Skip to main content
Fehler 404 - Datei nicht gefunden - (C) Geralt Altmann via Pixabay.de Fehler 404 - Datei nicht gefunden - (C) Geralt Altmann via Pixabay.de

In eigener Sache: Diese Webseite wurde angegriffen und wird nun geschützt

Heute war es dann auch mal bei mir soweit. Meine Webseite erlebte eine BruteForce-Attacke. Da solche Attacken immer irgendeine Sicherheitsproblematik aufzeigen, musste ich also handeln. Und ich habe dann auch schnellstmöglich reagiert.

Zwar werden nun einige denken, dass meine Aktion reichlich spät kommt. Aber ich musste eben erst einmal wieder durch Schmerzen lernen. Und das habe ich nun also gemacht.

Was war die Meldung?

Als ich mich vorhin im Dashboard meiner Webseite – im Verwaltungsbereich also – anmelden wollte, erschrak ich vor folgender Meldung:

BruteForce-Schutz aktiv / brute-force protection active

Die BruteForce-Überwachung hat aufgrund von atypisch Zugriffen den angeforderten Bereich gesperrt. Bitte versuchen Sie es später erneut.

Due to non-standard hits, the access to the requested area has been denied by the brute-force monitoring. Please try again later.

Ich fragte sofort im Internet herum, was dies wohl bedeuten könnte. Ich dachte daran, dass ich ein Plugin im Einsatz habe, das Anmeldeversuche überwacht. Und ich hatte heute mal vergessen, mich abzumelden.

Allerdings erhielt ich als Idee, dass mein Hoster wohl einen BruteForce-Schutz laufen lassen würde. Ich hielt das für recht unwahrscheinlich, aber es konnte theoretisch möglich sein.

Auf Anfrage an den Support wurde das natürlich verneint. Aber – nach Ticketeröffnung mitten in der Nacht kam die Antwort bereits in weniger als 2 Minuten – man bot mir eine Lösung an, die ich schon einmal falsch eingesetzt hatte: Der Schutz des Dashboards mithilfe einer speziellen Datei.

Was ist eine BruteForce-Attacke?

Hier wird mit roher Gewalt versucht, Zugang zu einer Webseite zu erlangen. Mit solchen Attacken wird maschinell versucht, Passwörter zu knacken. Ausführlich beschrieben ist das Ganze in der Wikipedia. Es lohnt sich für alle Webseiten-Betreiber, sich dort einmal quer zu lesen.

Wie war denn nun die Lösung?

Wie gesagt, den entscheidenden Hinweis gab der Support von Alfahosting in einer Weltklasse-Antwortzeit. Und im Endeffekt ist dann bei mir folgende Lösung zustande gekommen:

Schritt 1: Erstellen einer Datei .htpasswd

Ich habe mir bei einem Passwort-Generator mein Passwort verschlüsseln lassen. Derlei Dinge gibt es recht oft. Einer davon ist hier zu finden. Dort gibt man seinen Anmeldenamen und sein Passwort ein und lässt die kryptische Version davon generieren. Das sieht in etwa so aus:

Benutzer:$1$LCwC[w_w$kXvnjJIjJu4LSnlWu/dwG0

Das Ergebnis gibt man dann in eine leere Datei ein. Hierfür eignet sich am besten der Editor Notepad ++. Denn damit kann man dann den richtigen Dateinamen „.htpasswd“ angeben. Diese Datei lädt man dann in seinen Webspace ins gleiche Verzeichnis, wo auch die WordPress-Installation liegt.

Schritt 2: Absoluten Pfad zur Datei feststellen

Für Schritt 2 brauchen wir den absoluten Pfad zur eben erstellten .htpasswd. Diesen erhält man mit einer Datei, die man z.B. pfad.php nennt. Und in dieser steht nur eine einzige Zeile, nämlich:

<?php echo dirname(__FILE__); ?>

Diese Datei speichert man und lädt sie wieder in das gleiche Verzeichnis wie in Schritt 1. Und die Datei ruft man dann im Browser durch Eingabe von: http://domain.test/pfad.php auf. Und man kopiert bitte das, was als Ergebnis angezeigt wird, z.B.:

/server/pfad/zu/ihrer/directory/.htpasswd

Schritt 3: Anpassen des Verzeichniszugriffs

Jetzt müssen wir das Ergebnis aus Schritt 2 noch nutzen. Dazu brauchen wir die Datei .htaccess, die wir dort finden, wo die WordPress-Installation liegt und wo wir die beiden erstellten Dateien hochgeladen haben. Wir laden uns also diese Datei herunter und bearbeiten diese wieder mit dem Notepad ++.

Wir müssen nämlich jetzt angeben, wo die .htpasswd liegt und was wir damit überhaupt schützen wollen. Also tragen wir zusätzlich zum existierenden Inhalt folgenden Abschnitt noch ein:

AuthName "BruteForce"
 AuthType Basic
 AuthUserFile /server/pfad/zu/ihrer/directory/.htpasswd

<FilesMatch "wp-login.php">
 require valid-user
 </FilesMatch>

Und die Datei laden wir dann auch wieder hoch. Aber vorher müssen wir die auf dem Server vorhandene Datei löschen.

Ergebnis

Nun erhält man ein zusätzliches Anmeldefenster im Browser. Und zwar nicht auf der Webseite, sondern direkt im Browser. Mit diesem Anmeldefenster authentifiziert man sich, dass man ein gültiger Benutzer ist, der Zugriff auf die Datei wp-login.php haben darf.

Ich hoffe, dass dies die einzige BruteForce-Attacke war. Und wenn Sie Ihre Seite ähnlich schützen wollen, hoffe ich, die drei Schritte anschaulich genug erklärt zu haben.

Bildquelle: Fehler 404 – Datei nicht gefunden – (C) Geralt Altmann via Pixabay.de

Verteilen Sie diese Erkenntnis doch einfach wie 16 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

33 Gedanken zu „In eigener Sache: Diese Webseite wurde angegriffen und wird nun geschützt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.