache nicht in den Website-Einstellungen angezeigt wurde.
• ANPASSUNG: Firewall-Upgrade-Änderungen werden ohne Zugriff auf die Admin-Oberfläche angewendet
• ANPASSUNG: Ändere die Beschriftungen für die Schalter in einen angemesseneren Wortlaut
• ANPASSUNG: In den Ergebnissen des Dateiscanners werden die Dateigrößen in einem für Menschen lesbaren Format angezeigt
• ANPASSUNG: Die Standardmeldung für Zugriffsversuche auf wp-admin wurde aktualisiert
• ANPASSUNG: Interne Überarbeitung des Update-Codes, um die Klarheit des Codes zu verbessern.
• ANPASSUNG: Portiere die Funktion „Gefälschte Googlebots blockieren“ auf die PHP-basierte Firewall
• ANPASSUNG: Die Anforderung, dass mindestens eine IP für „Blacklist“, „Login Whitelist“ und „Login Lockout IP Whitelist“ aktiviert sein muss, wurde entfernt.
• ANPASSUNG: Fehlermeldung hinzugefügt, wenn ein Nutzer versucht, seine eigene IP bei der Registrierungsgenehmigung zu blockieren
• ANPASSUNG: Methode zur Aktualisierung von Badges bei AJAX-Aufrufen hinzugefügt
• ANPASSUNG: Interne Umstrukturierung der Klasse AIOWPSecurity_Utility_File zur Verbesserung der Übersichtlichkeit des Codes
• ANPASSUNG: Inhaltliche Aktualisierung der saisonalen Ankündigung für 2024

5.2.9 – 06/Mar/2024

• FIX: Entfernen des Aufrufs von update_event_table_column_to_timestamp in der Aktualisierungsroutine
• FIX: Entfernen des Aufrufs von wp_timezone(), der nur in WP 5.3+ verfügbar ist

5.2.8 – 05/Mar/2024

• FIX: Die Benutzerprüfung, die das Duo-Authentifizierungs-Plugin betrifft
• FIX: Die Datenbank-Update-Routine wird jetzt ausgeführt, ohne dass die Verwaltungsoberfläche oder jede einzelne Website in einer Multisite besucht werden muss
• FIX: Einige Einstellungen im Firewall-Menü wurden nach dem Deaktivieren und Reaktivieren des Plugins nicht zurückgesetzt.
• ANPASSUNG: Die Zeitspalte in der CSV-Exportdatei für Audit-Protokoll und 404-Ereignisse ist jetzt in einem für Menschen lesbaren Format und nicht mehr als Unix-Zeitstempel.
• ANPASSUNG: Vorhandenes Datetime-Feld in der Debug-Log-Tabelle in einen Zeitstempel umgewandelt, um unabhängig von der Zeitzone zu sein
• ANPASSUNG: Globale Metatabelle: Vorhandenes Datetime-Feld in Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
• ANPASSUNG: Vorhandenes datetime-Feld der permanenten Blocktabelle in einen Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
• ANPASSUNG: Überarbeitung von Listenelement-Aktionen zur weiteren Verbesserung der Code-Klarheit
• ANPASSUNG: Das Admin-Menü der schwarzen Liste wurde wie angekündigt entfernt.
• ANPASSUNG: Diverses Admin-Menü entfernt, wie bereits angekündigt
• ANPASSUNG: Wie bereits angekündigt, wurden verschiedene Admin-Menü-Tabs entfernt
• ANPASSUNG: IP-Lookup-Ergebnis für andere Arten von Einträgen in der Anmeldesperrentabelle speichern
• ANPASSUNG: Aktualisiere die Aufforderung zur Überprüfung in der Fußzeile
• ANPASSUNG: Begrenzung der maximalen Datei-Upload-Größe auf 250 MB durch den Filter aiowps_max_allowed_upload_config entfernt
• ANPASSUNG: Verbesserte Erkennung von Kommentarspam, um andere Formulare nicht zu beeinträchtigen

5.2.7 – 06/Feb/2024

• SICHERHEIT: Verschiedene Aktionen in der Listentabelle werden nun auf ihre Unbedenklichkeit geprüft, um eine CSRF-Schwachstelle zu verhindern. Danke an dhakal_ananda für den Hinweis auf diesen Fehler. Dadurch könnte ein Angreifer, der einen eingeloggten Administrator dazu bringt, einen speziell gestalteten Link zu besuchen, Aktionen in den 404-Ereignisdatensätzen durchführen.

