Brute Force Attacken auf das Wordpress

Hallo,

ich wollte nur mal darauf hinweisen, dass Wordpress ja (auf Grund seiner Verbreitung) auch unter Beschuss steht.

Seit Beginn an habe ich ein kleines Plugin installiert, es heißt Limit-Login Attempts und sorgt dafür, dass man nach 3 Fehleingaben 30 Minuten aus dem Anmeldevorgang ausgeschlossen wird, nach 4 solcher Zyklen wird die betreffende IP direkt für 24h ausgesperrt.

Leider ist das Plugin 2 Jahre alt, es gibt vielleicht ja sogar besser Gepflegte, die genau das selbe machen. Das Plugin ist Multisite-fähig und einfach in der Handhabe.

Bei mir bemerke ich seit ca. einer Woche verstärkt Angriffsversuche. Darum habe ich mein Passwort noch mal gehärtet. Den User “Admin” sollte man bekanntlich ja eh nicht führen.

Vielleicht nutzt das der ein oder andere noch mal zuschauen ob alle Plugins und Themes auf dem aktuellen Stand sind und ob die Passworte stark genug sind.

Man kann mit dem Tool Login Security Solution noch ein bisschen mehr machen und auch alle Passworte mit einem Klick zurücksetzen, sowie alle User zum Ändern der PW auffordern.

Außerdem sollte jeder User nur so viele Rechte haben, wie er braucht. Nicht jeder muss Admin-Status haben.

Ich nutze dasselbe Plugin. Teilweise brachen wahre Login-Wellen über meine Seite herein. Bislang hat alles gehalten. Das Schlimmste waren die zweihundert Hinweis-Mails. Aber das kann man ja alles umändern in den Optionen.

Neben Admin sollte auch kein Contributor-Name und auch nicht die Domain als Login verwendet werden. Das wurde bei mir oft probiert.

2 „Gefällt mir“

Ich werfe mal noch WPS Hide Login in die Runde… Verschiebt den Login von dem Standard /wp-admin an einen X-Beliebigen Ort.

1 „Gefällt mir“

Sehr guter Hinweis!
Security durch Obscurity!

Hihi, bringt aber nix, steht ja in den Metadaten drin und das kannst Du über automation simpel auslesen + macht einen neue call auf den du erst dadurch ausnutzen kannst, dich anmelden zu können /Hust/

Kannst Du das noch mal genauer ausführen? Ich habe es nicht verstanden. Ist das nun gut oder schlecht?

Bringt leider wenig, das hält nur scrip kiddys ab.

Solche Angriffe werden nicht von solchen geführt. Dabei geht es auch nicht darum, auf deinen Blog Zugriff zu bekommen, damit sie in Ihren Namen einen Blogpost schreiben oder einen Podcast veröffentlichen können (Das kann man ja einfacher haben und dich einfach fragen :slight_smile: )

Solche Sachen sind nur relevant für sehr bekannte Bloger oder Podcaster die sehr die Gemüter anheizen.

Worum es geht, sind die 3/4 aller Versuche um eigene Server-Automationen hin zu bekommen. Sprich, hier kommen Bot Systeme zu laufen. Denen ist praktisch egal ob du da 3 Versuche hast. Damit auch ob dein Plugin IPs blockt oder withe/blacklist führt. Denn wenn Du vernetzte Bots hast, nur 1000 dann hast Du 1000 x 3 Versuche, da jeder Bot eine andere IP hat. Einfach 24 Stunden warten und alles kann von neuem beginnen. So wenig Bots sind jedoch meist kein Wirklich großes Netz.

Es geht am Ende darum, in eine Datei einzudringen um Ihr z.B einen Query einzuführen.
Meinst haben die Betreiber so etwas wie eine Fakeseite (Paypal). Sie leiten dann einfach die Leute über request von deinen Blog auf einen anderen weiter. Dafür wird das gewollt.

