perun.net – WordPress & Webwork



WordPress und Sicherheit: "du kommst hier ned rein"

Von am 07. 07. 2012 um 14:52

Ich weiß nicht wie es bei euch geht. Aber im Moment bekomme ich so in etwa 2-Minuten-Rhytmus folgende E-Mail:

8 failed login attempts (2 lockout(s)) from IP: xx.xxx.xxx.xx

Last user attempted: admin

IP was blocked for 24 hours

Mittlerweile sind das mehr als 20 E-Mails. Die Nachrichten werden von dem WordPress-Plugin Limit Login Attempts verschickt. Diese Erweiterung habe ich bereits hier beschrieben.

Dieses Plugin notiert Loginversuche. Gibt es von einer IP innerhalb eines festgelegten Zeitraumes zu viele Login-Versuche, auch diese zahl kann man festlegen, dann wird diese IP für einen festgelegten Zeitraum gesperrt. Das ist eine recht effektive Maßnahme um die sog. Brute-Force-Attacken zu erschweren.

Momentan gibt es, wie bereits erwähnt, einige Loginversuche, die auf den Loginnamen admin, demo, test und wordpress abzielen.

Deswegen ist, wie ich es schon hier ausführlich beschrieben habe, nicht nur wichtig das Limit Login Attempts zu installieren sondern neben einem sicheren Passwort auch einen Loginnamen zu wählen, der sich von den üblichen Angaben wie z. B. admin unterscheidet.

Diesen Artikel weiterempfehlen:

Premium WordPress Themes

Verwandte Artikel:

 — 


45 Kommentare

  1. 1.Aaron

    Kommentar vom 07.07.2012 um 15:06

    Ich habe bei mir das ganze wp-admin Verzeichnis per htaccess durch ein Passwort geschützt. Dann kann das eigentlich gar nicht soweit kommen, oder?

  2. 2.Dieter

    Kommentar vom 07.07.2012 um 15:08

    Kann von unserer Band-Website und der WordPress-Seite meiner Freundin ebenfalls berichten und bestätigten. :twisted:

    Überwiegend wird der Username admin versucht, den es eben aus Sicherheitsgründen nicht mehr gibt. Da sage ich auch Danke für Deine Sicherheitshinweise hier. Lästig, aber IP-Adressen, die mehrmals gesperrt wurden, also von denen es aus mehrmals versucht wurde, sperre ich mit Einträgen in der htaccess-Datei aus. :-P

  3. 3.Frank

    Kommentar vom 07.07.2012 um 15:56

    Es wär ein großer Gewinn an Sicherheit, wenn endlich dieses fucking "Username = author url" geändert würde…

  4. 4.Adrian

    Kommentar vom 07.07.2012 um 16:23

    Geht mir ganau so. Bekomme seit 3 Tagen jeden Tag 20 Mails über fehlgeschlagene logins.
    Mein Passwort ist aber ziemlich sicher also sollte da nichts passieren. Die Sperrzeit der Ips habe ich auf 100Stunden gesetzt.

  5. 5.Andyt

    Kommentar vom 07.07.2012 um 16:53

    Bei mir und auch bei betreuten Webseiten exakt genauso. Habe aber mittlerweile auch herausgefunden, dass zeitweise explizit vorhanden Userkonten verwendet wurden. Also z.B. mit Benutzern, die Artikel veröffentlicht haben.

  6. 6. – Alexander

    Kommentar vom 07.07.2012 um 17:17

    Meist handelt es sich hier um automatisierte Anfragen.

    Neben dem Schutz von Teilen des Admin-Ordners per .htaccess und eines Anti-Brute-Forece-Plugins wie Limit Login Attemps bzw. Login Ninja habe ich die beste Erfahrung damit gemacht, die gesamte WordPress-Installation in ein Unterverzeichnis zu verschieben und in der index.php entsprechend darauf zu verweisen.

    Dadurch wird der Admin-Bereich über z. B. http://www.domain.de/ordner/wp-admin erreicht und die automatisierten Anfragen laufen ins Leere.

  7. 7.Sascha

    Kommentar vom 07.07.2012 um 18:01

    Da habe ich vor kurzem mal lang und breit drüber geschrieben, wenn die Eigenwerbung erlaubt ist:
    http://www.blogverdiener.de/2012/06/30-tipps-um-wordpress-sicherheitslucken-zu-schliesen-das-sicherheitsupdate-deluxe/

    Langsam aber sicher nimmt das überhand. Ob Spam oder Login Versuche. Es wird immer mehr und die Angreifer immer raffinierter. Vielleicht kann man den Vorschlag von @Frank ja umsetzen. Das wäre sicherlich ein weiterer Schritt in die richtige, die sichere Richtung.

