Brute Force Attacken auf das Wordpress

Wilhelm · 2016-06-22T19:34:13.694Z

Hallo,

ich wollte nur mal darauf hinweisen, dass Wordpress ja (auf Grund seiner Verbreitung) auch unter Beschuss steht.

Seit Beginn an habe ich ein kleines Plugin installiert, es heißt Limit-Login Attempts und sorgt dafür, dass man nach 3 Fehleingaben 30 Minuten aus dem Anmeldevorgang ausgeschlossen wird, nach 4 solcher Zyklen wird die betreffende IP direkt für 24h ausgesperrt.

Leider ist das Plugin 2 Jahre alt, es gibt vielleicht ja sogar besser Gepflegte, die genau das selbe machen. Das Plugin ist Multisite-fähig und einfach in der Handhabe.

Bei mir bemerke ich seit ca. einer Woche verstärkt Angriffsversuche. Darum habe ich mein Passwort noch mal gehärtet. Den User “Admin” sollte man bekanntlich ja eh nicht führen.

Vielleicht nutzt das der ein oder andere noch mal zuschauen ob alle Plugins und Themes auf dem aktuellen Stand sind und ob die Passworte stark genug sind.

Man kann mit dem Tool Login Security Solution noch ein bisschen mehr machen und auch alle Passworte mit einem Klick zurücksetzen, sowie alle User zum Ändern der PW auffordern.

Außerdem sollte jeder User nur so viele Rechte haben, wie er braucht. Nicht jeder muss Admin-Status haben.

Joey · 2016-06-22T20:23:43.410Z

Ich nutze dasselbe Plugin. Teilweise brachen wahre Login-Wellen über meine Seite herein. Bislang hat alles gehalten. Das Schlimmste waren die zweihundert Hinweis-Mails. Aber das kann man ja alles umändern in den Optionen.

Neben Admin sollte auch kein Contributor-Name und auch nicht die Domain als Login verwendet werden. Das wurde bei mir oft probiert.

B-G · 2016-06-22T20:27:20.653Z

Ich werfe mal noch WPS Hide Login in die Runde… Verschiebt den Login von dem Standard /wp-admin an einen X-Beliebigen Ort.

Wilhelm · 2016-06-22T20:36:24.272Z

Sehr guter Hinweis!
Security durch Obscurity!

Deleted · 2016-06-23T17:33:45.358Z

Hihi, bringt aber nix, steht ja in den Metadaten drin und das kannst Du über automation simpel auslesen + macht einen neue call auf den du erst dadurch ausnutzen kannst, dich anmelden zu können /Hust/

Wilhelm · 2016-06-23T17:54:17.286Z

Kannst Du das noch mal genauer ausführen? Ich habe es nicht verstanden. Ist das nun gut oder schlecht?

Deleted · 2016-06-23T18:07:29.828Z

Wilhelm:

Seit Beginn an habe ich ein kleines Plugin installiert, es heißt Limit-Login Attempts und sorgt dafür, dass man nach 3 Fehleingaben 30 Minuten aus dem Anmeldevorgang ausgeschlossen wird, nach 4 solcher Zyklen wird die betreffende IP direkt für 24h ausgesperrt.

Bringt leider wenig, das hält nur scrip kiddys ab.

Solche Angriffe werden nicht von solchen geführt. Dabei geht es auch nicht darum, auf deinen Blog Zugriff zu bekommen, damit sie in Ihren Namen einen Blogpost schreiben oder einen Podcast veröffentlichen können (Das kann man ja einfacher haben und dich einfach fragen )

Solche Sachen sind nur relevant für sehr bekannte Bloger oder Podcaster die sehr die Gemüter anheizen.

Worum es geht, sind die 3/4 aller Versuche um eigene Server-Automationen hin zu bekommen. Sprich, hier kommen Bot Systeme zu laufen. Denen ist praktisch egal ob du da 3 Versuche hast. Damit auch ob dein Plugin IPs blockt oder withe/blacklist führt. Denn wenn Du vernetzte Bots hast, nur 1000 dann hast Du 1000 x 3 Versuche, da jeder Bot eine andere IP hat. Einfach 24 Stunden warten und alles kann von neuem beginnen. So wenig Bots sind jedoch meist kein Wirklich großes Netz.

Es geht am Ende darum, in eine Datei einzudringen um Ihr z.B einen Query einzuführen.
Meinst haben die Betreiber so etwas wie eine Fakeseite (Paypal). Sie leiten dann einfach die Leute über request von deinen Blog auf einen anderen weiter. Dafür wird das gewollt.

