WordPress und Sicherheit: “du kommst hier ned rein”

Ich weiß nicht wie es bei euch geht. Aber im Moment bekomme ich so in etwa 2-Minuten-Rhytmus folgende E-Mail:

8 failed login attempts (2 lockout(s)) from IP: xx.xxx.xxx.xx

Last user attempted: admin

IP was blocked for 24 hours

Mittlerweile sind das mehr als 20 E-Mails. Die Nachrichten werden von dem WordPress-Plugin Limit Login Attempts verschickt. Diese Erweiterung habe ich bereits hier beschrieben.

Dieses Plugin notiert Loginversuche. Gibt es von einer IP innerhalb eines festgelegten Zeitraumes zu viele Login-Versuche, auch diese zahl kann man festlegen, dann wird diese IP für einen festgelegten Zeitraum gesperrt. Das ist eine recht effektive Maßnahme um die sog. Brute-Force-Attacken zu erschweren.

Momentan gibt es, wie bereits erwähnt, einige Loginversuche, die auf den Loginnamen admin, demo, test und wordpress abzielen.

Deswegen ist, wie ich es schon hier ausführlich beschrieben habe, nicht nur wichtig das Limit Login Attempts zu installieren sondern neben einem sicheren Passwort auch einen Loginnamen zu wählen, der sich von den üblichen Angaben wie z. B. admin unterscheidet.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

46 Kommentare

  1. Ich habe bei mir das ganze wp-admin Verzeichnis per htaccess durch ein Passwort geschützt. Dann kann das eigentlich gar nicht soweit kommen, oder?

  2. Kann von unserer Band-Website und der WordPress-Seite meiner Freundin ebenfalls berichten und bestätigten. 😈

    Überwiegend wird der Username admin versucht, den es eben aus Sicherheitsgründen nicht mehr gibt. Da sage ich auch Danke für Deine Sicherheitshinweise hier. Lästig, aber IP-Adressen, die mehrmals gesperrt wurden, also von denen es aus mehrmals versucht wurde, sperre ich mit Einträgen in der htaccess-Datei aus. 😛

  3. Es wär ein großer Gewinn an Sicherheit, wenn endlich dieses fucking “Username = author url” geändert würde…

  4. Geht mir ganau so. Bekomme seit 3 Tagen jeden Tag 20 Mails über fehlgeschlagene logins.
    Mein Passwort ist aber ziemlich sicher also sollte da nichts passieren. Die Sperrzeit der Ips habe ich auf 100Stunden gesetzt.

  5. Bei mir und auch bei betreuten Webseiten exakt genauso. Habe aber mittlerweile auch herausgefunden, dass zeitweise explizit vorhanden Userkonten verwendet wurden. Also z.B. mit Benutzern, die Artikel veröffentlicht haben.

  6. Meist handelt es sich hier um automatisierte Anfragen.

    Neben dem Schutz von Teilen des Admin-Ordners per .htaccess und eines Anti-Brute-Forece-Plugins wie Limit Login Attemps bzw. Login Ninja habe ich die beste Erfahrung damit gemacht, die gesamte WordPress-Installation in ein Unterverzeichnis zu verschieben und in der index.php entsprechend darauf zu verweisen.

    Dadurch wird der Admin-Bereich über z. B. http://www.domain.de/ordner/wp-admin erreicht und die automatisierten Anfragen laufen ins Leere.

  7. Da habe ich vor kurzem mal lang und breit drüber geschrieben, wenn die Eigenwerbung erlaubt ist:
    http://www.blogverdiener.de/2012/06/30-tipps-um-wordpress-sicherheitslucken-zu-schliesen-das-sicherheitsupdate-deluxe/

    Langsam aber sicher nimmt das überhand. Ob Spam oder Login Versuche. Es wird immer mehr und die Angreifer immer raffinierter. Vielleicht kann man den Vorschlag von @Frank ja umsetzen. Das wäre sicherlich ein weiterer Schritt in die richtige, die sichere Richtung.

    LG
    Sascha

  8. Alle 2 Minuten ist es zwar nicht, aber 10 Mails pro Tag sind es seit einigen Tagen schon. Aber solange als Benutzer immer “admin” verwendet wird, soll es mir recht sein 😉

  9. Ich habe das Plugin auch vor ca. 6 Stunden installiert und auch ich habe schon bereits die erste Sperre von einem Benutzer aus der Türkei. Ich habe mir ja schon gedacht, dass es mal der ein oder andere versucht, aber das ging echt schnell.