    LG
    Sascha

  8. 8.Cujo

    Kommentar vom 07.07.2012 um 21:12

    Alle 2 Minuten ist es zwar nicht, aber 10 Mails pro Tag sind es seit einigen Tagen schon. Aber solange als Benutzer immer "admin" verwendet wird, soll es mir recht sein ;-)

  9. 9.Markus

    Kommentar vom 07.07.2012 um 21:30

    geht mir auch so
    meistens kommen die IP´s aus RU und Türkei….
    sperre dann auch die ip´s per .htaccess

  10. 10.Kau-Boy

    Kommentar vom 07.07.2012 um 22:11

    Ich habe das Plugin auch vor ca. 6 Stunden installiert und auch ich habe schon bereits die erste Sperre von einem Benutzer aus der Türkei. Ich habe mir ja schon gedacht, dass es mal der ein oder andere versucht, aber das ging echt schnell.

    Wenn das ein Indiz dafür ist, dass der eigene Blog besonders interessant für Angriffe ist, wäre das ja fast schmeichelhaft, aber ich denke die Bots versuchen es einfach bei jedem WordPress Blog ;)

  11. 11.Marc

    Kommentar vom 07.07.2012 um 23:49

    Hier das gleiche… Bruteforce-Versuche ohne Ende… Nervt!

  12. 12. – KeSch

    Kommentar vom 08.07.2012 um 03:13

    Eine erhöhte Anzahl an fehlgeschlagenen Login-Versuchen kann ich weder bestätigen noch dementieren. Verwende als Sicherheits-Plugin aber auch keinen Login-Limiter, sondern NinjaWPass.
    Damit wird zusätzlich zu den regulären Zugangsdaten ein NinjaWPass-Passwort vergeben, woraus beim Login nur ausgewählte Zeichen abgefragt werden. Das gleiche Verfahren kommt auch bei HSBC Banking und ING DiBa zum Einsatz und dort wird Sicherheit doch ziemlich groß geschrieben. :wink:

    Gruß KeSch

  13. 13. – Tanja

    Kommentar vom 08.07.2012 um 06:51

    Eine nach der anderen meiner WordPress Installationen ist damit auch dran. Ob 20 Mails pro Tag ausreichen? Ist auf jeden Fall heftig. Ich habe mittlerweile beide Sperrzeiten extrem hochgesetzt und lasse mir erst nach 3 Sperrungen eine Mail schicken. Damit ist es ruhiger geworden.

  14. 14. – Nandi

    Kommentar vom 08.07.2012 um 09:12

    Hi Comunity!

    Starke Passwörter sind das A und O – unser Schlüssel im digitalen Leben.
    Unter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen geht gar nichts mehr. Hier noch eine gute Website um die Sicherheit "seines" Passwortes zu prüfen: Wie sicher ist mein Passwort?

    Ein kleine Gedankenbrücke, wie merke ich mir ein sicheres Passwort – habe ich auf meinem kleinen Blog vermerkt.

    Und IP-Sperrung ist das unsicherste überhaupt, zumindest im Zeitalter der Ip-Verschleierungsdienste wie Perfect-Privacy oder Hide my Ass, usw. Da gibt es unzählige Dienste, wie auch JonDonym die kaskadierende Proxys anbieten, d.h., es sind unzählige IPs möglich zu generieren, von daher bringt eine IP-Sperrung nicht wirklich was.

    Starke Passwörter, kein "admin" und die Datenbank mit htaccess schützen, das ist dann schon ziemlich sicher.

    Lieben Gruß,

    Nandi :lol:

  15. 15.Csaba

    Kommentar vom 08.07.2012 um 09:29

    Bei uns ist jeden Tag ein anderer Blog dran…und bei mir sind die Sperrzeiten aber auf 4800 Stunden eingestellt…!!!

    Mir kommt so vor das einer die Blogs nach der Reihe, immer einen Tag bearbeitet und dann zum nächsten wechselt…

    Aber es stimmt schon – es wird laufend bei uns mit "Admin" oder "admin" probiert.

    Habe aber auch den Admin-Bereich mit einer "htaccess" gesichert…

    Ärgerlich ist es schon!

