Wordpress | Einbruchsversuche

[Freelancer-Websites]

Hi zusammen,
bei einem Blog von mir versucht man seit einiger Zeit per Brute-Force ins Back-End zukommen. Es ging bisher so weit, dass mein Hoster die Seite sogar einmal offline nehmen musste und beim anderen Mal das Projekt auf einen einzelnen Server verlagert hatte.

Ich hab gestern das Plugin "Limit Login Attempts" installiert und den Filter bisschen schärfer gezogen. Bingo! Heute abend wieder Attacken. Bisher habe ich ü200 Mal die Benachrichtigung bekommen, dass der jeweilige Angreifer mit der dazugehörigen IP gesperrt wurde.

Frage: Macht es Sinn mit den Ip`s loszuwackeln und Anzeige gegen Unbekannt zu stellen, oder ist das eh zwecklos weil nicht verfolgbar unter Berücksichtigung wirtschaftlicher Gesichtspunkte.

Domain gibts im Zweifel natürlich auch per PN.

[MonsieuL]

Stell bei LLA doch die Wartezeit auf 48 Stunden oder mehr.

Wenns irgend ne russische oder chinesische IP ist sperr halt die Range über htaccess.

Ich denke nicht, dass so jemand über die IP identifiziert werden kann.

[Freelancer-Websites]

Gute Idee. Hab die Wartezeit um einiges nach oben gesetzt. Mhh - sonst noch ne Möglichkeit?

[DomiJi]

Hast du die Möglichkeit auf dem Server Fail2Ban zu aktivieren oder installieren?

[Freelancer-Websites]

Ohh - gleich mal nachgucken was das ist. Ich selbst werde keine Möglichkeit haben etwas zu installieren - ich frag morgen aber meinen Hoster ob was geht. Wäre ja auch in seinem Interesse und bisher war er doch sehr flexibel.

Danke für den Tipp!

[jabbadu]

Darf ich fragen bei welchem Hoster du bist?

[Freelancer-Websites]

Netcup und Domainfactory. Beide völlig unterschiedlich in ihrer Art - aber erstklassige Dienstleister.

[heinrich]

IPs zu sperren ist völlig sinnlos! Ich habe die Anzahl der zulässigen Versuche auf 9999 gestellt und ruhig war es - die werden doch nie auf diese Weise das Passwort knacken! Wenn sie schon vorher keine Chance haben, den admin mit 36 Buchstaben, Ziffern und Sonderzeichen herauszufinden ... Die schmeißen dein WP dann irgendwann aus ihren Listen! Die einzige Chance ist, die bluten zu lassen!

[Freelancer-Websites]

@heinrich

Eine Domain habe ich auf diese Weise bereits verloren. Zum Glück war es nur ein Nebenprojekt - nicht wichtig und kein Umsatzbringer. Aber das hat mich erstmal wachgerüttelt.

Auf der Seite wurde nach dem Eindringen ein Phising-Tool im Code versteckt, der Zugangsdaten von Google Docs glaube ich sammeln sollte. Ich hatte davon erst etwas mitbekommen, als mich mein Hoster angeschrieben und mir die Domain gesperrt hat. So ne Nummer ist kein Spaß. Ich sollte eine Unterlassungserklärung unterzeichnen weil ich der Inhaber war und ich wurde schriftlich darüber aufgeklärt, was ich als Domaininhaber für Pflichten habe.

Ich bin bei dem Thema jetzt ein gebranntes Kind! Gute Nacht.

[heinrich]

Wenn dir ein sicherer Admin-Name und ein sicheres Passwort nicht genügen, dann kannst du ja zur Sicherheit noch den Admin-Bereich durch ein Passwort zusätzlich schützen ... Mir ist es eher wichtig, denen die Lust an meinen WP-Installationen zu verderben.

[nerd]

Frage: Macht es Sinn mit den Ip`s loszuwackeln und Anzeige gegen Unbekannt zu stellen, oder ist das eh zwecklos weil nicht verfolgbar unter Berücksichtigung wirtschaftlicher Gesichtspunkte.

Hallo,

Bei wordpress blogs ist es in 99% aller faelle eine automatische attacke die nur versucht auf moeglichst vielen seiten spam oder phishing seiten unterzubringen. Es ist nichts gegen dich persoehnlich, oder deine seite im speziellen

Ich wuerde alle admin-login seiten zusaetzlich ueber die .htaccess per password sichern. Soll heissen bevor du auf die WP-login seite gelangst wirst du vom browser nach usernamen/passwort gefragt; bzw. der bot muss erstmal die hhtp auth ueberwinden bevor er versuchen kann wordpress zu knacken. Die username/password combi sollte in beiden faellen unterschiedlich sein, passwordmanager sind hier dein freund.

Die IP zu blocken bringt nichts da die attacken hoechstwahrscheinlich ueber botnets laufen, und der angreifer sicher ein paar hunderttausend davon hat. Wenn du die moeglichkeit hat, dann sperre am besten komplette laender per IP aus.

[propaganda]

Ich empfehle Dir das Plugin WP Better Security.
Damit kannst Du u.a. auch die Login-URLs ändern.

[Torx]

Hatte kürzlich das gleiche Problem.
Der erste Schritt meines Hosters war es die Admin login Seiten mit einem Passwort zu sichern so wie nerd es schrieb.
Danach war bei mir Ruhe
Im Anschluss hat mir ein Serveradmin Fail2Ban installiert.

[chrisd]

hi

Schreib in die .htaccess zusätzlich:

# protect wp-login.php weil sonst manche Plugins spinnen wie ich festgestellt habe, deshalb schützen wir nur die Loginfile
<files wp-login.php>
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile /pfad/zur/.htpasswd
require valid-user
</files>

noch eine .htpasswd ( https://www.htaccesstools.com/htpasswd-generator/ ) Datei mit Passwort und der Brutoforce läuft komplett ins leere

mfg

chris

[Beloe007]

@heinrich

Eine Domain habe ich auf diese Weise bereits verloren. Zum Glück war es nur ein Nebenprojekt - nicht wichtig und kein Umsatzbringer. Aber das hat mich erstmal wachgerüttelt.

Domains immer vom Hoster trennen! Und einen Domainregistrar nutzen der doppelte Authentifizierung anbietet, z.B. https://www.inwx.de/ ist so ein Anbieter.

Dann bist du relativ sicher, selbst wenn dein Hostingaccount /E-Mails o.ä. gehackt würde, blieben dir immer noch die Domains.

Aber auch wenn der Hoster dir mal nicht mehr passen sollte kannst du ohne Domainumzughickhack wechseln.

Ich nutze für wichtige Dinge nur noch Anbieter die doppelte Authentifizierung anbieten. Ist im Übrigen auch bei jedem wichtigen Googlekonto zu empfehlen.