    Wenn das ein Indiz dafür ist, dass der eigene Blog besonders interessant für Angriffe ist, wäre das ja fast schmeichelhaft, aber ich denke die Bots versuchen es einfach bei jedem WordPress Blog 😉

  10. Eine erhöhte Anzahl an fehlgeschlagenen Login-Versuchen kann ich weder bestätigen noch dementieren. Verwende als Sicherheits-Plugin aber auch keinen Login-Limiter, sondern NinjaWPass.
    Damit wird zusätzlich zu den regulären Zugangsdaten ein NinjaWPass-Passwort vergeben, woraus beim Login nur ausgewählte Zeichen abgefragt werden. Das gleiche Verfahren kommt auch bei HSBC Banking und ING DiBa zum Einsatz und dort wird Sicherheit doch ziemlich groß geschrieben. 😉

    Gruß KeSch

  11. Eine nach der anderen meiner WordPress Installationen ist damit auch dran. Ob 20 Mails pro Tag ausreichen? Ist auf jeden Fall heftig. Ich habe mittlerweile beide Sperrzeiten extrem hochgesetzt und lasse mir erst nach 3 Sperrungen eine Mail schicken. Damit ist es ruhiger geworden.

  12. Hi Comunity!

    Starke Passwörter sind das A und O – unser Schlüssel im digitalen Leben.
    Unter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen geht gar nichts mehr. Hier noch eine gute Website um die Sicherheit “seines” Passwortes zu prüfen: Wie sicher ist mein Passwort?

    Ein kleine Gedankenbrücke, wie merke ich mir ein sicheres Passwort – habe ich auf meinem kleinen Blog vermerkt.

    Und IP-Sperrung ist das unsicherste überhaupt, zumindest im Zeitalter der Ip-Verschleierungsdienste wie Perfect-Privacy oder Hide my Ass, usw. Da gibt es unzählige Dienste, wie auch JonDonym die kaskadierende Proxys anbieten, d.h., es sind unzählige IPs möglich zu generieren, von daher bringt eine IP-Sperrung nicht wirklich was.

    Starke Passwörter, kein “admin” und die Datenbank mit htaccess schützen, das ist dann schon ziemlich sicher.

    Lieben Gruß,

    Nandi 😆

    1. @nandi,

      es sind unzählige IPs möglich zu generieren, von daher bringt eine IP-Sperrung nicht wirklich was

      da habe ich aber etwas anderes beobachtet. Sperrt man eine IP nicht, dann kam es schon einige Male vor, dass die gleiche IP dutzendfach zum Einsatz kommt.

  13. Bei uns ist jeden Tag ein anderer Blog dran…und bei mir sind die Sperrzeiten aber auf 4800 Stunden eingestellt…!!!

    Mir kommt so vor das einer die Blogs nach der Reihe, immer einen Tag bearbeitet und dann zum nächsten wechselt…

    Aber es stimmt schon – es wird laufend bei uns mit “Admin” oder “admin” probiert.

    Habe aber auch den Admin-Bereich mit einer “htaccess” gesichert…

    Ärgerlich ist es schon!

  14. Ich bekomme diese Mail einmal täglich in Ausnahmefällen vielleicht zweimal. Das ist aber dann schon sehr viel.

    Die Erfahrung mit einer hohen Anzahl an Mails hatte ich auch, teilweise bis zu 30 am Tag. Ich habe schlicht weg die Sperrzeiten drastisch erhöht, ähnlich wie @Csaba das beschrieben hat, nur noch “schlimmer”. Mit einem minimalen Eingriff ins Plugin kann man die erlaubten Zahlenwerte auch fünfstellig machen.

    Damit reduzierte sich das Genervebei mir erheblich.

  15. Hallo,

    also ich habe seit einiger Zeit mit Login-Versuchen zu kämpfen und nutze daher “User Locker”.

    Kann ich eigentlich Benutzernamen umbenennen? Eigentlich soll das ja nicht gehen.