5.2.6 – 06/Feb/2024

• SICHERHEIT: Die unnötige Verwendung des Abfrageparameters „tab“ auf verschiedenen Admin-Menü-Seiten wurde entfernt, um eine nicht-persistente XSS-Schwachstelle zu verhindern. Danke an Matthew Rollings für den Hinweis auf diesen Fehler. (Dadurch könnte ein Angreifer, der dich gezielt angreift, während du als Administrator eingeloggt bist, und dich dazu bringt, einen von ihm kontrollierten Link zu besuchen, bei einem einzigen Besuch deiner AIOS-Admin-Seite unerwünschte Skripte einspeisen).
• FUNKTION: Abmelde-Ereignis zu den Audit-Protokollen hinzugefügt
• FUNKTION: Hinzufügen der Möglichkeit, die Standarddateien readme.html und wp-config-sample.php zu löschen
• FIX: Korrektur einiger Übersetzungsaufrufe, die die falsche Textdomäne verwendet haben
• FIX: PHP-Meldung, dass der Dateiscanner seine Datendatei nicht lesen kann
• FIX: Schaltfläche zum Entsperren wurde nicht angezeigt und leitete auf 127.0.0.1 um
• FIX: Datenbankfehler für die Tabelle aiowps_login_lockdown bei der Plugin-Installation
• ANPASSUNG: Refaktorierung der 6G UI
• ANPASSUNG: Option hinzugefügt, um das Cloudflare Turnstile CAPTCHA Thema einzustellen
• ANPASSUNG: CSS-Styling für die Spalte mit den Audit-Protokoll-Details hinzugefügt
• ANPASSUNG: Die Links zum Status kritischer Funktionen im Dashboard wurden korrigiert und zeigen nur noch Funktionen an, die in einer Multisite-Unterwebsite aktiviert werden können.
• ANPASSUNG: Das Deaktivieren des Plugins entfernt jetzt die gespeicherten Anmeldeinformationen, damit die Benutzer bei der nächsten Aktivierung nicht zwangsweise ausgeloggt werden
• ANPASSUNG: Anzeige eines json-Strings anstelle von null, wenn json_decode für Audit-Protokoll-Details nicht funktioniert
• ANPASSUNG: Vorhandenes datetime-Feld in der Ereignistabelle in einen Zeitstempel umgewandelt, um unabhängig von der Zeitzone zu sein
• ANPASSUNG: Verschiedene Optimierungen, um die Codebasis auf den Stand der Technik zu bringen
• ANPASSUNG: Verschiedene Optimierungen, um sicherzustellen, dass nicht mehrere Sätze an eine einzige Übersetzungsfunktion übergeben werden
• ANPASSUNG: Behebe die fehlerhafte Benutzeroberfläche für RSS- und Atom-Firewall-Einstellungen und füge eine weitere Info-Box hinzu
• ANPASSUNG: Behebung des Problems der eindeutigen ID im DOM
• ANPASSUNG: Zusammenführen der Registerkarten Benutzername und Anzeigename in den Benutzer-Sicherheitseinstellungen
• ANPASSUNG: Die Registerkarte „404-Erkennung“ wurde in das Admin-Menü „Brute Force“ verschoben.
• ANPASSUNG: Die Registerkarte „PHP-Dateibearbeitung“ wurde in die Registerkarte „Dateischutz“ verschoben
• ANPASSUNG: Die Registerkarte „Benutzeraufzählung“ wurde in die Registerkarte „Benutzerkonten“ im Menü „Benutzersicherheit“ verschoben.
• ANPASSUNG: Die Registerkarte „WP Rest API“ wurde in das Firewall-Menü verschoben
• ANPASSUNG: Die Reiter „Kopierschutz“ und „Frames“ wurden in das Menü „Dateisystem-Sicherheit“ verschoben
• ANPASSUNG: Die Registerkarte „Salz“ wurde in das Menü „Benutzersicherheit“ verschoben.
• ANPASSUNG: Die Registerkarte „Blacklist Manager“ wurde in das Menü „Firewall“ verschoben.
• ANPASSUNG: Das Zurücksetzen von Passwörtern, das Entfernen und Löschen von Benutzern wird jetzt im Audit-Protokoll aufgezeichnet
• ANPASSUNG: Verhindere, dass 404 IPs gesperrt werden, wenn diese IP aktuell gesperrt ist
• ANPASSUNG: Vereinheitlichung der Datums- und Zeitumrechnung mit Unterstützung von Zeitzonen für Benutzer
• ANPASSUNG: Geändert, wie leere Daten im ip-Lookup-Ergebnis in der Datenbank gespeichert werden
• ANPASSUNG: Überarbeite die Firewall-Menüseite, um zwei Registerkarten für PHP- und .htaccess-Regeln zu haben
• ANPASSUNG: Captcha-Unterstützung für Contact Form 7 hinzufügen
• ANPASSUNG: Eine AJAX-Funktion zum Speichern von Einstellungen und Abrufen von Funktionsdetails wurde als Teil der laufenden Arbeit an der AJAX-Unterstützung der Plugin-Einstellungen hinzugefügt.
• ANPASSUNG: Verbessere die E-Mail zum Zurücksetzen des Passworts durch Hinzufügen von IP-Informationen
• ANPASSUNG: Entferne den überflüssigen imagetoolbar Meta-Tag
• ANPASSUNG: Login-Sperrtabellen – bestehendes Datetime-Feld in Zeitstempel umgewandelt, um zeitzonenunabhängig zu sein
• ANPASSUNG: Code-Verbesserungen – Verwendung von WP_Error-Objekten anstelle von Arrays

