perun.net – WordPress & Webwork



WordPress und Sicherheit: Ausweitung der automatischen Loginversuche

Von am 01. 02. 2013 um 18:53 – Aktualisiert am 05. 02. 2013 um 16:34

Zunehmende automatische Loginversuche auf andere Nutzernamen. Neben dem bekannten "admin" jetzt auch auf "test", "webmaster", "demo" etc.

Das Plugin Limit Login Attempts habe ich hier auf perun.net an mind. zwei Stellen genannt (hier und hier). In regelmäßigen Abständen bekomme ich von dem Plugin folgende Meldung:

8 failed login attempts (2 lockout(s)) from IP: xx.xxx.xxx.xx

Last user attempted: admin

IP was blocked for 24 hours

Es wurde mal wieder eine IP geblockt von der mehrere ungültige Loginversuche in einem bestimmten Zeitraum stattfanden. Das automatische Loginversuche auf den Nutzernamen admin stattfinden ist ein alter Hut.

WordPress: Einstellungen von Limit Login Attempts

Einstellungen von Limit Login Attempts

Deswegen sollte man hier entweder den admin durch einen Administrator-Account mit einem individuellen Namen ersetzen oder eben das Limit Login Attempt oder eine ähnliche Lösung installieren.

In den letzten Wochen konnte ich allerdings beobachten, dass vermehrt automatische Loginversuche auf andere Nutzernamen stattfanden, wie zum Beispiel: webmaster, test, demo, author und editor. Ich möchte keine Panik machen, aber ich kann mir gut vorstellen, dass es nicht mehr lange dauern wird bis es Loginversuche auf john, michael, chris etc. geben wird.

Daher würde ich auf jeden Fall empfehlen, dass man eine Begrenzung der Loginversuche einrichtet.

Diesen Artikel weiterempfehlen:

Premium WordPress Themes

Verwandte Artikel:

 — 


41 Kommentare »»

  1. 1.Hans

    Kommentar vom 01.02.2013 um 19:02

    So in etwa sah das bei mir in den vergangenen Wochen auch aus. Auch der Blogname wurde schon verwendet aber bisher hats Gott sei dank noch niemand geschafft.

    Wenn das so weitergeht, dürfte es aber leider wirklich nicht mehr lange dauern… :roll:

  2. 2.Max

    Kommentar vom 01.02.2013 um 19:09

    Das Phänomen kann ich schon seit mehreren Wochen beobachten. Da wird – egal auf welchem Blog – mit dem Nutzernamen ein Loginversuch gestartet. Ich dachte das wäre normal, jetzt hast du mich doch in Panik versetzt. :)
    Gruß, Max

  3. 3.Martin

    Kommentar vom 01.02.2013 um 19:22

    Es empfiehlt sich eine zusätzliche Absicherung durch Apache .htpasswd. Dann kommt der Angreifer gar nicht erst zum WordPress-Login bzw. muss eine weitere Hürde überwinden. Und natürlich muss man zwei unterschiedliche Logins und Passwörter nehmen!

  4. 4.Marc Haunschild

    Kommentar vom 01.02.2013 um 20:41

    Bei mir gibt es auch vermehrt solche Versuche. Da ich ein sehr langes und sehr "abewechslungsreiches" Passwort verwende, wird man das dank LimitLogin Attempts, das ich ebenfalls verwende, durch Raten nicht herausbekommen, obwohl ich längstens für eine Stunde sperre.
    Aber warum ich das hier eigentlich schreibe: bei mir wurde mit dem Namen eines Autoren (der ja öffentlich und auslesbar ist) der Login versucht.
    Eigentlich eine simple Sache, aber bisher hatte es gereicht, wenn der Admin nicht den
    Standard-Namen hat, weil immer nur mit admin probiert wurde. Die Zeiten sind anscheinend vorbei…

  5. 5.NetzBlogR

    Kommentar vom 01.02.2013 um 20:57

    @Martin: Das Problem ist, dass mit einer .htaccess-Sperre seit neuestem passwortgeschützte Posts nicht mehr aufrufbar sind, da die Abfrage für diese auch über die wp-login.php abgehandelt wird.

