Konflikte mit Firewall- und Security-Plugins

WordPress-Security-Plugins blockieren standardmäßig Requests an /wp-json/*, weil dieser Endpoint eine klassische Angriffsfläche ist. Hubbee nutzt genau diesen Endpoint, also bricht eine Wordfence-Default-Installation die Verbindung still ab. Die Lösung ist in jedem Fall eine Allowlist-Regel für /wp-json/bz/v1/* — Hubbees Namespace-Subset, nicht die gesamte REST-API.

Wie du das Problem erkennst

Das Hubbee-Dashboard zeigt deine Site innerhalb von 15 Minuten nach Aktivierung als Offline, und der Diagnose starten-Button im Connect-Step meldet eines von:

• wordfence_blocked — Wordfence-Challenge- oder Lockout-Seite im Response-Body
• rest_api_blocked — HTTP 403/406 auf /wp-json/ mit Vendor-Branding
• unreachable — Request läuft in Timeout (Sucuri droppt manchmal still)

Wenn du Zugriff auf WP-Admin → Hubbee → Diagnostics hast, läuft die Self-Test-Karte dieselben Probes lokal.

Wordfence

1. WP-Admin → Wordfence → Firewall → All Firewall Options
2. Scroll zu Allowlisted URLs
3. Hinzufügen: */wp-json/bz/v1/*
4. Speichern. 60 Sekunden warten, dann Retry connection in Hubbee klicken.

Wenn du zusätzlich “Locked out”-Meldungen in Wordfence → Tools → Live Traffic siehst:

1. Wordfence → Tools → Live Traffic
2. Filter nach IP-oder-User. Find blockierte Einträge mit URL /wp-json/bz/.
3. Klick Unblock und adde die Source-IP zu Allowlisted IP Addresses.

Hubbees Request-Sources sind unter hubbee.io/legal/datenschutz → “Infrastructure providers” dokumentiert. Klein und stabil — einmal whitelisted, rotiert nicht.

Sucuri

Sucuri-WAF blockt REST-Calls von IPs außerhalb der Allowlist:

1. Sucuri-Cloud-Panel → Settings → Whitelist → Hubbee-Infrastruktur-IPs adden
2. Falls die Verbindung weiterhin fehlschlägt: WP-Plugin → Sucuri → Settings → API → Reset API key. Sucuri cacht Block-State für ~15 Minuten.

iThemes Security (jetzt “Solid Security”)

1. WP-Admin → Security → Settings → Advanced → Hide Backend → Disable (oder Slug anpassen)
2. Security → Settings → REST API → Default Access → Available to everyone (Preset Restricted access blockiert unseren Endpoint)
3. Wenn du Hide Backend mit Custom-Slug aktiv lässt, muss der Slug auch für REST gemappt werden, damit /wp-json/bz/v1/* weiter auflöst.

All In One WP Security & Firewall

1. WP Security → Firewall → Disable trace and track (lass Disable WP REST API AUS — das ist die häufigste stille Blockade)
2. 6G Firewall Rules → Enable ist OK; das 6G-Ruleset blockt keine /wp-json/*-Patterns.
3. Brute Force → Login Captcha ist OK; CAPTCHA betrifft REST nicht.

Cloudflare Bot Fight Mode

Cloudflares Bot Fight Mode behandelt Hubbee-Polling als Bot-Traffic und liefert eine Challenge-Seite aus. Siehe Cloudflare-Setup.

Was die Allowlist-Regel macht

*/wp-json/bz/v1/* erlaubt:

• Hubbees outbound Calls (POST /wp-json/bz/v1/push, GET /wp-json/bz/v1/status, …)
• Alle anderen /wp-json/*-Namespaces bleiben durch deine Security-Plugin-Defaults geschützt.

Das ist die Least-Privilege-Allowlist — schmaler als ganz /wp-json/*. Wenn dein Security-Plugin nur IP-basiertes Allowlisting unterstützt, nutze das Hubbee-IP-Set aus der Privacy Policy + Host-Level wp-json Regel als Defense-in-Depth.

Wenn du trotzdem nicht verbinden kannst

WP-Admin → Hubbee → Diagnostics → Self-Test mit dem Problem-Plugin temporär deaktiviert. Wenn Self-Test jetzt durchläuft:

• Plugin wieder aktivieren
• Self-Test erneut → bestätige Failure
• Toggle Rules eine-nach-anderen bis du den Auslöser findest

Wenn du das Security-Plugin nicht deaktivieren kannst (Managed Hosting, Production), mail support@hubbee.io mit Failed-Self-Test-Output. Wir haben funktionierende Configs für die meisten Major-Security-Stacks.