5.2.5 – 25/Oct/2023

• SICHERHEIT: Wenn bei einer Multisite-Installation die AIOS-Funktion zum Umbenennen und Verstecken der Anmeldeseite verwendet wurde, gab es einen Weg für einen Angreifer, die versteckte Anmeldeseite zu entdecken, wodurch der Nutzen der Funktion zunichte gemacht wurde. Vielen Dank an Naveen Muthusamy für den Hinweis auf diesen Fehler.
• FUNKTION: Blockiere POST-Anfragen, die einen leeren User-Agent und Referer haben
• FUNKTION: Reverse-IP-Lookup-Daten zur E-Mail-Benachrichtigung über die Anmeldesperre hinzugefügt
• FIX: Verhinderung eines fatalen Fehlers beim Einrichten der Firewall, wenn der Host die Funktion parse_ini_file deaktiviert hat
• FIX: Verhindern, dass sich der Meldungsspeicher der Firewall mit unbenutzten Einträgen füllt
• FIX: Verhindert, dass legitimer Googlebot-Verkehr auf Websites blockiert wird, auf denen die Funktion gethostbyaddr fehlschlägt oder deaktiviert ist
• FIX: Ein Problem, das dazu führte, dass MainWP-Updates nicht korrekt durchgeführt werden konnten
• FIX: Verhinderung der Benutzeraufzählung über die REST API und das oEmbed-Protokoll
• FIX: Schwarze Liste für Benutzer-Agenten stimmt nicht mit allen Zeichenketten überein
• FIX: Tabelle für eingeloggte Benutzer zeigt nicht die richtigen Informationen an
• ANPASSUNG: Verbessere die Erkennung von Kommentarspam durch versteckte Felder und Cookies
• ANPASSUNG: Login-Whitelist schlägt sowohl IPv4- als auch IPv6-Adressen zur Whitelist vor
• ANPASSUNG: Die Menüaktionen im Dashboard-Adminmenü werden jetzt über AJAX verarbeitet
• ANPASSUNG: Kontrollkästchen in den Admin-Menüseiten in Schalter umgewandelt
• ANPASSUNG: Hinzufügen der Spalten network_id und site_id zur Tabelle Debug-Protokolle zur Unterscheidung von Protokollen zwischen Websites auf einer Multisite
• ANPASSUNG: Verschiedene Benutzerverwaltungsmenüs in einem neuen Verwaltungsmenü „Benutzersicherheit“ zusammengefasst
• ANPASSUNG: Der Dateiname der Exportkonfiguration spiegelt jetzt die lokale Zeitzone wider.
• ANPASSUNG: Verbesserung des UI/UX des Dateiscanners, um Platz für zukünftige Verbesserungen zu schaffen
• ANPASSUNG: Überarbeitung der Feature-Manager-Badges
• ANPASSUNG: Wie bereits angekündigt, wurden verschiedene Admin-Menü-Tabs entfernt
• ANPASSUNG: Füge Features, die von anderen Plugins abhängen, bedingt zum Feature Manager hinzu
• ANPASSUNG: Die Funktion, die wp-Meta-Informationen aus Skripten und Styles src entfernt, wurde mit einem Null-Check versehen, um eine PHP-Deprecation-Warnung zu vermeiden.
• ANPASSUNG: Datum und Uhrzeit des Audit-Protokolle werden jetzt in der Zeitzone der Website angezeigt
• ANPASSUNG: PHP-Warnung undefinierter Array-Schlüssel REQUEST_METHOD in rule-proxy-comment-posting.php
• ANPASSUNG: Wenn TranslatePress aktiv ist, sollte beim Ausloggen über WooCommerce keine 404-Seite angezeigt werden, wenn die Einstellung „Login-Seite umbenennen“ aktiviert ist.