  6. 6.Vladimir

    Kommentar vom 01.02.2013 um 21:01

    @Martin,

    eine zusätzliche Absicherung durch den Server würde ich nicht empfehlen und zwar nicht nur wegen des Einwandes von NetzBlogR. Eine Absicherung durch ein individuellen Loginnamen, eines guten Passworts und durch Limit Login Attempts reicht völlig aus. Eine zusätzliche (und im Falle von .htaccess) eine unkomfortable Passworteingabe verleitet den Nutzer dazu zu schummeln (z.B. schwaches Passwort zu nehmen) und sich dadurch in eine falsche Sicherheit zu wiegen.

  7. 7.Martin

    Kommentar vom 01.02.2013 um 21:49

    @NetzBlogR: Okay, da ich keine passwortgeschützten Posts habe, war mir das nicht bewusst.

    @Vlad: Mich beruhigt das eher. Ich habe einfach ein autogeneriertes Passwort mit über 20 Stellen auswendig gelernt. Aber ich glaube das muss jeder selber entscheiden. Und ein Schutz kann immer nur so gut sein, wie das gewählte Passwort. Und wie man da schludrig sein kann, verstehe ich persönlich nicht. Dafür ist mir mein Blog zu wichtig! :-D

  8. 8.dpde

    Kommentar vom 01.02.2013 um 22:27

    Kann ich nur bestätigen, bekomme seit 1,5 Wochen täglich mehrere solcher E-Mails. Ziehmlich nervig, aber kein Grund zur Panik, admin gibt es bei mir nicht. ;)

  9. 9.Jan

    Kommentar vom 02.02.2013 um 13:41

    Nach der zweiten Mail von Limit Login Attempts war mir die Sache zu dumm und ich habe eine extra Hürde mittels .htaccess aufgebaut (keine passwortgeschützten Beiträge vorhanden). Seitdem ist Ruhe im Karton. Ich habe mich hierbei für ein weiteres Passwort entschieden, theoretisch wäre jedoch auch eine Eingrenzung auf bestimmte IP-Adressen möglich.

    Zusätzlich verwende ich natürlich ein sicheres Kennwort, keine Standard-Benutzernamen und verschleiere diese auch noch mittels Edit Author Slug.

    http://brandonallen.org/wordpress/plugins/edit-author-slug/

    Diese Verschleierung dürfte dann auch die Lösung für das Problem sein, welches Marc Haunschild angesprochen hat.

  10. 10.Sebastian

    Kommentar vom 04.02.2013 um 17:19

    Ich nutze das Plugin auch schon eine Weile. Habe es aber noch verschäft. Ab dem ersten Fehlversuch wird gesperrt. Da mein PW im Browser gespeichert ist, kann ich es ja nicht falsch eingeben ;) Und der Rechner ist auch geschützt.

    Leider wurde bei mir anfangs nur der admin, inzwischen aber auch mein Benutzername abgefragt. Ich habe nun eine htaccess in den Adminbereich gepackt, wo nur Leute mit Deutscher Länderkennung Zugang bekommen.
    Das sollte auch die meisten aussperren.

  11. 11.Jan

    Kommentar vom 04.02.2013 um 22:04

    @Sebastian: Könntest Du bitte mal Deine .htaccess vorstellen? Die Variante hört sich interessant an.

  12. 12.Sebastian

    Kommentar vom 05.02.2013 um 10:14

    Ich habe eben festgestellt, das das nicht klappt. Alle wurden gesperrt, obwohl es mehrfach im Netz so vorgeschlagen wurde ;)
    Dort stand:

    order deny,allow
    Deny from all
    Allow from .de

    Ich habe es aber nun wie folgt verändert:

    order deny,allow
    Deny from all
    Allow from 123.456
    Allow from 234.567

    Du musst natürlich deine IP nehmen bzw die ersten beiden Blöcke.
    Die erste ist vom Büro, die zweite von zu Hause. Da die ersten beiden meist immer gleich bleiben, reicht das. Falls nicht dann nehm nur den ersten Block. Auch wenn das ggf andere Länder/Provider wieder einschließt. So wird es trotzdem viele Angreifer aussperren.

