Neuer Bastora-Schwarm: Brute-Force-Angreifer werden anonym zwischen teilnehmenden Sites geteilt, IPs werden vorbeugend gesperrt. Vollst\u00e4ndig opt-in im Wizard und unter Einstellungen. Versendet werden nur Angreifer-IP, Angriffs-Typ und ein anonymer Token \u2014 keine Domain, keine Besucher-IPs.<\/p>","0.2.9":"
Code-Review-Pass nach der Berichts-Entfernung. Doc-Kommentar zur Kategorien-Reihenfolge pr\u00e4zisiert.<\/p>","0.2.8":"
Der druckbare HTML-Bericht ist raus. Das Scan-Ergebnis bleibt als interaktive Audit-Liste im Dashboard erhalten. Den vollst\u00e4ndigen, gedruckten Sicherheitsbericht gibt es im Bastora-Schutz-Service.<\/p>","0.2.7":"
Dashboard ist jetzt interaktiv: Status-Kacheln filtern die Audit-Liste, jeder Punkt verlinkt zur passenden Werkstatt-Anleitung auf bastora.de. Neuer Klartext-Hinweis erkl\u00e4rt, warum manche Server-Punkte nicht im Plugin gel\u00f6st werden k\u00f6nnen. Wizard-H\u00e4kchen einheitlich \u201eVersions-Abgleich erlauben".<\/p>","0.2.6":"
Bugfix-Release zu 0.2.5: der Sofort-Trigger nach manuellem Scan und der Cron-Anlauf auf stillen Plugin-Updates funktionieren jetzt zuverl\u00e4ssig. Neuer Admin-Block \u201eKerndatei-Wache" in den Einstellungen.<\/p>","0.2.5":"
Manipulierte WordPress-Kerndateien werden ab jetzt automatisch repariert. T\u00e4glicher Hintergrund-Cron l\u00e4dt die saubere Originaldatei aus der offiziellen WordPress-ZIP, doppelte Hash-Validierung vor dem Ersetzen, Original wandert in Quarant\u00e4ne. Admin-Mail nach jedem Repair-Lauf. Voraussetzung ist der Versions-Abgleich-Opt-in.<\/p>","0.2.4":"
Neuer Audit-Punkt: Abgleich der WordPress-Kerndateien gegen das offizielle Original von wordpress.org. Erkennt manipulierte und fehlende Kerndateien \u2014 typisches Symptom f\u00fcr eingeschleusten Schadcode. Voraussetzung ist der Versions-Abgleich-Opt-in (gleiche Checkbox wie f\u00fcr die Update-Pr\u00fcfpunkte).<\/p>","0.2.3":"
Plugin-Beschreibung und Plugin-Listing-Seite auf wordpress.org auf Deutsch \u00fcbersetzt. Screenshots-Sektion mit vier Bildern wieder aufgenommen.<\/p>","0.2.2":"
Plugin Review Team feedback: all paid-tier markers removed from code, UI and report. Wizard is now three steps. Marker constant for the conflict-check renamed to a neutral name.<\/p>","0.2.1":"
Vorbereitung f\u00fcr die Einreichung im WordPress-Plugin-Verzeichnis: Plugin-Name, Donate-Link und Screenshots-Sektion bereinigt.<\/p>","0.2.0":"
Neuer Onboarding-Wizard mit vier Schritten plus echtem Vorher-Nachher-Vergleich. H\u00e4rtungen werden erst nach Klick scharf geschaltet, das Plugin misst vorher nur.<\/p>","0.1.6":"
Plugin Review Team-Feedback: doppelte URI im Header entfernt.<\/p>","0.1.5":"