5.2.4 – 16/Aug/2023

• FIX: Portierte Firewall-Einstellungen werden beim Upgrade nicht mehr deaktiviert

5.2.3 – 09/Aug/2023

• FIX: Fataler Fehler „set_value() on null“, wenn die Firewall-Konfiguration fehlt
• FIX: PHP bemerkt, wenn es unter Cron läuft
• FIX: Rückgängigmachung einer Änderung, die dazu führte, dass die Brute-Force-Login-Whitelist die Server-IPs und nicht die Benutzer anzeigte
• ANPASSUNG: Kommunikationsmechanismus hinzufügen, damit die Firewall Daten an WordPress senden kann
• ANPASSUNG: Falsche Erwähnung der .htaccess-Datei in PHP-Firewall-Regeln entfernen

5.2.2 – 04/Aug/2023

• FUNKTION: Eine Zulassungsliste von IP-Adressen, die die Firewall-Regeln umgehen
• FIX: Behebung des fatalen Fehlers bei get_class() on null bei der Aktualisierung über ManageWP
• FIX: Hinweis auf fehlende Dateien oder Verzeichnisse in der Konfigurationsdatei der Firewall
• FIX: Die Upgrade-E-Mail wurde nur gesendet, wenn eine oder mehrere der portierten Regeln aktiviert waren
• FIX: Gefälschte Google-Bots werden jetzt blockiert, wenn die IP-Adresse des Bot-Servers nicht in einen Hostnamen aufgelöst werden kann
• FIX: Google reCaptcha erscheint jetzt korrekt auf der WooCommerce-Kassenseite
• FIX: Automatische Anmeldung bei Woocommerce verhindern, wenn die manuelle Anmeldebestätigung aktiviert ist
• FIX: Premium-Upgrade-Registerkarte überschneidet sich mit der Benutzeroberfläche.
• FIX: Steuerung des Wartungsmodus über WP-CLI zulassen (Premium)
• FIX: Verwendung der korrekten Site-ID für Login-Erfolgsereignisse in der Audit-Protokoll-Tabelle auf Multisite Installationen
• FIX: Fehlende Features in der Feature Manager Liste hinzugefügt
• FIX: Eine Warnung bei der Verwendung des Befehls update all über WP-CLI
• ANPASSUNG: Die auf AIOS-Einstellungen basierende IP-Adresse wird jetzt anstelle der Servervariablen REMOTE_ADDR für die Benachrichtigung über mehrere falsche 2FA-Codes verwendet
• ANPASSUNG: Filter „aios_audit_log_record_event” hinzugefügt, damit Ereignisse nicht aufgezeichnet werden können
• ANPASSUNG: Verbesserung der Code-Struktur des Feature Item Managers, um Platz für zukünftige Verbesserungen zu schaffen
• ANPASSUNG: Die Login-Whitelist schlägt sowohl IPv4- als auch IPv6-Adressen für die Whitelist vor.
• ANPASSUNG: Verschiebe die Registerkarte „Benutzerdefinierte Regeln“ aus dem Abschnitt „Firewall“ in eine eigene Registerkarte im Abschnitt „Tools“.
• ANPASSUNG: Verschiebe die Registerkarte „Hotlinking verhindern“ in die Registerkarte „Dateischutz“ im Menü „Dateisystemsicherheit“.
• ANPASSUNG: Alle CAPTCHA-Einstellungen wurden in den Reiter „CAPTCHA-Einstellungen“ im Menü „Brute Force“ verschoben.
• ANPASSUNG: Die Registerkarte „Passwort-Werkzeug” wurde in das Admin-Menü „Werkzeuge” verschoben.
• ANPASSUNG: Die Registerkarte „Besuchersperre” wurde in das Admin-Menü „Werkzeuge” verschoben.
• ANPASSUNG: Die Registerkarte „Honigtopf für Benutzerregistrierung” wurde in das Admin-Menü „Brute Force” verschoben.
• ANPASSUNG: Entferne „Kontoaktivitätstabelle”, da diese Einträge auch im Audit-Protokoll aufgezeichnet werden
• ANPASSUNG: Die Registerkarte „Fehlgeschlagene Anmeldungen“ wurde wie angekündigt entfernt; diese werden nun im Audit-Protokoll aufgezeichnet.
• ANPASSUNG: Verbesserung der Leistung des Listentabellencodes
• ANPASSUNG: Die Verwendung von $_GET, $_POST, $_REQUEST wurde aus allen Vorlagendateien entfernt, um Platz für zukünftige Verbesserungen zu schaffen.