Achtung auch bei kostenlosen Plugins oder Themes!

Siehe auch:

Zu deiner Frage:
Schlecht sind die PlugIns also nich. Sich darauf zu verlassen macht es aber nicht sicherer. Des weiteren werden meist Calls nach Hause oder zu unbekannten von deinem WP gemacht (ohne dich zu fragen). Diese werden oft einfach von Bots abgefangen. Deshalb springen sie das WP dann an.

P.S. wenn Du mal wissen willst, was dein WP so alles an Daten nach draußen haut oder wen es alles kontaktiert kann ich mal Snitch empfehlen.
ACHTUNG: danach wieder löschen wenn nicht mehr gebraucht!

3 „Gefällt mir“

Ich habe meinen LogIn Bereich zusätzlich nochmal via htaccess abgesichert. Ist zwar beim einloggen etwas umständlicher, aber das ist es mir durchaus wert.

2 „Gefällt mir“

Dass das alles nicht 100% standhält, das ist klar. Aber zumindest bekomme ich das mit und es hat mich dazu motiviert mein bequemes Passwort zu erweitern. Ich werde Snitch mal probieren.

Jetzt habe ich ein 28 Zeichen langes Passwort. Ist nicht so ganz optimal, könnte länger sein, aber naja …

Dass das Posten eines Blogs, sondern das starten eigener Software wichtiger für Angreifer ist, ist klar. Aber @McCouman wie kann man das aber eig. am besten vermeiden, auch wenn das jmd. schafft auf die Kiste zu kommen? Schreibrechte für User?

Danke. Auch für die erhellende Antwort weiter unten. :smiley:

Über das gulli:hackerbuch (chrchr) bin ich nie rausgekommen.
(ok, ich war 13) :stuck_out_tongue:

2 „Gefällt mir“

Wir nutzen Zwei-Faktor-Authentifizierung mit einem Google Authenticator Plugin

Dieses hier: https://wordpress.org/support/view/plugin-reviews/google-authenticator

Gibt auch noch andere.

Ist nicht so wirklich umständlich. Nutze doch einfach einen Bookmark dafür :wink:

.httacces bzw .htpasswd kannst Du auflösen in dem du es im Header mitschickst.

Das geht per URL so zu machen:
http://<username>:<password>@mein-toller-podcast.tld

1 „Gefällt mir“

Ich hänge vor /wp-login und /wp-admin eine HTTP-Authentifizierung.

1 „Gefällt mir“

Basic Auth (also mit .htaccess und .htpasswd) kann man gut nutzen um noch mal eine weitere Schicht hinzuzufügen. So kommen die Bots, die ja @McCouman hier schon erwähnt hat, erst gar nicht an die WP Installation und somit wird der Server etwas geschont.

Jetzt kommt aber das große aber. Basic Auth hat ein paar Schwachstellen bzw. Issues, die man kenne sollte wenn man es einsetzte:

  • Passwörter werden in base64 kodiert, das kann man einfach wieder zurück in Klartext übersetzen
  • Das Password wird für jeden Request an die Seite übermittelt. Damit entsteht eine größere Chance für Angreifer das Pw herauszufinden
  • Das Password ist im Browsercache gespeichert. (Kann z.B. CSRF Attacken hervorufen)

@McCouman hat oben die Möglichkeit gezeigt, dass man das Pw in der URL mit schicken kann. Ja das klappt, aber wenn ihr http nutzt, kann jeder das Password mitlesen (also Vorsicht). Ihr könnt https nutzen. Das ist schon mal besser, aber würde nur den ersten Punkt, der Schwachstellen, lösen, die ich oben genannt habe.

Also HTTPS ist schon mal gut, aber Basic Auth ist auch “nur” eine weitere Hardening Schicht um eurer WordPress Zwiebel. Ein starkes Password und ggf. 2-Factor-Auth sollten immer (in meinen Augen) zuerst Umgesetzt werden.

2 „Gefällt mir“