Plugin Review Team-Vorbereitung: Inline- Plugin Review Team feedback: unn\u00f6tiges Konflikt-Check erkennt jetzt auch MU-Plugin-basierte Sicherheits-Schichten \u2014 verhindert Filter-Doppelung und Whitelabel-Br\u00fcche.<\/p>","0.1.2":" External calls to api.wordpress.org are now opt-in by default \u2014 review your settings after upgrade if you rely on the update-related audit points.<\/p>","0.1.1":" Plugin Review Team feedback: text domain alignment, CSS enqueue, contributors fix.<\/p>","0.1.0":" Initial release.<\/p>"},"ratings":[],"assets_icons":{"icon-128x128.png":{"filename":"icon-128x128.png","revision":3568084,"resolution":"128x128","location":"assets","locale":"","width":128,"height":128},"icon-256x256.png":{"filename":"icon-256x256.png","revision":3568084,"resolution":"256x256","location":"assets","locale":"","width":256,"height":256}},"assets_banners":{"banner-1544x500.png":{"filename":"banner-1544x500.png","revision":3568084,"resolution":"1544x500","location":"assets","locale":"","width":1544,"height":500},"banner-772x250.png":{"filename":"banner-772x250.png","revision":3568084,"resolution":"772x250","location":"assets","locale":"","width":772,"height":250}},"assets_blueprints":{},"all_blocks":[],"tagged_versions":["0.2.2","0.2.3","0.2.4","0.2.5","0.2.6","0.2.7","0.2.9","0.3.0"],"block_files":[],"assets_screenshots":{"screenshot-1.png":{"filename":"screenshot-1.png","revision":3568084,"resolution":"1","location":"assets","locale":"","width":1280,"height":720},"screenshot-2.png":{"filename":"screenshot-2.png","revision":3568084,"resolution":"2","location":"assets","locale":"","width":1280,"height":720},"screenshot-3.png":{"filename":"screenshot-3.png","revision":3568084,"resolution":"3","location":"assets","locale":"","width":1280,"height":720},"screenshot-4.png":{"filename":"screenshot-4.png","revision":3568084,"resolution":"4","location":"assets","locale":"","width":1280,"height":720}},"screenshots":{"1":"Der erste Scan startet \u2014 Bastora pr\u00fcft 53 Sicherheitspunkte in etwa 20 Sekunden.","2":"Ergebnis des ersten Scans: Score plus klare Aufteilung in bestanden, Hinweise und offene Punkte.","3":"Bastora schaltet die H\u00e4rtungen scharf \u2014 wo ein anderes Sicherheits-Plugin schon zust\u00e4ndig ist, l\u00e4sst Bastora die Hand davon.","4":"Das Dashboard nach Aktivierung: aktueller Sicherheits-Score und jeder Pr\u00fcfpunkt mit Klartext-Erkl\u00e4rung."}},"plugin_section":[],"plugin_tags":[8533,2439,31093,602,600],"plugin_category":[38,54],"plugin_contributors":[266569],"plugin_business_model":[],"class_list":["post-316373","plugin","type-plugin","status-publish","hentry","plugin_tags-audit","plugin_tags-brute-force","plugin_tags-hardening","plugin_tags-login","plugin_tags-security","plugin_category-authentication","plugin_category-security-and-spam-protection","plugin_contributors-mathiasva","plugin_committers-mathiasva"],"banners":{"banner":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/banner-772x250.png?rev=3568084","banner_2x":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/banner-1544x500.png?rev=3568084","banner_rtl":false,"banner_2x_rtl":false},"icons":{"svg":false,"icon":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/icon-128x128.png?rev=3568084","icon_2x":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/icon-256x256.png?rev=3568084","generated":false},"screenshots":[{"src":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/screenshot-1.png?rev=3568084","caption":"Der erste Scan startet \u2014 Bastora pr\u00fcft 53 Sicherheitspunkte in etwa 20 Sekunden."