5.2.1 – 12/Jul/2023

• FIX: Hilfsklassendatei vom Loader einbinden
• ANPASSUNG: TFA-Block JavaScript bedingt laden

5.2.0 – 10/Jul/2023

• SICHERHEIT: Entferne die Authentifizierungsdaten aus dem Stacktrace, bevor du sie in der Datenbank speicherst. Dieser Fehler führte dazu, dass ein Website-Administrator zwischen den Versionen 5.1.9 und 5.2.0 (in denen die vorhandenen Daten gelöscht wurden) die Passwörter der Website-Benutzer kennen konnte. Diese Informationen sind nur von begrenztem Wert (ein Administrator kann bereits das Passwort eines Benutzers zurücksetzen), es sei denn, die Passwörter können von Benutzern auf anderen Websites wiederverwendet werden. In diesem „feindlichen Admin“-Szenario hat deine Website andere Probleme (da der feindliche Admin eine ganze Reihe von gleichwertigen Möglichkeiten hat, den Nutzern Unheil zuzufügen, vor allem wenn es sich nicht um eine Multisite handelt, bei der ein Website-Admin möglicherweise kein Super-Admin ist und keine Plugins installieren oder konfigurieren kann). Dieses Changelog wurde als Reaktion auf falsche Berichte erweitert, die auf ein größeres Problem hindeuteten (zum Beispiel wurde nicht erwähnt, dass der Angreifer bereits als Admin angemeldet sein muss, um das Log zu lesen, oder dass ein Upgrade auf 5.2.0 die betroffenen Daten löscht).
• SICHERHEIT: Lege strengere Beschränkungen dafür fest, was Unterseiten-Admins in einer Multisite tun können.
• FIX: Nach dem Bearbeiten einer Datei werden die Berechtigungen wieder auf die ursprünglichen Berechtigungen zurückgesetzt
• FIX: Einige fehlerhafte Links im Plugin korrigiert
• FIX: Fataler Fehler: Klasse kann nicht deklariert werden
• FIX: Normalisiere alle Argumente im Stacktrace
• FIX: Falsche Login-Einträge in der Tabelle der Login-Aktivitäten auf einer Multisite, wenn sich ein Nutzer auf einer Subsite anmeldet, zu der er nicht gehört.
• FIX: Fehler „Zu viele Weiterleitungen“ für Benutzer mit erzwungenem Logout behoben
• ANPASSUNG: Für Cronjob, WP CLI und AIOS_DISABLE_EXTERNAL_IP_ADDR definierte Konstante, verwende keine externen Dienste für Benutzer-IP-Adressen. Die Warnung über die fehlgeschlagene api.ipify.org-Anfrage wurde abgeschaltet.
• ANPASSUNG: Fehlende Übersetzung der Seite „Passwort zurücksetzen” und Schaltfläche „Passwort generieren” für die umbenannte Anmeldeseite hinzugefügt
• TWEAK: Filter „aios_audit_log_event_user_ip” hinzugefügt, um das Filtern von IP-Adressen im Audit-Protokoll zu ermöglichen
• ANPASSUNG: Action Hook „aios_reset_all_settings” zum Zurücksetzen aller Einstellungen hinzugefügt.
• ANPASSUNG: Die Anmeldeseite wurde umbenannt, um ein Dropdown-Menü für den Sprachwechsel zu haben, und andere Anpassungen an WordPress 6.2