    Wie gesagt, das kommt in den Ordner wp-admin, sonst sperrst du ja alle aus :wink:

  13. 13. – guido

    Kommentar vom 05.02.2013 um 17:19

    Leider ist es schon soweit, dass generierte Namen verwendet werden. Hier eine kleine Liste von Namen, mit denen in den letzten Tagen versucht wurde sich bei meinem WordPress Blog anzumelden:

    dannyz97, miraovers, dickvital, christyma, calebbrow, carrollcr, dominique, edmundobl, katiamccl, abigailka, rochellme, jonathanc, desmondtw, garyklein, mollybrin, alyssa07l, alyssatol, dolliecar, harleyofj, cathleenw, colemgp, sharonivj, kerstinwe, ...

    Außerdem wurde als Benutzername auch der 2nd Level Domain-Name verwendet! Für diese Seite würde das z.B. "perun" sein.

    Das wird wirklich immer schlimmer.

    Gruß,
    Guido

  14. 14.Marcel

    Kommentar vom 05.02.2013 um 18:11

    Was sind denn die optimalen Einstellungen für dieses Plugin?

  15. 15. – Rübe

    Kommentar vom 06.02.2013 um 13:04

    Nachdem ich seit Ende 2012 täglich rund 600 Angriffe auf wp-login hatte, habe ich per htaccess ein entsprechendes htpasswd vorgeschaltet. Danach war 4 Tage Ruhe und dann kamen sie wieder und kassierten täglich wieder ca 600 mal ihren verdienten error 401. Mittlerweile hab ich den Login kpl dichtgemacht und erlaube nur noch Zugriff von meiner IP. Alle anderen schicke ich zurück auf ihren localhost. Meine IP ist zwar dynamisch, ich muss die htaccess also vorm Posten entsprechend editieren, was für mich aber das kleinste Problem darstellt. Dazu muss ich sagen, dass ich auf meinen WP-Installationen der Alleinherrscher bin und mir über andere User und passwortgeschützte Artikel keine Gedanken zu machen brauche. Die Sicherheit meiner Inst. steuere ich kpl über htaccess und verzichte auf Plugins, um nicht eine weitere Sicherheitslücke zu riskieren.

    Außerdem gesperrt sind fast 200 User Agents und eine täglich wachsende Liste von jetzt schon hunderten IP-Adressen und ganzen Ranges.

    WordPress ist ein super Tool aber leider zu interessant für Kriminelle und von denen gibt es immer mehr.

    Hier meine login-Sperre, falls es jemanden interessiert:
    (Rewrite engine ist on)
    RewriteCond %{REQUEST_URI} ^/wp-login.*$
    RewriteCond %{REMOTE_ADDR} !^mein\.ip\.adresse$
    RewriteRule ^.* http://localhost [L,R=301]

    Webadminsitration ist Krieg! ;)

    All the best.

  16. 16. – Webmasta

    Kommentar vom 06.02.2013 um 14:51

    Leider ist das genannte Plugin nicht kompatibel zu 3.5.x :roll:

  17. 17.Vladimir

    Kommentar vom 06.02.2013 um 15:06

    @Webmasta,

    Leider ist das genannte Plugin nicht kompatibel zu 3.5.x :roll:

    sagt wer? Es funktioniert einwandfrei mit WP 3.5.1

  18. 18. – JochenT

    Kommentar vom 06.02.2013 um 17:34

    Eine weitere Möglichkeit die erlaubten Rechner für den Zugang zum Login einzuschränken ist das Plugin Login Dongle. Nur von Browsern, auf denen der Software-Dongle installiert ist, ist ein Login möglich.

    Es handelt sich dabei um ein Bookmarklet, das die Eingabe eines weiteren Passworts gleichzeitig mit dem normalen Login-Dialog erfordert.