},{"src":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/screenshot-2.png?rev=3568084","caption":"Ergebnis des ersten Scans: Score plus klare Aufteilung in bestanden, Hinweise und offene Punkte."},{"src":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/screenshot-3.png?rev=3568084","caption":"Bastora schaltet die H\u00e4rtungen scharf \u2014 wo ein anderes Sicherheits-Plugin schon zust\u00e4ndig ist, l\u00e4sst Bastora die Hand davon."},{"src":"https:\/\/ps.w.org\/bastora-security-audit\/assets\/screenshot-4.png?rev=3568084","caption":"Das Dashboard nach Aktivierung: aktueller Sicherheits-Score und jeder Pr\u00fcfpunkt mit Klartext-Erkl\u00e4rung."}],"raw_content":"\n Bastora<\/strong> ist ein ehrlicher WordPress-Sicherheits-Check. Statt tausend Schalter ohne Erkl\u00e4rung pr\u00fcft Bastora Deine Installation gegen einen festen Katalog aus 53 Sicherheitspunkten<\/strong> und zeigt Dir das Ergebnis als Klartext-Ampel direkt in Deinem Dashboard.<\/p>\n\n Bastora unterscheidet sich von anderen Sicherheits-Plugins in drei Punkten:<\/p>\n\n Wenn eines der folgenden Plugins schon l\u00e4uft, erkennt Bastora das und deaktiviert nur die \u00fcberlappenden Bereiche:<\/p>\n\n Im Dashboard siehst Du pro H\u00e4rtung im Klartext, warum sie aktiv oder inaktiv ist.<\/p>\n\n Eine k\u00fcnftige Plugin-Version wird optionale anonyme Sicherheits-Telemetrie an bastora.de anbieten. In dieser Plugin-Version wird keine Telemetrie gesendet. Der Opt-in-Schalter speichert nur Deine Zustimmung f\u00fcr ein sp\u00e4teres Release.<\/strong> Wenn die Versand-Pipeline sp\u00e4ter live geht, w\u00fcrden ausschlie\u00dflich folgende anonymisierten technischen Werte \u00fcbertragen:<\/p>\n\n Was nie<\/strong> \u00fcbertragen w\u00fcrde: Domain, URL, IP-Adressen, E-Mail-Adressen, Benutzernamen, Beitragsinhalte, Dateiinhalte.<\/p>\n\n Bastora kontaktiert externe Server in zwei klar getrennten F\u00e4llen. Beide sind opt-in. Ab Werk macht das Plugin keine externen Verbindungen.<\/strong><\/p>\n\n 1. Versions-Abgleich gegen api.wordpress.org (opt-in)<\/strong><\/p>\n\n Wenn Du im Welcome-Wizard oder in den Einstellungen \u201eVersions-Abgleich erlauben\" aktivierst, fragt Bastora bei einem manuellen Scan die api.wordpress.org nach:<\/p>\n\n Wenn Bastora bei der t\u00e4glichen Pr\u00fcfung manipulierte oder fehlende Kerndateien entdeckt, l\u00e4dt Bastora zus\u00e4tzlich die offizielle WordPress-ZIP herunter, um die saubere Originaldatei zu extrahieren:<\/p>\n\n Die ZIP wird einmal pro Version 7 Tage lokal in Das ist dieselbe API, die WordPress selbst f\u00fcr seine eigenen Update-Checks nutzt. \u00dcbertragen wird nur der Slug pro Plugin oder Theme. Keine Domain, keine Nutzerdaten, keine Besucher-IP. Die Abfragen laufen nur bei manuellem Klick auf den Scan-Button, nie automatisch im Hintergrund. Antworten werden 24 Stunden zwischengespeichert.<\/p>\n\n Wenn Du diesen Punkt nicht aktivierst, werden die update-relevanten Audit-Punkte als \u201enicht pr\u00fcfbar\" markiert und es geht keine Anfrage raus.