5.1.9 – 09/May/2023

• FUNKTION: IP-Adressen – Sperrlisten-Manager Funktionalität basiert auf PHP statt auf .htaccess Regeln. Die Konstante AIOS_DISABLE_BLACKLIST_IP_MANAGER wurde hinzugefügt. Definiere sie in deiner wp-config.php, um den IP Blacklist Manager zu deaktivieren.
• FUNKTION: Erkenne Spambots, die Kommentare posten und verwerfe sie komplett oder markiere sie als Spam.
• FUNKTION: Verschlüssle TFA-Geheimschlüssel, die in der Datenbank gespeichert sind (zusätzlicher Schutz, falls deine Datenbank gehackt wird)
• FUNKTION: Hinzufügen einer Massenaktion „Alles löschen” und „Gefiltert löschen” zur Audit-Protokoll-Tabelle
• FIX: Verhindert, dass Cloudflare Turnstile zu Anmeldeformularen hinzugefügt wird, wenn keine Anmeldedaten festgelegt wurden
• FIX: Änderung der Stelle, an der der Audit-Protokoll-Event-Handler geladen wird, um einen Fehler beim Löschen des Plugins zu vermeiden
• FIX: Korrektur der Kontextklassenprüfungen zur Unterstützung von cli
• ANPASSUNG: Multisite-Superadmin kann auf das Dashboard der Subsite zugreifen, ohne sich erneut anzumelden, wenn Salt Postfix aktiviert ist
• ANPASSUNG: Captcha JavaScript-Datei wird auf einigen Seiten unnötig geladen, wenn Kommentar-Captcha oder benutzerdefiniertes Login-Captcha aktiviert ist
• ANPASSUNG: Ändere einige NONCE-Prüfungen, um unsere interne Funktion zur Prüfung von Benutzerfähigkeiten und Nonces zu verwenden
• ANPASSUNG: Benutzerregistrierungen und erfolgreiche Anmeldungen werden jetzt im Audit-Protokoll aufgezeichnet
• ANPASSUNG: Eine Befehlsklasse hinzugefügt und die AJAX-Handler überarbeitet
• ANPASSUNG: Captcha-Verifizierung, um Konflikte mit einigen Plugins zu vermeiden, die den WordPress-Authentifizierungscode abrufen
• ANPASSUNG: Verbessere die Benutzeroberfläche der Datenbanktabellen-Präfix-Funktion.
• ANPASSUNG: WordPress Core-Updates werden jetzt im Audit-Protokoll aufgezeichnet
• ANPASSUNG: Übersetzungsaktualisierungen werden jetzt im Audit-Protokoll aufgezeichnet
• ANPASSUNG: Hinzufügen eines Entitätsänderungsereignisses zum Audit-Protokoll, wenn keine Upgrader-Informationen verfügbar sind
• ANPASSUNG: Automatisierte E-Mails von AIOS, die aufgrund der Absenderadresse nicht gesendet werden konnten

5.1.8 – 11/April/2023

• FIX: 404-Erkennung – Einzelne Datensatz-Blacklisting-, Lösch- und Temp-Block-Aktionen funktionieren nicht mehr in 5.1.7
• FIX: Unerwarteter fataler Fehler bei null ’set_value‘
• FIX: Entfernen von Audit-Protokoll-Event-Handler-Aktionen beim Löschen von Plugins, um einen Fehler zu vermeiden
• FIX: Entfernen einiger Audit-Protokoll-Event-Handler beim Löschen von Plugins, um einen Fehler zu vermeiden
• FIX: Korrekten wp-config-Pfad ermitteln, wenn in einem Unterverzeichnis installiert
• ANPASSUNG: AIOS_Helper::request_remote timed out exception ignoriert.
• ANPASSUNG: Der Klassenname Requests_IPv6 ist in WordPress 6.2 veraltet.
• ANPASSUNG: Fehlgeschlagene Anmeldeversuche werden jetzt im Audit-Protokoll aufgezeichnet

5.1.7 – 24/March/2023

• FIX: Verhinderung eines fatalen Fehlers beim Aufruf von get_server_detected_user_ip_address(), wenn die Firewall nicht eingerichtet ist
• ANPASSUNG: Klarstellung des Dashboard-Hinweises und Änderung des Bildes.

