Was OLOsecurity ist
OLOsecurity ist ein All-in-One-WordPress-Sicherheitsplugin: Firewall, Antivirus, Zugriffsverwaltung mit 2FA, Audit und Bereinigung in einem Panel, Sentinel, 8 operative Tabs.
Die Grundentscheidung: 100 % lokale Verarbeitung. Analysen, Signaturen und Logs bleiben auf deinem Server; kein Traffic wird zur „Analyse" in fremde Clouds geschickt. Keine Fremd-Datasets im Plugin: Feeds werden on-demand von deiner Website geladen. DSGVO einfach.
GPL-Code, Zeile für Zeile prüfbar. WP Plugin Check: 0 Fehler / 0 Warnungen.
Firewall · mini-WAF
- OWASP-Regeln nach Familie: SQL-Injection, XSS, Path Traversal, LFI/RCE, gruppenweise aktivierbar.
- IP-Reputation aus öffentlichen Listen + erweiterte Blockregeln.
- Rate Limiting bei auffälligen Anfragen.
- Geo-Blocking IPv4 und IPv6 nach Land.
- Vertrauenswürdige Proxys: Erkennung von Cloudflare und lokalen Netzen zur korrekten Auswertung von
X-Forwarded-For.
Accessi & 2FA
- Anti-Brute-Force: Versuchslimit, zeitgesteuerter Lockout, permanente Auto-Blockliste für Wiederholungs-IPs, Allow-/Blockliste.
- TOTP-2FA: QR-Setup, Wiederherstellungscodes, E-Mail-Fallback, Admin-Reset.
- Kompromittierte Passwörter: HIBP-Prüfung mit k-anonymity: Das Passwort verlässt nie den Server.
- CAPTCHA und Blockade der Benutzer-Enumeration.
- Erkennung falscher Crawler: FCrDNS-Prüfung: Wer sich als Googlebot ausgibt, wird enttarnt.
- Optionales Hardening: XML-RPC, Security-Header, Versionsverstecken,
DISALLOW_FILE_EDIT, PHP-Upload-Blockade, .htaccess-Schutz.
Scanner · drei Durchläufe
- Integrität / Checksummen: Trust-on-first-use-Baseline; Vergleich von Core, Plugins und Themes mit wordpress.org; erkennt geänderte Dateien.
- Tiefe Heuristik: durchläuft PHP-Dateien (überspringt Nicht-Ausführbares) mit 5 starken, gegen Fehlalarme kalibrierten Heuristiken; die maskierte Doppelendung (z. B.
.jpg.php) gilt als nahezu sichere Webshell. - Malware-Signaturen: MD5/SHA256-Hash-Durchlauf über den Signatur-Feed: O(1)-Lookups, vernachlässigbare Kosten.
Performance: ~11.000 PHP-Dateien in ~2–3 Sekunden auf einer typischen Website; bei Hosts mit Timeouts Blockmodus mit Wiederaufnahme. CVE-Feed für installierte Plugins und Themes, tägliches Cron-Update, Indizes mit Autoload OFF.
Wiederherstellung & Log
- Geführte Bereinigung nach einem Angriff: One-Click-Core-Reparatur aus der offiziellen Version, Plugin-/Theme-Neuinstallation von wordpress.org mit automatischem Backup.
- Reversible Quarantäne verdächtiger Dateien.
- Salt-Regenerierung und übergabefertiger Vorfallsbericht.
- Audit-Log „wer/was/wann" auf eigener Tabelle, filterbar, CSV-Export, 90 Tage Aufbewahrung.
- Monitoring: Echtzeit-Traffic, Ereignisdiagramm, Speicherplatz-Monitor, E-Mail-Digest, Webhooks.
Datenblatt
| Typ | All-in-One-WordPress-Sicherheitsplugin · Sentinel-Panel, 8 Tabs |
| Anforderungen | WordPress 5.9+ (getestet bis WP 7.0) · PHP 7.4+ |
| Verarbeitung | 100 % lokal, kein Traffic in fremde Clouds |
| Firewall | Mini-WAF: regole OWASP per famiglia, reputazione IP, rate limiting, geo-blocco IPv4/IPv6 |
| Zugänge | Anti-Brute-Force, TOTP-2FA + Wiederherstellung, HIBP k-anonymity, CAPTCHA, FCrDNS |
| Scanner | Checksummen vs. wordpress.org · 5 Anti-Webshell-Heuristiken · MD5/SHA256-Hashes O(1) |
| Performance | ~11.000 PHP-Dateien in ~2–3 s · Blockmodus mit Wiederaufnahme |
| Feedon-demand · opt-in | maldet/rfxn.com, InterServer (~76.000 Signaturen) · OpenPhish + URLhaus (~30.000 URL) · api.wordpress.org (checksum, CVE) · täglicher Cron |
| Wiederherstellung | Geführte Bereinigung, reversible Quarantäne, Salt-Regenerierung, Vorfallsbericht |
| Log | Audit-Log auf eigener Tabelle · CSV-Export · 90 Tage |
| Lizenz | GPLv2 or later · WP Plugin Check 0 Fehler / 0 Warnungen |