<\/p>\n\n 2. Bastora-Schwarm (opt-in, ab Plugin-Version 0.3.0)<\/strong><\/p>\n\n Wenn Du den Bastora-Schwarm im Welcome-Wizard oder unter \u201eEinstellungen \u2192 Bastora-Schwarm\" aktivierst, tauscht das Plugin Brute-Force-Angreifer-IPs anonym mit anderen teilnehmenden Sites aus. Drei Endpoints sind beteiligt:<\/p>\n\n Der HTTP-User-Agent ist bei allen vier Endpoints statisch \u201eBastora-Swarm\/\", damit WordPress die Domain nicht \u00fcber den Default-UA mitschickt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Angriffsabwehr). Eingegangene Reports werden serverseitig nach 14 Tagen automatisch gel\u00f6scht (Datenminimierung). Sperrlisten-Eintr\u00e4ge verfallen nach 72 Stunden ohne neue Meldungen.<\/p>\n\n 3. Anonyme Telemetrie an bastora.de (geplant, in dieser Version nicht aktiv)<\/strong><\/p>\n\n Eine k\u00fcnftige Plugin-Version soll optionale anonymisierte Audit-Telemetrie an bastora.de anbieten. In dieser Plugin-Version ist diese Pipeline nicht implementiert \u2014 kein Wenn die Versand-Pipeline in einem sp\u00e4teren Release live geht, w\u00fcrden die folgenden anonymisierten Werte \u00fcbertragen:<\/p>\n\n Was nie<\/strong> \u00fcbertragen w\u00fcrde: Domain, URL, IP-Adressen, E-Mail-Adressen, Benutzernamen, Beitragsinhalte, Dateiinhalte, Datenbankinhalte.<\/p>\n\n Vollst\u00e4ndige Datenschutzerkl\u00e4rung: https:\/\/bastora.de\/datenschutz.php\nVerantwortliche Stelle laut Impressum: https:\/\/bastora.de\/impressum.php<\/p>\n\n\n Mehr ist nicht zu tun. Bastora richtet sich selbst ein.<\/p>\n\n\n Nein. Bastora braucht keine Konfiguration. Installieren, aktivieren, scannen \u2014 fertig.<\/p><\/dd>\n Ja. Bastora erkennt diese Plugins beim Aktivieren und tritt in den \u00fcberlappenden Bereichen zur Seite. Das Dashboard zeigt Dir, welche H\u00e4rtungen wegen eines Konflikts inaktiv sind.<\/p><\/dd>\n Ab Werk nichts. Die einzigen externen Verbindungen, die diese Version macht, sind opt-in-Versions-Abgleiche gegen api.wordpress.org (nur der Slug, keine Domain, keine Nutzerdaten). Die anonyme Statistik-Pipeline an bastora.de ist in dieser Version nicht aktiv<\/strong> \u2014 der Opt-in-Schalter in den Einstellungen speichert nur Deine Zustimmung f\u00fcr ein sp\u00e4teres Release.<\/p><\/dd>\n Bastora \u2192 Einstellungen \u2192 Haken bei \u201eZustimmung vormerken\" raus \u2192 speichern. Da in dieser Plugin-Version keine Daten gesendet werden, l\u00f6scht das Zur\u00fccknehmen einfach die gespeicherte Zustimmung.<\/p><\/dd>\n Auf deutschen Servern. Bastora arbeitet ausschlie\u00dflich mit einem deutschen Hoster.<\/p><\/dd>\n Bei normaler Deaktivierung bleiben die Bastora-Einstellungen erhalten. Wenn Du das Plugin per \u201eL\u00f6schen\" entfernst, werden alle Einstellungen, Audit-Ergebnisse und Site-IDs gel\u00f6scht. H\u00e4rtungen werden automatisch zur\u00fcckgerollt. Bei aktivem Schwarm-Schutz meldet das Plugin den anonymen Token vorher beim Schwarm-Server ab.