5.1.6 – 21/March/2023

• FUNKTION: Ein Audit-Protokoll wurde hinzugefügt
• FUNKTION: Füge die Option salt postfix hinzu, um die Sicherheit deiner Website zu verbessern
• FUNKTION: Gemeinsame Bibliothek, die von der Firewall aus genutzt werden kann.
• FIX: Umbenennung des Login-Slugs in wp-login-RANDOM_SUFFIX mit 404-Seite Problem behoben und Code für Multisite-Aktivierung bereinigt.
• FIX: Divi Child Theme Konflikt – Aufruf der undefinierten Funktion et_builder_get_fonts() in functions.php auf Zeile 208 gelöst.
• FIX: Captcha-Einstellungen in der Multisite-Installation für Unter-Websites werden nicht angezeigt
• FIX: Fehler bei der Cron-Verschiebung für den Hook aios_15_minutes_cron_event, wenn das Plugin deaktiviert oder deinstalliert wurde
• ANPASSUNG: Benutzer-Aufzählung verhindern zeigt jetzt 403 forbidden Fehlercode anstelle von 500 server error
• ANPASSUNG: PHP 8.1 Warnung rawurldecode Übergabe von null statt type string ist veraltet für block request string 6g rule
• ANPASSUNG: Codebereinigung zur Deaktivierung der Cookie-basierten Brute-Force-Konstante, da Regel in die Firewall verschoben
• ANPASSUNG: Kommentar-Spam-IP-Überwachungsseite UI
• ANPASSUNG: Aktualisierte saisonale Aushänge
• ANPASSUNG: Verbesserung der internen Codestruktur als Grundlage für zukünftige Verbesserungen
• ANPASSUNG: Entferne den Hinweis, dass die 6g-Firewall-Regeln auf .htaccess basieren, da sie jetzt php-basiert sind.
• ANPASSUNG: Neue interne Funktion zur Überprüfung von Benutzerberechtigung und Nonces hinzugefügt
• ANPASSUNG: Verbesserter Konfigurationscode mit Inline-Speicherung.
• ANPASSUNG: Erlaubt das Filtern und Exportieren des Audit-Protokolls nach CSV

5.1.5 – 13/February/2023

• FUNKTION: Cloudflare Turnstile CAPTCHA Unterstützung hinzugefügt
• FIX: Hinweise auf undefinierten Array-Schlüssel HTTP_USER_AGENT behoben.
• FIX: Neue v5-Funktionen werden nicht in der Exportdatei gespeichert und nach der Deinstallation nicht richtig zurückgesetzt.
• FIX: Die Änderung der Dateiberechtigung wird auf den letzten Datensatz angewendet, nicht auf den ausgewählten. Außerdem werden die Berechtigungen nicht mehr geändert, wenn sie bereits strenger sind als vorgeschlagen.
• FIX: Fataler Fehler ‚Aufruf einer Memberfunktion contains_contents() auf null‘
• ANPASSUNG: Falsche Information über die Implementierung der Login-Whitelist über htaccess entfernt.
• ANPASSUNG: Überarbeitung der Einstellungsaufgaben für WP CLI AIOS Premium-Befehle.
• ANPASSUNG: Das Problem mit der Seitenladeleistung aufgrund der inkompatiblen Aktivitätsprüfung des tfa-Premium-Plugins wurde verbessert.
• ANPASSUNG: Sicherstellung, dass die Übersetzungsdomain registriert ist, bevor versucht wird, sie zu verwenden
• ANPASSUNG: Ersetzte „Klick“ durch „Drücken“ im Text, weil Nutzer auf mobilen Geräten usw. sein könnten und keine Maus verwenden.
• TWEAK: Registration, …