Linux 软件免费装
Banner图

Bastora Security Audit

开发者 mathiasva
更新时间 2026年7月14日 22:22
PHP版本: 7.4 及以上
WordPress版本: 7.0
版权: GPLv2 or later
版权网址: 版权信息

标签

security firewall malware brute force hardening

下载

1.2.7 1.2.8 0.2.3 0.2.5 0.2.6 0.2.7 0.2.9 0.2.2 0.3.0 1.2.5 0.2.4 1.2.9 1.3.0 1.3.6 1.3.8

详情介绍:

Bastora ist ein ehrlicher WordPress-Sicherheits-Check. Statt tausend Schalter ohne Erklärung prüft Bastora Deine Installation gegen einen festen Katalog aus 62 Sicherheitspunkten und zeigt Dir das Ergebnis als Klartext-Ampel direkt in Deinem Dashboard. Bastora unterscheidet sich von anderen Sicherheits-Plugins in drei Punkten:
  1. Ehrliche Außensicht. Bastora prüft Deine Seite so, wie ein Bot sie sieht: Versionslecks im HTML, offene Verzeichnis-Listen, fehlende Security-Header, sichtbare Endpoints. Die meisten anderen Plugins prüfen nur ihre eigene Konfiguration.
  2. Konflikt-erkennende Auto-Härtung. Härtungen sind ab Werk aktiv. Bastora prüft, ob ein anderes Sicherheits-Plugin (Wordfence, Solid Security, AIOS, Limit Login Attempts und andere) denselben Punkt schon übernimmt, und tritt elegant zur Seite, statt einen Konflikt zu bauen.
  3. Null Konfiguration. Installieren, aktivieren, einmal „Sicherheitsprüfung starten" klicken, fertig. Bastora richtet sich selbst ein.
Was Bastora prüft Was Bastora härtet (wenn kein Konflikt erkannt wird) Konflikt-erkennend Wenn eines der folgenden Plugins schon läuft, erkennt Bastora das und deaktiviert nur die überlappenden Bereiche: Im Dashboard siehst Du pro Härtung im Klartext, warum sie aktiv oder inaktiv ist. Was Bastora bewusst nicht macht Optionale anonyme Statistik (Opt-in) Wenn Du das Häkchen „Statistik aktivieren und teilen" in den Einstellungen setzt, schickt Bastora einmal sofort und danach nur alle 28 Tage eine kompakte anonyme Zusammenfassung per HTTPS-POST an https://bastora.de/v1/telemetry/. Vor dem Häkchen geht kein einziger Request raus. Die niedrige Frequenz ist bewusst: Bastora will Masse-Infos über viele Sites sammeln, kein dichtes Zeitprofil einzelner Sites. Übertragen werden ausschließlich: Was nie übertragen wird: Domain, URL, IP-Adresse, E-Mail-Adressen, Benutzernamen, Beitragsinhalte, Dateiinhalte. Der bastora.de-Server loggt keine Aufrufer-IP. Pro Site-ID wird maximal ein Eintrag pro Tag akzeptiert (UPSERT), die normale Sende-Frequenz pro Site liegt ohnehin bei einem Datensatz alle 28 Tage. Bei Deinstallation des Plugins werden die lokale Site-ID und alle Bastora-Optionen entfernt.

安装:

  1. Installiere das Plugin aus dem WordPress-Plugin-Verzeichnis oder lade den ZIP-Ordner nach /wp-content/plugins/.
  2. Aktiviere das Plugin im Menü „Plugins".
  3. Öffne das neue Menü „Bastora" und klicke einmal auf „Sicherheitsprüfung starten".
Mehr ist nicht zu tun. Bastora richtet sich selbst ein.

屏幕截图:

  • Ergebnis des ersten Scans: Score plus klare Aufteilung in bestanden, Hinweise und offene Punkte.
  • Bastora schaltet die Härtungen scharf, wo ein anderes Sicherheits-Plugin schon zuständig ist, lässt Bastora die Hand davon.
  • Das Dashboard nach Aktivierung: aktueller Sicherheits-Score und jeder Prüfpunkt mit Klartext-Erklärung.