<\/p><\/dd>\n Der Bastora-Schwarm ist ein opt-in-basierter Pool aus teilnehmenden Bastora-Sites. Erkennt eine Site einen Brute-Force-Angriff (5 fehlgeschlagene Logins von derselben IP), schickt sie die Angreifer-IP samt Angriffs-Typ anonym an einen zentralen Server. Wenn mehrere unabh\u00e4ngige Sites dieselbe IP melden oder eine einzelne Site dieselbe IP h\u00e4ufig meldet, wandert die IP in einen Sperrkatalog. Alle teilnehmenden Sites holen diesen Katalog alle paar Minuten ab und sperren die IPs vorbeugend. Eintragungen verfallen automatisch nach 72 Stunden, falls keine neuen Meldungen reinkommen. Bekannte Crawler (Googlebot, Bingbot, Cloudflare etc.) werden serverseitig nie \u00fcbernommen, damit sie nicht versehentlich gesperrt werden.<\/p><\/dd>\n Ausschlie\u00dflich: die Angreifer-IP, der Angriffs-Typ (\u201elogin_bruteforce\"), die Bastora-Plugin-Version und ein anonymer UUID-Token, der beim Aktivieren einmalig generiert wurde. Nicht versendet werden: Deine Domain, Deine URL, Deine Besucher-IPs, Deine Benutzernamen, Deine E-Mail-Adresse, irgendetwas zu Deiner Konfiguration. Auch der HTTP-User-Agent ist statisch (\u201eBastora-Swarm\/Version\"), damit WordPress die Domain nicht \u00fcber den Standard-UA mitschickt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Angriffsabwehr).<\/p><\/dd>\n\n<\/dl>\n\n\nonclick<\/code>\/style<\/code>\/base64<\/code>-SVG durchg\u00e4ngig in enqueued Assets bzw. Dashicons ausgelagert; POST-Sanitization geh\u00e4rtet.<\/p>","0.1.4":"require_once<\/code> von wp-admin\/includes\/plugin.php<\/code> im Konflikt-Check entfernt.<\/p>","0.1.3":"\n
Was Bastora pr\u00fcft<\/h4>\n\n
\n
Was Bastora h\u00e4rtet (wenn kein Konflikt erkannt wird)<\/h4>\n\n
\n
wp-content\/uploads\/bastora-quarantine\/<\/code>. Du bekommst eine E-Mail mit der Liste der reparierten Dateien. Voraussetzung: Versions-Abgleich-Opt-in aktiv. Bei Hostern mit schreibgesch\u00fctzten Core-Dateien bleibt die Anzeige + Mail erhalten.<\/li>\nKonflikt-erkennend<\/h4>\n\n
\n
Was Bastora bewusst **nicht** macht<\/h4>\n\n
\n
Optionale anonyme Statistik (geplant, in dieser Version noch nicht aktiv)<\/h4>\n\n
\n
Privacy<\/h3>\n\n
Externe Verbindungen<\/h4>\n\n
\n
https:\/\/api.wordpress.org\/core\/version-check\/1.7\/<\/code><\/li>\nhttps:\/\/api.wordpress.org\/core\/checksums\/1.0\/?version=<version>&locale=en_US<\/code><\/li>\nhttps:\/\/api.wordpress.org\/plugins\/info\/1.0\/<slug>.json<\/code><\/li>\nhttps:\/\/api.wordpress.org\/themes\/info\/1.2\/?action=theme_information&request[slug]=<slug><\/code><\/li>\n<\/ul>\n\n\n
https:\/\/downloads.wordpress.org\/release\/wordpress-<version>.zip<\/code><\/li>\n<\/ul>\n\nwp-content\/uploads\/bastora-quarantine\/_core-cache\/<\/code> gespeichert, um wiederholten Bandbreitenverbrauch zu vermeiden. Vor dem Ersetzen einer Datei pr\u00fcft Bastora deren MD5-Hash gegen den von api.wordpress.org gemeldeten Wert (Doppel-Sicherung gegen Download-Pannen).<\/p>\n\n\n