    Eine Änderung der .htaccess ist dafür nicht nötig.

  19. 19. – Webmasta

    Kommentar vom 06.02.2013 um 18:43

    @Vladimir

    sagt wer? Es funktioniert einwandfrei mit WP 3.5.1

    Der Autor selbst: "Compatible up to: 3.3.2" und div. Einträge im Support-Forum, z.B. Problems for logging after update to WordPress 3.5, Locked out after upgrading to WP 3.5

  20. 20.Vladimir

    Kommentar vom 06.02.2013 um 18:55

    Die Angabe des Autors bezieht sich deswegen auf WP 3.3.2, weil das Plugin zuletzt Juni 2012 aktualisiert würde. Ob ein Plugin funktioniert oder nicht sollte man lieber selber testen und unten rechts auf die Angaben anderer Nutzer schauen:

    6 people say it works. 0 people say it's broken.

  21. 21. – guido

    Kommentar vom 06.02.2013 um 19:33

    Noch eine Möglichkeit den Zugriff einzuschränken: Verwende einen benutzerdefinierten UserAgent (z.B. Firefox AddOn). Über .htaccess den Zugriff nur mit diesem UserAgent erlauben. Diese Methode verwende ich zur Zeit nur während Wartungsarbeiten an meinen Seiten, aber ich werde das bzgl. Login ebenfalls bedenken.

  22. 22.fantasylife

    Kommentar vom 06.02.2013 um 20:00

    Das ist inzwischen richtig übel. Bei mir wurde es erst heute wieder probiert den Account zu knacken.

    Ich habe meine Einstellungen für das "Limit Login Attempts" noch hochgeschraubt und zwar:

    2 erlaubte Anmeldeversuche
    9999 Minuten Sperre nach Überschreiten der Anzahl oben (das Maximum)
    2 Sperrungen erhöhen die Gesamtzahl auf 4320 Stunden
    336 Stunden bis Rücksetzung erfolgt

    Somit hat man ne Weile Ruhe :mrgreen:

  23. 23.Sebastian

    Kommentar vom 07.02.2013 um 09:00

    @Guido: Auch nicht schlecht die Lösung. Aber ich denke mit meiner und dem IP-Pool werde ich viele auch schon sperren. Werde das beobachten udn notfalls anpassen.

  24. 24.Bernd

    Kommentar vom 07.02.2013 um 11:35

    Ich verwende das Plugin auch und bin sehr zufrieden.
    Wenn es mal "Wellen" gab, gingen mir allerdings die vielen Benachrichtigungen auf den Geist, abschalten wollte ich die Nachrichten aber auch nicht.

    Habe dann einfach mal für ein paar Wochen die wp-login.php "umbenannt".
    Vielleicht nicht besonders elegant, aber hat auch funktioniert. ;-)

  25. 25.Oli

    Kommentar vom 07.02.2013 um 15:09

    Wir haben pro Tag ca. 800 Loginversuche auf unsere Seite. 95% davon mit dem Namen "Admin"

    Wenn man jedoch wie oben genannt den Admin in der Datenbank ändert, sollte man auch darauf achten, dass das Theme keine Autoren-Archiv-Funktion unterstützt. Wenn doch, dann kann hier ganz leicht die Änderung des Admin-Namens eingesehen werden.

    http://www.deine-blogadresse.de/?author=1

    Daher sollte sicherheitshalber diese Seite z.b. per .htaccess umgeleitet werden.

  26. 26.Sebastian

    Kommentar vom 08.02.2013 um 10:58

    Ich bin heute etwas verwirrt. Denn trotz IP-Pool-Sperre hab ich heute wieder einen Angriff gehabt. Welcher außerhalb des IP-Bereichs lag.

    Kann es sein, das man über zwei Wege in den Adminbereich komm?

    http://www.deinedomain.de/wp-login.php
    http://www.deinedomain.de/wp-admin/

    Ich hab bisher immer den zweiten Weg genutzt und diesen Ordner eben auch geschützt. Aber wer über die Login es probiert hat ja diese Sperre nicht.