  16. 16.Thomas

    Kommentar vom 08.07.2012 um 11:35

    Ich bekomme diese Mail einmal täglich in Ausnahmefällen vielleicht zweimal. Das ist aber dann schon sehr viel.

    Die Erfahrung mit einer hohen Anzahl an Mails hatte ich auch, teilweise bis zu 30 am Tag. Ich habe schlicht weg die Sperrzeiten drastisch erhöht, ähnlich wie @Csaba das beschrieben hat, nur noch "schlimmer". Mit einem minimalen Eingriff ins Plugin kann man die erlaubten Zahlenwerte auch fünfstellig machen.

    Damit reduzierte sich das Genervebei mir erheblich.

  17. 17.Henning Uhle

    Kommentar vom 08.07.2012 um 15:01

    Hallo,

    also ich habe seit einiger Zeit mit Login-Versuchen zu kämpfen und nutze daher "User Locker".

    Kann ich eigentlich Benutzernamen umbenennen? Eigentlich soll das ja nicht gehen.

  18. 18. – KeSch

    Kommentar vom 08.07.2012 um 16:59

    @Henning Uhle: Den Benutzernamen, welcher beim Login verwendet wird, kann nicht ohne weiteres geändert werden. Der Anzeigename, welcher beispielsweise bei Artikeln angegeben wird, hingegen schon.

    Solltest du den Benutzer- bzw. Login-Name ändern wollen, ist es am einfachsten einen neuen Benutzer zu erstellen, die jeweiligen Rechte zu vergeben und die Artikel des alten Benutzers auf den neuen zu übertragen.

    Gruß KeSch

  19. 19. – Garfield853

    Kommentar vom 08.07.2012 um 18:53

    @Henning
    Das Problem hatte ich neulich auch und habe diesen Thread hier gefunden:

    WordPress User bzw. den Account Admin ändern

    garfield853

  20. 20.Nico

    Kommentar vom 08.07.2012 um 20:44

    Super Sache, habe dieses Plugin schon einige Wochen drauf und über 120 Sperrungen gemeldet bekommen. Danke für die Empfehlung.

  21. 21.Vladimir

    Kommentar vom 09.07.2012 um 00:11

    @nandi,

    es sind unzählige IPs möglich zu generieren, von daher bringt eine IP-Sperrung nicht wirklich was

    da habe ich aber etwas anderes beobachtet. Sperrt man eine IP nicht, dann kam es schon einige Male vor, dass die gleiche IP dutzendfach zum Einsatz kommt.

  22. 22.Henning Uhle

    Kommentar vom 09.07.2012 um 06:41

    @Garfield853 -> Danke für den Link. Das werde ich mir zu Gemüte führen.

    Man lernt ja nie aus. Als ich den Blog angelegt hatte, dachte ich nicht an sowas. Naja, so lang man es korrigieren kann…

    @KeSch -> Sicher eine gute Geschichte. Ist auch zu überlegen.

  23. 23.Schnurpsel

    Kommentar vom 09.07.2012 um 10:20

    Ja, auch bei meinen Blogs gibt es z.Z. viele dieser Loginversuche.

    Mein eigenes Plugin arbeitet aber nicht nach Anzahl der Versuche in einer bestimmten Zeit, sondern musterbasiert. Dann wird auch gleich automatisch per .htaccess gesperrt.

  24. 24.Hans

    Kommentar vom 09.07.2012 um 11:23

    Ich nutze das Plugin "Better WP Security".
    Da ist auch ein Login-Schutz eingebaut, bei dem man Logins in einem gewissen Zeitraum verbieten kann (wenn man z.B. in Urlaub ist)

  25. 25.Zu viele ungültige Anmeldeversuche in meinem Blog. | BLOG

    Pingback vom 09.07.2012 um 14:34

    [...] there! If you are new here, you might want to subscribe to the RSS feed for updates on this topic.Perun hatte neulich schon darüber berichtet, das bei seinem Blog scheinbar jemand zwanghaft versucht hat einzubrechen. Limit Login Attempts ist [...]

  26. 26.Marcus

    Kommentar vom 10.07.2012 um 15:12

    Bei mir rotieren die Idioten momentan auch im Dauerlauf!

    Aber das Plugin hatte ich ja Gott sei Dank schon eine ganze Weile im Einsatz!

    PS: Kann mir mal jemand hinsichtlich 'Datenbank mit htaccess schützen' einen Tipp geben?