https:\/\/bastora.de\/api\/swarm-register.php<\/code> \u2014 Einmaliger POST beim Aktivieren. Der Server vergibt einen anonymen UUID-Token. \u00dcbertragen wird: die Plugin-Version. Nicht \u00fcbertragen wird: Domain, URL, IP-Adresse Deiner Besucher, Owner-Daten. Die Server-IP des HTTP-Requests wird nur als gesalzener SHA-256-Hash f\u00fcr ein Rate-Limit gespeichert und ist nicht zur\u00fcckrechenbar.<\/li>\nhttps:\/\/bastora.de\/api\/swarm-report.php<\/code> \u2014 POST bei Erkennung eines Brute-Force-Angriffs. \u00dcbertragen wird: der anonyme Token, die Angreifer-IP, der Angriffs-Typ (\u201elogin_bruteforce\"), die Severity, die Plugin-Version. Nicht \u00fcbertragen wird: alles andere.<\/li>\nhttps:\/\/bastora.de\/api\/swarm-feed.php<\/code> \u2014 GET-Abruf der aktuellen Sperrliste, alle 5 Minuten via WP-Cron plus on-demand bei Login-Versuchen, jeweils mit 60-Sekunden-Cache und ETag-Optimierung. Im HTTP-Header geht der anonyme Token mit, sonst nichts.<\/li>\nhttps:\/\/bastora.de\/api\/swarm-disconnect.php<\/code> \u2014 POST beim Opt-out in den Einstellungen oder beim Deinstallieren. \u00dcbertragen wird: der anonyme Token. Der Server l\u00f6scht den Knoten unmittelbar.<\/li>\n<\/ul>\n\nwp_remote_post<\/code> an einen Telemetrie-Endpoint, kein Audit-Payload, keine \u00dcbertragung von Scan-Ergebnissen an bastora.de findet im Code statt.<\/strong> Der Opt-in-Schalter in den Einstellungen speichert nur Deine Zustimmung f\u00fcr ein sp\u00e4teres Release.<\/p>\n\n\n
Datenschutzhinweis<\/h4>\n\n
\n
\/wp-content\/plugins\/<\/code>.<\/li>\n\n
Brauche ich technisches Wissen, um Bastora zu nutzen?<\/h3><\/dt>\n
Funktioniert Bastora neben Wordfence\/Sucuri\/Solid Security?<\/h3><\/dt>\n
\u00dcbertr\u00e4gt das Plugin Daten von meiner Seite?<\/h3><\/dt>\n
Wie nehme ich die Statistik-Zustimmung wieder zur\u00fcck?<\/h3><\/dt>\n
Wo werden die Daten gespeichert?<\/h3><\/dt>\n
Was passiert, wenn ich Bastora deinstalliere?<\/h3><\/dt>\n
Wie funktioniert der Bastora-Schwarm?<\/h3><\/dt>\n
Welche Daten verlassen meine Seite, wenn der Schwarm aktiv ist?<\/h3><\/dt>\n
0.3.0<\/h4>\n\n
\n
bastora.de\/api\/swarm-report.php<\/code>. Andere teilnehmende Sites holen die Sperrliste \u00fcber bastora.de\/api\/swarm-feed.php<\/code> ab und blockieren die IP vorbeugend. Aktivierung im Onboarding-Wizard (dritte Opt-in-Karte) oder unter \u201eEinstellungen \u2192 Bastora-Schwarm\".<\/li>\n0.2.9<\/h4>\n\n
\n
0.2.8<\/h4>\n\n
\n
0.2.7<\/h4>\n\n
\n
0.2.6<\/h4>\n\n
\n
bastora_core_integrity_oneshot<\/code>), der unabh\u00e4ngig l\u00e4uft.<\/li>\nplugins_loaded<\/code> defensiv sicher, dass der Cron im Schedule liegt.<\/li>\nZipArchive<\/code>-Klasse auf dem Hoster fehlt, gibt Bastora jetzt einen sauberen Fehlerstatus zur\u00fcck, statt den Cron-Lauf abzubrechen.<\/li>\n0.2.5<\/h4>\n\n
\n
bastora_core_integrity_run<\/code>) holt die offiziellen Datei-Hashes von api.wordpress.org\/core\/checksums\/1.0\/<\/code>, identifiziert ver\u00e4nderte oder fehlende Kerndateien und ersetzt sie durch die saubere Originalversion aus der offiziellen WordPress-ZIP (downloads.wordpress.org\/release\/wordpress-X.Y.Z.zip<\/code>). Die ZIP wird einmal pro Version 7 Tage lokal gecacht, betroffene Dateien werden einzeln extrahiert. Vor dem Ersetzen pr\u00fcft Bastora den MD5-Hash der extrahierten Datei gegen den erwarteten Wert (Doppel-Sicherung gegen Download-Pannen oder Manipulation der ZIP). Die kompromittierte Originaldatei wandert zur Spurensicherung in wp-content\/uploads\/bastora-quarantine\/JJJJ-MM-TT\/<\/code>. Admin bekommt eine Mail mit der Liste der reparierten Dateien.<\/li>\nwp-content\/uploads\/bastora-quarantine\/.bastora-repair-lock<\/code>, 10 Minuten G\u00fcltigkeit).<\/li>\n.htaccess<\/code> (Deny from all) gegen Web-Zugriff gesch\u00fctzt.<\/li>\n0.2.4<\/h4>\n\n
