v1.3.0

Flexible Webhooks — Reporting an AbuseIPDB und andere Dritt-APIs

Das Webhook-System kann jetzt beliebige externe APIs bedienen. Pro Webhook konfigurierbar:

• HTTP-Methode: POST, PUT, PATCH oder GET
• Eigene HTTP-Header (z. B. API-Keys) — eine Zeile pro Header, überschreiben die Defaults
• Body-Format:
  • json — strukturiertes Detection-Payload (wie bisher, Default)
  • form — flache Key/Value-Felder als application/x-www-form-urlencoded
  • custom — frei definierbares Body-Template mit Platzhaltern
• Platzhalter in Body-Template und URL: {{ip}}, {{categories}}, {{abuseipdb_categories}}, {{comment}}, {{severity}}, {{analyzers}}, {{uri}}, {{method}}, {{user_agent}}, {{host}}, {{timestamp}}, {{version}}, {{event}} — jeweils auch als _url- und _json-Variante

AbuseIPDB-Integration

{{abuseipdb_categories}} übersetzt reportedip.de-Kategorien automatisch in AbuseIPDB-Kategorie-IDs (1–23 sind identisch, die CMS-Kategorien 24–58 werden auf die nächstliegenden Äquivalente gemappt, z. B. WP Login Brute Force auf Brute-Force + Web App Attack). Im Admin-Formular gibt es Quick-Presets für AbuseIPDB, Slack, Discord und Generic JSON — Preset wählen, API-Key eintragen, fertig.

Test-Deliveries senden die Loopback-IP 127.0.0.1, damit Abuse-Datenbanken den Test ablehnen statt einen echten Report zu speichern.

Sonstiges

• Schema-Migration läuft automatisch (neue Spalten in honeypot_webhooks)
• Mehrere Detections pro Request werden aggregiert (Kategorien vereinigt, Severity = Maximum, Kommentare zusammengeführt)
• 363 Tests (11 neue), End-to-End verifiziert inkl. echtem Angriff gegen den Honeypot mit korrekt gemapptem AbuseIPDB-Report

Enthält außerdem alle Fixes aus v1.2.1 (Autoloader-Fallback, opcache-Reset nach Self-Update).