  16. @Henning Uhle: Den Benutzernamen, welcher beim Login verwendet wird, kann nicht ohne weiteres geändert werden. Der Anzeigename, welcher beispielsweise bei Artikeln angegeben wird, hingegen schon.

    Solltest du den Benutzer- bzw. Login-Name ändern wollen, ist es am einfachsten einen neuen Benutzer zu erstellen, die jeweiligen Rechte zu vergeben und die Artikel des alten Benutzers auf den neuen zu übertragen.

    Gruß KeSch

  17. Super Sache, habe dieses Plugin schon einige Wochen drauf und über 120 Sperrungen gemeldet bekommen. Danke für die Empfehlung.

  18. @Garfield853 -> Danke für den Link. Das werde ich mir zu Gemüte führen.

    Man lernt ja nie aus. Als ich den Blog angelegt hatte, dachte ich nicht an sowas. Naja, so lang man es korrigieren kann…

    @KeSch -> Sicher eine gute Geschichte. Ist auch zu überlegen.

  19. Ja, auch bei meinen Blogs gibt es z.Z. viele dieser Loginversuche.

    Mein eigenes Plugin arbeitet aber nicht nach Anzahl der Versuche in einer bestimmten Zeit, sondern musterbasiert. Dann wird auch gleich automatisch per .htaccess gesperrt.

  20. Ich nutze das Plugin “Better WP Security”.
    Da ist auch ein Login-Schutz eingebaut, bei dem man Logins in einem gewissen Zeitraum verbieten kann (wenn man z.B. in Urlaub ist)

  21. Bei mir rotieren die Idioten momentan auch im Dauerlauf!

    Aber das Plugin hatte ich ja Gott sei Dank schon eine ganze Weile im Einsatz!

    PS: Kann mir mal jemand hinsichtlich ‘Datenbank mit htaccess schützen’ einen Tipp geben?

  22. Bei mir gab es Vorgestern Morgen eine Häufung (jeweils mit “Admin”). Binnen 15 Minuten sieben Sperrungen. Dabei fiel die schnell wechselnde IP besonders auf. Wahrscheinlich können die Tools schon automatisiert auf einen Pool von IP´s zugreifen. Am restlichen Tag war dann Ruhe….

    Beispiel IP´s
    ….

    Admin-Nachtrag: @Marko, bitte keine IPs veröffentlichen, habe keine Lust das irgendjemand sich auf den Schlips getreten fühlt und mich abmahnt.

  23. Vielen Dank,
    für den Beitrag. Hatte daraufhin sofort das Plugin installiert und kurz darauf die erste Mail über einen fehlgeschlagenen Login.
    Echt traurig.

  24. Danke für den überaus wichtigen Tipp, Vladimir! Ich habe das Plugin installiert und war erstaunt, was da so an versuchten Einbruchsversuchen im Hintergrund abläuft, von denen ich nichts mitbekommen habe. Jetzt ist aber alles gut.

    Ich habe zwar ein richtig starkes Passwort, aber den User “admin” hatte ich beim Anlegen des Blogs nicht geändert. Deswegen versuchen die Einbrecher zwar den “admin” scheitern aber am Passwort.
    Nun habe ich in der Datenbank den “admin” auf einen starken (paranoiden ;-)) Usernamen geändert und nun dürfte alles sicher sein!

    Das Ändern des Usern war überhaupt nicht schwer und hat problemlos geklappt. Deinen obigen Artikel könntest Du noch dahin gehend erweitern, um den Usern zu erklären, wie das geht.

    Grüße,
    Stephan

  25. Hat sich da etwas geändert seitdem 3.41 Update? hab im Changelaog dazu nichts gesehen. An und für sich scheint es da aber schone einge änderung gegeben zu haben. oder ist das völlig losgelöst davon?

  26. Es ist wirklich interessant, wie oft sich bei mir unter “admin” eingeloggt werden wollte… Ich kann also nur empfehlen, das Plugin zu installieren und recht scharf einzustellen!

    Ich stelle bei mir fest, dass viele erfolglose Versuche aus Spaniern kommen. Überprüfen tue ich das hier: http://www.iplocationfinder.com, wobei man die Ortsangaben nur ungefähr ernst nehmen darf.