\n
system.11<\/code> \u2014 Abgleich der WordPress-Kerndateien gegen das offizielle Original.<\/strong> Bastora holt sich von api.wordpress.org\/core\/checksums\/1.0\/<\/code> die digitalen Fingerabdr\u00fccke aller Core-Dateien Deiner WordPress-Version und vergleicht sie mit den Dateien auf Deinem Server. Ver\u00e4nderte oder fehlende Kerndateien werden im Audit-Bericht als kritisch ausgewiesen \u2014 der typische Indikator f\u00fcr eingeschleusten Schadcode. Bewusst NICHT gepr\u00fcft: wp-content\/<\/code>, wp-config.php<\/code>, readme.html<\/code>, license.txt<\/code>. Voraussetzung: Versions-Abgleich-Opt-in aktiv (gleiche Checkbox wie f\u00fcr die Update-Punkte). Ergebnis wird pro WP-Version 24 Stunden zwischengespeichert.<\/li>\n0.2.3<\/h4>\n\n
\n
0.2.2<\/h4>\n\n
\n
premium_only_ids()<\/code> list, the dashboard upsell block, the report's premium section and the wizard's paid-service step are gone. The wizard now has three steps (opt-in \u2192 scan \u2192 activation). No more references to a paid tier inside the plugin code, the admin UI or the printable report.<\/li>\nBASTORA_PRO_SECURITY_LAYER_VERSION<\/code> to BASTORA_MANAGED_LAYER_VERSION<\/code> (neutral naming, no Pro\/Premium connotation).<\/li>\ncheck_monitor_03<\/code> (captcha plugins detection) and check_monitor_07<\/code> (security plugin detection) now read active_plugins<\/code> directly from the option instead of loading wp-admin\/includes\/plugin.php<\/code>. One less require_once<\/code> of a core file.<\/li>\n<\/ul>\n\n0.2.1<\/h4>\n\n
\n
Donate link<\/code> aus readme.txt<\/code> entfernt (verwies auf die Produktseite, keine echte Spenden-URL).<\/li>\n== Screenshots ==<\/code>-Sektion tempor\u00e4r aus readme.txt<\/code> entfernt. Wird wieder aufgenommen, sobald die Bilder im WordPress-Assets-Verzeichnis liegen.<\/li>\n0.2.0<\/h4>\n\n
\n
0.1.6<\/h4>\n\n
\n
Author URI<\/code> aus dem Plugin-Header entfernt, da identisch mit Plugin URI<\/code>. Nur noch eine URI im Header.<\/li>\n<\/ul>\n\n0.1.5<\/h4>\n\n
\n
onclick<\/code>-Handler durch enqueued JavaScript ersetzt (assets\/admin.js<\/code>, assets\/js\/report.js<\/code>).<\/li>\nstyle<\/code>-Attribute im Welcome-Banner und im Login-Honeypot in Utility-Klassen (assets\/admin.css<\/code>, assets\/css\/login-honeypot.css<\/code>) ausgelagert.<\/li>\ndashicons-shield<\/code> statt eines base64<\/code>-Inline-SVG.<\/li>\n$_POST<\/code>-Werte im Welcome- und Settings-Handler durchlaufen jetzt zus\u00e4tzlich wp_unslash<\/code> + sanitize_text_field<\/code>, auch wenn sie nur als Bool genutzt werden.<\/li>\nAuthor URI<\/code> und Domain Path<\/code> erg\u00e4nzt.<\/li>\n<\/ul>\n\n0.1.4<\/h4>\n\n
\n
active_plugins<\/code>-Option und l\u00e4dt wp-admin\/includes\/plugin.php<\/code> nicht mehr unn\u00f6tig. Vermeidet einen require_once<\/code> ohne unmittelbar folgenden Funktions-Aufruf.<\/li>\n<\/ul>\n\n0.1.3<\/h4>\n\n
\n