    Jemand ne Idee?

  27. 27.Jan

    Kommentar vom 08.02.2013 um 11:06

    @Sebastian: Meines Wissens nach wird beim Aufruf von wp-admin die wp-login.php aufgerufen, deswegen schütze ich die Datei und nicht den Ordner.

  28. 28. – Uwe

    Kommentar vom 09.02.2013 um 22:44

    Ich habe heute die Login-failed-Tabelle seit langer Zeit angesehen,
    und festgestellt, das seit September 2012 regelmäßig Logins auf den admin-User durchgeführt werden. Nun gibt's den Admin nicht mehr, mal sehen, wie es weitergeht.

  29. 29.Daniel Weihmann

    Kommentar vom 11.02.2013 um 04:58

    Wenn möglich (leider gibt es ein paar Plugins, die Teile aus /wp-admin laden) setze ich einen .htpasswd-Zusatzschutz ein. Bisher konnte ich den Serverlogs praktisch keine Versuche feststellen, dass jemand versucht hätte, diese Hürde zu überwinden.

    Ansonsten kommt Limit Login Attempts zum Einsatz. Regelmäßig erreichen mich E-Mails, die Login-Versuche melden. Wird hier eine IP besonders auffällig, wird diese in der Server-Firewall eingetragen und ist somit für sämtliche Zugriffe auf den Server gesperrt.

    Ich konnte bisher ausschließlich Login-Versuche mit dem Nutzernamen "admin" feststellen, was mich beruhigt …

  30. 30.Neue Angriffswelle auf Wordpress-Nutzer? | Cybermonky.de

    Pingback vom 11.02.2013 um 21:23

    [...] eben hab ich durch Zufall auf Perun.net in dem Artikel „WordPress und Sicherheit: Ausweitung der automatischen Log-in-Versuche“ gelesen, dass es derzeit vermehrte Angriffe auf WordPress Nutzer zu scheinen [...]

  31. 31.SoftNetBlog

    Kommentar vom 12.02.2013 um 08:54

    Hallo,
    dieses Plugin werde ich mir mal installieren. Gut, dass ich vorausschauend war und keinen so offensichtlichen Login-Namen nutze.
    Meiner Meinung nach sollte man als Name aber auch nicht unbedingt den Namen seines Blogs verwenden, denn auf diese Idee kommen Angreifer bestimmt auch schon bald ;)

  32. 32.SoftNetBlog

    Kommentar vom 12.02.2013 um 09:13

    Kleine Ergänzung:
    Ich habe inzwischen meine wp-login.php umbenannt, sodass nur ich den Namen kenne. Vielleicht bringt das eine kleine Verbesserung in der Sicherheit.
    Durch das Umbenennen musste ich allerdings auch einige kleine Änderungen am Inhalt der Datei machen: Alle Vorkommen von wp-login.php mussten durch den neuen Dateinamen ersetzt werden. Das Ganze dürfte aber auch ohne PHP Kenntnisse kein problem sein, ist ja nur einfaches Suchen&Ersetzen ;)

    Gruß
    Christian von SoftNetBlog.de

  33. 33.Frank

    Kommentar vom 12.02.2013 um 12:00

    Moin Moin,
    seit einigen Tagen verfolge ich diesen Artikel und habe mich natürlich besorgt auf meine Seite(n) gestürzt.
    Doch ich kann sagen, ich bemerke nichts von dem was einige von Euch hier so posten.
    Ich kann einfach keinerlei Einbruchsversuche feststellen.
    Limit Login Attempts benutze ich schon seit Monaten, und seit Wochen, genau genommen, seit dem ich eine .htaccess eingerichtet habe, bekomme ich von Limit Login Attempts keinerlei Mails mehr.

    Plugins benutze ich nur ganz wenige. Vielleicht ist meine Seite mit 500 bis 600 Besuchern am Tag, zu Spitzenzeiten 3800 Besucher auch einfach zu uninteressant für Angreifer ;-)

    Gruß Frank

  34. 34.WP-Sicherheit: Mit LimitLogin-Attempts und .htaccess Einbrecher abwehrenhaunschild.de | haunschild.de

    Pingback vom 12.02.2013 um 12:11

    [...] http://www.perun.net/2013/02/01/wordpress-und-sicherheit-ausweitung-der-automatischen-loginversuche/… [...]