Achtung auch bei kostenlosen Plugins oder Themes!

Siehe auch:
https://twitter.com/McCouman/status/453979812722245634

Zu deiner Frage:
Schlecht sind die PlugIns also nich. Sich darauf zu verlassen macht es aber nicht sicherer. Des weiteren werden meist Calls nach Hause oder zu unbekannten von deinem WP gemacht (ohne dich zu fragen). Diese werden oft einfach von Bots abgefangen. Deshalb springen sie das WP dann an.

P.S. wenn Du mal wissen willst, was dein WP so alles an Daten nach draußen haut oder wen es alles kontaktiert kann ich mal Snitch empfehlen.
ACHTUNG: danach wieder löschen wenn nicht mehr gebraucht!

SteveRueck · 2016-06-23T20:08:07.749Z

Ich habe meinen LogIn Bereich zusätzlich nochmal via htaccess abgesichert. Ist zwar beim einloggen etwas umständlicher, aber das ist es mir durchaus wert.

Wilhelm · 2016-06-23T23:08:16.509Z

Dass das alles nicht 100% standhält, das ist klar. Aber zumindest bekomme ich das mit und es hat mich dazu motiviert mein bequemes Passwort zu erweitern. Ich werde Snitch mal probieren.

Jetzt habe ich ein 28 Zeichen langes Passwort. Ist nicht so ganz optimal, könnte länger sein, aber naja …

Dass das Posten eines Blogs, sondern das starten eigener Software wichtiger für Angreifer ist, ist klar. Aber @Deleted wie kann man das aber eig. am besten vermeiden, auch wenn das jmd. schafft auf die Kiste zu kommen? Schreibrechte für User?

B-G · 2016-06-23T23:40:57.647Z

Danke. Auch für die erhellende Antwort weiter unten.

Über das gulli:hackerbuch (chrchr) bin ich nie rausgekommen.
(ok, ich war 13)

Soilman82 · 2016-06-24T16:52:23.398Z

Wir nutzen Zwei-Faktor-Authentifizierung mit einem Google Authenticator Plugin

Dieses hier: https://wordpress.org/support/view/plugin-reviews/google-authenticator

Gibt auch noch andere.

Deleted · 2016-06-24T18:59:08.581Z

Ist nicht so wirklich umständlich. Nutze doch einfach einen Bookmark dafür

.httacces bzw .htpasswd kannst Du auflösen in dem du es im Header mitschickst.

Das geht per URL so zu machen:
http://<username>:<password>@mein-toller-podcast.tld

johmue · 2016-06-24T18:59:58.779Z

Ich hänge vor /wp-login und /wp-admin eine HTTP-Authentifizierung.

obstschale · 2016-06-30T09:30:38.369Z

Basic Auth (also mit .htaccess und .htpasswd) kann man gut nutzen um noch mal eine weitere Schicht hinzuzufügen. So kommen die Bots, die ja @Deleted hier schon erwähnt hat, erst gar nicht an die WP Installation und somit wird der Server etwas geschont.

Jetzt kommt aber das große aber. Basic Auth hat ein paar Schwachstellen bzw. Issues, die man kenne sollte wenn man es einsetzte:

Passwörter werden in base64 kodiert, das kann man einfach wieder zurück in Klartext übersetzen
Das Password wird für jeden Request an die Seite übermittelt. Damit entsteht eine größere Chance für Angreifer das Pw herauszufinden
Das Password ist im Browsercache gespeichert. (Kann z.B. CSRF Attacken hervorufen)

Deleted:

Das geht per URL so zu machen:http://<username>:<password>@mein-toller-podcast.tld

@Deleted hat oben die Möglichkeit gezeigt, dass man das Pw in der URL mit schicken kann. Ja das klappt, aber wenn ihr http nutzt, kann jeder das Password mitlesen (also Vorsicht). Ihr könnt https nutzen. Das ist schon mal besser, aber würde nur den ersten Punkt, der Schwachstellen, lösen, die ich oben genannt habe.

Also HTTPS ist schon mal gut, aber Basic Auth ist auch „nur“ eine weitere Hardening Schicht um eurer WordPress Zwiebel. Ein starkes Password und ggf. 2-Factor-Auth sollten immer (in meinen Augen) zuerst Umgesetzt werden.