  27. 27.Marko

    Kommentar vom 10.07.2012 um 15:23

    Bei mir gab es Vorgestern Morgen eine Häufung (jeweils mit "Admin"). Binnen 15 Minuten sieben Sperrungen. Dabei fiel die schnell wechselnde IP besonders auf. Wahrscheinlich können die Tools schon automatisiert auf einen Pool von IP´s zugreifen. Am restlichen Tag war dann Ruhe….

    Beispiel IP´s
    ….

    Admin-Nachtrag: @Marko, bitte keine IPs veröffentlichen, habe keine Lust das irgendjemand sich auf den Schlips getreten fühlt und mich abmahnt.

  28. 28.Steffen

    Kommentar vom 10.07.2012 um 20:29

    Vielen Dank,
    für den Beitrag. Hatte daraufhin sofort das Plugin installiert und kurz darauf die erste Mail über einen fehlgeschlagenen Login.
    Echt traurig.

  29. 29.Das WordPress Login schützen ! | Spoony's Bike Blog

    Pingback vom 10.07.2012 um 22:01

    [...] einigen Tagen wurde ich drüben bei Perun auf das Plugin 'Limit Login Attempts' aufmerksam. Das WordPress Plugin protokolliert [...]

  30. 30.Stephan

    Kommentar vom 19.07.2012 um 11:19

    Danke für den überaus wichtigen Tipp, Vladimir! Ich habe das Plugin installiert und war erstaunt, was da so an versuchten Einbruchsversuchen im Hintergrund abläuft, von denen ich nichts mitbekommen habe. Jetzt ist aber alles gut.

    Ich habe zwar ein richtig starkes Passwort, aber den User "admin" hatte ich beim Anlegen des Blogs nicht geändert. Deswegen versuchen die Einbrecher zwar den "admin" scheitern aber am Passwort.
    Nun habe ich in der Datenbank den "admin" auf einen starken (paranoiden ;-)) Usernamen geändert und nun dürfte alles sicher sein!

    Das Ändern des Usern war überhaupt nicht schwer und hat problemlos geklappt. Deinen obigen Artikel könntest Du noch dahin gehend erweitern, um den Usern zu erklären, wie das geht.

    Grüße,
    Stephan

  31. 31.Stephan

    Kommentar vom 19.07.2012 um 11:21

    …ups, der Link zu einem Artikel, wie man den Admin ändert, war in den Kommentaren versteckt:
    http://www.webbistdu.de/2012/04/wordpress-user-bzw-den-account-admin-aendern/

  32. 32. – Rick

    Kommentar vom 19.07.2012 um 17:49

    Hat sich da etwas geändert seitdem 3.41 Update? hab im Changelaog dazu nichts gesehen. An und für sich scheint es da aber schone einge änderung gegeben zu haben. oder ist das völlig losgelöst davon?

  33. 33.Stephan

    Kommentar vom 21.07.2012 um 12:25

    Es ist wirklich interessant, wie oft sich bei mir unter "admin" eingeloggt werden wollte… Ich kann also nur empfehlen, das Plugin zu installieren und recht scharf einzustellen!

    Ich stelle bei mir fest, dass viele erfolglose Versuche aus Spaniern kommen. Überprüfen tue ich das hier: http://www.iplocationfinder.com, wobei man die Ortsangaben nur ungefähr ernst nehmen darf.

    Stephan

  34. 34. – Jan

    Kommentar vom 21.07.2012 um 12:30

    kann nur das plugin limit login attempts, kann mic nicht beklagen und selbst ich habe es geschafft, das Plugin richtig einzustellen? Habe schön 2 Versuche eingestellt und man fühlt sich ja doch ein wenig sicherer.

  35. 35.Wordpress Sicherheit – Ich bin schockiert | Magazin für Fotografie

    Pingback vom 23.07.2012 um 08:00

    [...] einen Artikel von perun animiert habe ich jetzt das WordPress-Plugin "Limit Login Attempts" installiert. Dieses [...]

  36. 36. – Andreas

    Kommentar vom 23.07.2012 um 16:55

    Hallo! Zunächst ebenfalls von mir ein herzliches Dankeschön für die Hinweise. Habe das empfohlene Plugin installiert und nun tatsächlich auf einer meiner WP-Installationen einen Einbruchversuch feststellen können. Was aber irritiert ist, dass der littauische Kleinkriminelle es mit meinem kryptischen und eigentlich nicht sichtbaren Benutzernamen probiert hat. Denn öffentlich trete ich mit einem anderen Namen in Erscheinung. Wie kann er an den Namen herangekommen sein? Hinweise wären schön. Gruß.