    Stephan

  27. kann nur das plugin limit login attempts, kann mic nicht beklagen und selbst ich habe es geschafft, das Plugin richtig einzustellen? Habe schön 2 Versuche eingestellt und man fühlt sich ja doch ein wenig sicherer.

  28. Hallo! Zunächst ebenfalls von mir ein herzliches Dankeschön für die Hinweise. Habe das empfohlene Plugin installiert und nun tatsächlich auf einer meiner WP-Installationen einen Einbruchversuch feststellen können. Was aber irritiert ist, dass der littauische Kleinkriminelle es mit meinem kryptischen und eigentlich nicht sichtbaren Benutzernamen probiert hat. Denn öffentlich trete ich mit einem anderen Namen in Erscheinung. Wie kann er an den Namen herangekommen sein? Hinweise wären schön. Gruß.

  29. […] besteht für den Blog in meinen Augen schon Lesepflicht. Hier gab es Anfang des Monats auch einen Post zu dem erwähnten Plugin und die Erklärung, warum sich eine Installation definitiv […]

  30. @Andreas: Hi, das ist mir auch schon aufgefallen. Ebenfalls auf einer betreuten Webseite ist öffentlich ein anderer Name angezeigt. Trotzdem wurde der korrekte Loginname herausgefunden. Würde gerne wissen, wie das geht?

  31. @Andyt: Meine erste Befürchtung war, dass ich einmal unbemerkt auf eine Seite geraten war, die den Browser nach Zugangsdaten vampirisiert und dadurch an den im Klartext gespeicherten User-Namen herangekommen ist. Aber ich kann nicht glauben, dass jemand diesen Aufwand treibt und vor allem wofür? Gruß

  32. @Andreas: Also dieser Aufwand wird doch gemacht (Stichwort: Phising). Aber in diesem Fall hätte dieser ebenso das Passwort oder nicht? Ich glaube, dass man das auf eine andere Art auslesen / erfahren kann.

  33. Passwörter werden im Browser (Firefox) verschlüsselt gespeichert und erst nach expliziter Freigabe durch den Nutzer angezeigt. Aber unüberwindbar ist die Hürde sicher nicht. WENN aber hier die Ursache liegen würde, wären bei den anderen adminsitrierten Blogs ähnliche Einbruchversuche mit den verborgenen User-Namen zu erwarten gewesen. War aber nicht. Daher bleibt die Vermutung, dass die Kenntnis des verborgenen User-Namens ANDERS erlangt wurde… Gruß

  34. Genau die Mails habe ich heute auch bekommen. Bei mir haben sich alle mit dem Benutzer “admin” einloggen wollen… den hab ich aber schon von Anfang an abgeändert und das Plugin “Limit Login Attempts” läuft auch von Anfang an des Blogs.

    Was ich komisch finde, innerhalb zwei Stunden 17 Login-Versuche… das ist ganz schön krass!

    Nochmal zu KeSch-Kommentar… Kommentar 12 hier…

    Danke für den Tipp des coolen NinjaWPass-Plugin, ich denke, damit ist der Login-Bereich sicher :-D.

    Was ich noch fragen möchte, wie kann man eine zusätzliche Login-Seite vor der eigentlichen Einloggen-Seite von WordPress schalten. Ich glaub das geht mit .htaccess oder?

    Kennt Ihr gute Linkquellen mit Tutorials…? Ich danke schon mal…!

    Grüße
    Bernhard 😀 😀

  35. […] Seit gerau­mer Zeit sind WP-Blogs bevor­zug­tes Ziel von Gaunern, die ver­su­chen, die Passwörter der Blogs zu erra­ten. Darüber wurde schon mehr­fach geschrie­ben, unter ande­rem auch von Perun. […]

  36. […] werden wieder Meldungen laut, nach denen WordPress-Blogs Ziel von automatisierten Brute-Force-Attacken werden. Bei dieser […]

  37. Am Anfang habe ich die Mail auch zu Massen bekommen, dann habe ich die Benachrichtigung abgeschalten, weil das Postfach voll war. Nach einiger Zeit habe ich es wieder aktiviert. Was soll ich sagen ich musste es wieder abschalten.

    Bis jetzt ist noch keiner durch gekommen. Hoffe das dies auch so bleibt. Schön zu wissen, dass es geblockt wird.

Kommentare sind geschlossen.