  35. 35. – Andy

    Kommentar vom 18.02.2013 um 20:38

    Hallo Leute,
    interessant zu lesen, aber wirklich überraschend ist dies ja nicht! Wer sich dadurch beunruhigt, sollte ja erst gar keine Website ins Netz stellen und wenn, dann auch kein WordPress, da dies durch seine weite Verbreitung natürlich auch den meisten Angriffen ausgesetzt ist.

    Das wird sich in Zukunft sicher alles noch verschärfen!

    Es sollte aber auch dazu beitragen, das WP immer sicherer wird.
    Dnd deshalb sind die Sicherheitstools neben guten Login-Daten sehr wichtig!

    Was ich vermisse hier ist ein Hinweis auf Wordfence. Das begrenzt auch die Loginversuche und kann noch mehr zur Sicherheit beitragen!

    Gibts da evtl. etwas Gegenteiliges zu sagen zu diesem Plugin? Hat jemand schon mehr Erfahrung damit?

    Beste Grüße

    Andy

  36. 36.fantasylife

    Kommentar vom 14.03.2013 um 18:59

    Interessant zu sehen, dass mein Kommentar bis heute weder freigeschalten, noch gelöscht wurde. :(

  37. 37.Vladimir

    Kommentar vom 15.03.2013 um 02:48

    @fantasylife,

    Interessant zu sehen, dass mein Kommentar bis heute weder freigeschalten, noch gelöscht wurde. :(

    Ja, das fand ich auch interessant. Hier in diesem Weblog passieren auch die verrückten Sachen. ;-)

    Hättest du mich früher darauf aufmerksam gemacht, hätte ich ihn auch früher freigeschaltet.

  38. 38.fantasylife

    Kommentar vom 15.03.2013 um 10:44

    Vielen Dank @Vladimir! Ich wollte nicht aufdringlich sein.

    Zum o.g. Problem: Wenn ich über Who Is – Abfrage oder Honeypot die IPs der letzten Angriffe teste, dann habe ich oft Bots dabei, was ich sehr seltsam finde.
    Meine Seite ist zwar DoFollow, aber ich denke das ist für die doch uninteressant, oder.
    Meine Seite hat eigentlich sehr wenige Besucher, deshalb wundern mich die Angriffe doch sehr.

  39. 39.Sebastian

    Kommentar vom 15.03.2013 um 11:04

    @Oli: Danke für den Tipp mit der author-URL.
    Hab ich gleich in die htaccess eingetragen.
    Ging zwar nicht mit dem ?author=1 aber ich hab es wie folgt eingetragen:

    Redirect /author/mein-author-name/ http://meine-webseite.de

  40. 40.Jan

    Kommentar vom 15.03.2013 um 11:11

    @Sebastian: Anstatt die author-URL für den Admin komplett durch eine Umleitung zu deaktivieren, würde ich lieber das Plugin aus Kommentar 9 verwenden. So lässt die URL dann keinerlei Rückschlüsse mehr auf den Loginnamen zu, was eigentlichen reichen sollte.

  41. 41.Sebastian

    Kommentar vom 15.03.2013 um 12:12

    stimmt.. :)

Hinweis:
WordPress 3.8 für Autoren & Redakteure
Der schnelle und unkomplizierte Einstieg auf 55 DIN-A4-Seiten

Einen Kommentar hinterlassen




XHTML (folgende Tags sind erlaubt): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> . Kommentar-Vorschau ist aktiviert (Javascript wird benötigt).

Code-Beispiele: damit die Code-Beispiele richtig angezeigt werden müssen die Sonderzeichen maskiert werden (z. B. < zu &lt;).



Weblog der perun.net webwork gmbh mit Artikeln zum Thema WordPress, Webwork, und Internet.