升级注意事项:

1.3.8 Sicherheits-Update: Der Login-Schutz laesst sich nicht mehr ueber gefaelschte Kopfzeilen austricksen, gesicherte Fundstuecke sind nicht mehr aufrufbar. Ausserdem werden deutsche WordPress-Installationen korrekt geprueft. 1.3.7 Der Status erneuert sich nach Updates von selbst, verfügbare Updates erscheinen als Hinweis, und abweichende Plugins/Themes lassen sich per Klick gezielt reparieren statt riskant neu zu installieren.

常见问题:

Brauche ich technisches Wissen, um Bastora zu nutzen?

Nein. Bastora braucht keine Konfiguration. Installieren, aktivieren, scannen, fertig.

Funktioniert Bastora neben Wordfence/Sucuri/Solid Security?

Ja. Bastora erkennt diese Plugins beim Aktivieren und tritt in den überlappenden Bereichen zur Seite. Das Dashboard zeigt Dir, welche Härtungen wegen eines Konflikts inaktiv sind.

Überträgt das Plugin Daten von meiner Seite?

Ab Werk nichts. Externe Verbindungen schaltest Du in den Einstellungen einzeln frei: Versions-Abgleich gegen api.wordpress.org, Bastora-Schwarm, Schad-URL-Feed, Passwort-Leak-Check, anonyme Statistik. Jede dieser Verbindungen ist standardmäßig aus und sendet erst nach Deinem Häkchen Daten.

Wie nehme ich die anonyme Statistik wieder zurück?

Bastora → Einstellungen → Häkchen bei „Statistik aktivieren und teilen" raus → speichern. Der tägliche Cron wird sofort gestoppt, ab da geht kein Eintrag mehr an bastora.de. Die bereits gesammelten Datensätze werden serverseitig nicht von uns rückwirkend gelöscht, weil sie keinen Bezug zu Deiner Domain haben (nur eine zufällige UUID).

Wo werden die Daten gespeichert?

Auf deutschen Servern. Bastora arbeitet ausschließlich mit einem deutschen Hoster.

Was passiert, wenn ich Bastora deinstalliere?

Bei normaler Deaktivierung bleiben die Bastora-Einstellungen erhalten. Wenn Du das Plugin per „Löschen" entfernst, werden alle Einstellungen, Audit-Ergebnisse und Site-IDs gelöscht. Härtungen werden automatisch zurückgerollt. Bei aktivem Schwarm-Schutz meldet das Plugin den anonymen Token vorher beim Schwarm-Server ab.

Wie funktioniert der Bastora-Schwarm?

Der Bastora-Schwarm ist ein opt-in-basierter Pool aus teilnehmenden Bastora-Sites. Erkennt eine Site einen Brute-Force-Angriff (5 fehlgeschlagene Logins von derselben IP), schickt sie die Angreifer-IP samt Angriffs-Typ anonym an einen zentralen Server. Wenn mehrere unabhängige Sites dieselbe IP melden oder eine einzelne Site dieselbe IP häufig meldet, wandert die IP in einen Sperrkatalog. Alle teilnehmenden Sites holen diesen Katalog alle paar Minuten ab und sperren die IPs vorbeugend. Eintragungen verfallen automatisch nach 72 Stunden, falls keine neuen Meldungen reinkommen. Bekannte Crawler (Googlebot, Bingbot, Cloudflare etc.) werden serverseitig nie übernommen, damit sie nicht versehentlich gesperrt werden.

Welche Daten verlassen meine Seite, wenn der Schwarm aktiv ist?

Ausschließlich: die Angreifer-IP, der Angriffs-Typ („login_bruteforce"), die Bastora-Plugin-Version und ein anonymer UUID-Token, der beim Aktivieren einmalig generiert wurde. Nicht versendet werden: Deine Domain, Deine URL, Deine Besucher-IPs, Deine Benutzernamen, Deine E-Mail-Adresse, irgendetwas zu Deiner Konfiguration. Auch der HTTP-User-Agent ist statisch („Bastora-Swarm/Version"), damit WordPress die Domain nicht über den Standard-UA mitschickt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Angriffsabwehr).

更新日志:

1.3.8 1.3.7 1.3.6 1.3.5 1.3.4 1.3.3 1.3.2 1.3.0