  37. 37.Wordpress sicher machen - Limit Login Attempts Plugin | TEILEDEALER.com - Weblog

    Pingback vom 23.07.2012 um 17:01

    [...] besteht für den Blog in meinen Augen schon Lesepflicht. Hier gab es Anfang des Monats auch einen Post zu dem erwähnten Plugin und die Erklärung, warum sich eine Installation definitiv [...]

  38. 38.Andyt

    Kommentar vom 25.07.2012 um 07:22

    @Andreas: Hi, das ist mir auch schon aufgefallen. Ebenfalls auf einer betreuten Webseite ist öffentlich ein anderer Name angezeigt. Trotzdem wurde der korrekte Loginname herausgefunden. Würde gerne wissen, wie das geht?

  39. 39.Andreas

    Kommentar vom 25.07.2012 um 09:50

    @Andyt: Meine erste Befürchtung war, dass ich einmal unbemerkt auf eine Seite geraten war, die den Browser nach Zugangsdaten vampirisiert und dadurch an den im Klartext gespeicherten User-Namen herangekommen ist. Aber ich kann nicht glauben, dass jemand diesen Aufwand treibt und vor allem wofür? Gruß

  40. 40.Andyt

    Kommentar vom 25.07.2012 um 10:15

    @Andreas: Also dieser Aufwand wird doch gemacht (Stichwort: Phising). Aber in diesem Fall hätte dieser ebenso das Passwort oder nicht? Ich glaube, dass man das auf eine andere Art auslesen / erfahren kann.

  41. 41.Andreas

    Kommentar vom 25.07.2012 um 14:36

    Passwörter werden im Browser (Firefox) verschlüsselt gespeichert und erst nach expliziter Freigabe durch den Nutzer angezeigt. Aber unüberwindbar ist die Hürde sicher nicht. WENN aber hier die Ursache liegen würde, wären bei den anderen adminsitrierten Blogs ähnliche Einbruchversuche mit den verborgenen User-Namen zu erwarten gewesen. War aber nicht. Daher bleibt die Vermutung, dass die Kenntnis des verborgenen User-Namens ANDERS erlangt wurde… Gruß

  42. 42.Bernhard

    Kommentar vom 26.08.2012 um 19:12

    Genau die Mails habe ich heute auch bekommen. Bei mir haben sich alle mit dem Benutzer "admin" einloggen wollen… den hab ich aber schon von Anfang an abgeändert und das Plugin "Limit Login Attempts" läuft auch von Anfang an des Blogs.

    Was ich komisch finde, innerhalb zwei Stunden 17 Login-Versuche… das ist ganz schön krass!

    Nochmal zu KeSch-Kommentar… Kommentar 12 hier…

    Danke für den Tipp des coolen NinjaWPass-Plugin, ich denke, damit ist der Login-Bereich sicher :-D.

    Was ich noch fragen möchte, wie kann man eine zusätzliche Login-Seite vor der eigentlichen Einloggen-Seite von WordPress schalten. Ich glaub das geht mit .htaccess oder?

    Kennt Ihr gute Linkquellen mit Tutorials…? Ich danke schon mal…!

    Grüße
    Bernhard :-D :-D

  43. 43.Nics Bloghaus | Einbruch-Versuch

    Pingback vom 27.08.2012 um 10:52

    [...] Seit gerau­mer Zeit sind WP-Blogs bevor­zug­tes Ziel von Gaunern, die ver­su­chen, die Passwörter der Blogs zu erra­ten. Darüber wurde schon mehr­fach geschrie­ben, unter ande­rem auch von Perun. [...]

  44. 44.WordPress und Sicherheit: Ausweitung der automatischen Loginversuche » WordPress & Webwork

    Pingback vom 01.02.2013 um 18:54

    [...] Plugin Limit Login Attempts habe ich hier auf perun.net an mind. zwei Stellen genannt (hier und hier). In regelmäßigen Abständen bekomme ich von dem Plugin folgende [...]

  45. 45. – WordPress gegen Brute-Force-Attacken schützen › Pfabel.de

    Pingback vom 23.02.2013 um 20:35

    [...] werden wieder Meldungen laut, nach denen WordPress-Blogs Ziel von automatisierten Brute-Force-Attacken werden. Bei dieser [...]

Tut mir Leid, aber die Kommentar-Funktion ist momentan deaktiviert.



Weblog der perun.net webwork gmbh mit Artikeln zum Thema WordPress, Webwork, und Internet.