104394
Oct 09, 2015
2425
6
0
Brute Force Angriffe auf meiner Wordpress Seite
Hallo!
Seit kurzem wird meine Webseite eine Wordpress Installation auf dem Webserver durch Brute-Force-Attacken angegriffen.
Habe nun ein Plugin "Wordfence" installiert. Im Viertelstundentakt bekomme ich Anmeldeversuche mit dem Benutzernamen "admin" - dieses Konto existiert nicht. Das Admin-Konto nennt sich anders.
Die Anmeldeversuche wurden auf 1 eingestellt, somit wird die IP für 12 Stunden gesperrt. Aber es folgt anschließend wieder ein Versuch mit einer anderen IP-Adresse. usw...........................
Hätte nun das Verzeichnis wp-admin/ mit einer htaccess Datei versehen und nur meine IP freigegeben und allen anderen den Zugriff verboten.
Die htaccess Datei funktioniert auch problemlos und verweigert den Zugriff unter einer anderen Ip.
Allerdings habe ich weiterhin die Benachrichtigung des Plugin, dass Anmeldeversuche durchgeführt werden, obwohl man als Fremder die Loginseite nicht mehr aufrufen kann.
Was soll ich tun?
Apollo0815
Seit kurzem wird meine Webseite eine Wordpress Installation auf dem Webserver durch Brute-Force-Attacken angegriffen.
Habe nun ein Plugin "Wordfence" installiert. Im Viertelstundentakt bekomme ich Anmeldeversuche mit dem Benutzernamen "admin" - dieses Konto existiert nicht. Das Admin-Konto nennt sich anders.
Die Anmeldeversuche wurden auf 1 eingestellt, somit wird die IP für 12 Stunden gesperrt. Aber es folgt anschließend wieder ein Versuch mit einer anderen IP-Adresse. usw...........................
Hätte nun das Verzeichnis wp-admin/ mit einer htaccess Datei versehen und nur meine IP freigegeben und allen anderen den Zugriff verboten.
Die htaccess Datei funktioniert auch problemlos und verweigert den Zugriff unter einer anderen Ip.
Allerdings habe ich weiterhin die Benachrichtigung des Plugin, dass Anmeldeversuche durchgeführt werden, obwohl man als Fremder die Loginseite nicht mehr aufrufen kann.
Was soll ich tun?
Apollo0815
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285112
Url: https://administrator.de/contentid/285112
Printed on: April 18, 2024 at 11:04 o'clock
6 Comments
Latest comment
Hallo @apollo0815,
Du kannst hier nicht viel tun ausser warten, bis die Angriffe aufhören.
Du hast bereits gute Schritte geleistet, aber gehe auf jeden Fall sicher, dass sich deine IP nicht ändern wird. Sonst wirst du dich am Ende selbst ausgeschlossen haben.
u.U. erfolgt der Loginversuch garnicht unter /wp-admin? Jedenfalls schonmal gut, dass der Useraccount nicht
Gruß,
@Snowman25
Du kannst hier nicht viel tun ausser warten, bis die Angriffe aufhören.
Du hast bereits gute Schritte geleistet, aber gehe auf jeden Fall sicher, dass sich deine IP nicht ändern wird. Sonst wirst du dich am Ende selbst ausgeschlossen haben.
u.U. erfolgt der Loginversuch garnicht unter /wp-admin? Jedenfalls schonmal gut, dass der Useraccount nicht
admin heißt und du ein Fail2Ban-artiges System einsetzt. Damit solltest du relativ sicher sein. Ist dein Wordpress denn auch in der aktuellsten Version?Gruß,
@Snowman25
Vielen Dank erstmal für die schnelle Rückmeldung.
Ja, es ist die aktuellste Version installiert.
Was meinst du mit "u.U. erfolgt der Loginversuch garnicht unter /wp-admin?"
Sollen noch andere Dateien oder Verzeichnisse mit htaccess gesichert werden?
- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
Ja, es ist die aktuellste Version installiert.
Was meinst du mit "u.U. erfolgt der Loginversuch garnicht unter /wp-admin?"
Sollen noch andere Dateien oder Verzeichnisse mit htaccess gesichert werden?
- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
Zitat von @104394:
- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
Immerhin erfolgen die Logins ja auf die wp-login.php und nicht im wp-admin Verzeichnis (davon gehe ich mal aus), deshalb bekommst du auch Meldungen von Wordfence. Dieses setzt nämlich bei den LogIn-Versuchen an und nicht im admin-Verzeichnis.- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
Ist trotzdem eine gute Kombo: Sollte der Angreiffer doch erfolg haben mit dem Brute-Force Angriff, so kann er dann doch nicht auf das /wp-admin-Verzeichnis zugreiffen.
Abwarten und Tee trinken
- @Snowman25
1
Zitat von @104394:
- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
- ist es notwendig die Datei wp-login.php auch abzusichern? (Diese befindet sich im Hauptverzeichnis und nicht im geschützten Unterverzeichnis wp-admin)
Kannst du zusätzlich natürlich jederzeit machen. Schaden kann es denk ich mal nicht.
<Files wp-login.php>
AuthUserFile /var/irgendwo/.htpasswd
AuthName "Auth required"
AuthType Basic
require user blabla
</Files>
Hallo, die wp-login.php ist die Datei die geschützt werden muss. Der Login erfolgt ja über diese Datei und nicht über das /wp-admin/ Verzeichnis.
Weitere Tipps hier im Forum oder unter http://www.drweb.de/magazin/eine-wordpress-installation-korrekt-absiche ...
Weitere Tipps hier im Forum oder unter http://www.drweb.de/magazin/eine-wordpress-installation-korrekt-absiche ...
3
Hallo,
wirklich viel tun kannst Du nicht.
Wir kennen das hier auch.
Bei der letzten fiesen Aktion waren es ca. 80 IP-Adressen verteilt über die ganze Welt.
Man kann also nicht mal Subnetzte sperren.
Nach und nach die IPs mittels iptable sperren/droppen.
wp-login umbennen oder verschieben (später wiederherstellen).
Schau auch mal nach dem Agent-String. Des ist häufig leer und damit kann man auch filtern.
Viele Grüße
Stefan
wirklich viel tun kannst Du nicht.
Wir kennen das hier auch.
Bei der letzten fiesen Aktion waren es ca. 80 IP-Adressen verteilt über die ganze Welt.
Man kann also nicht mal Subnetzte sperren.
Nach und nach die IPs mittels iptable sperren/droppen.
wp-login umbennen oder verschieben (später wiederherstellen).
Schau auch mal nach dem Agent-String. Des ist häufig leer und damit kann man auch filtern.
Viele Grüße
Stefan
