WordPress – Einbruchsversuche reißen nicht ab

WordPress ist ein wichtiges Content Management System. Und so kommt es immer wieder zu Angriffen. So auch bei mir. Und immer dasselbe Schema. Das ist nicht weiter schlimm, weil das Schema bekannt ist und ich das beizeiten parieren kann. Und deshalb lobe ich auch immer wieder ein Plugin, das ich im Einsatz habe.

ATTACKE IST GEGEN Henning Uhle GERICHTET?

So lauten warnende Emails, die ich in einem solchen Fall erhalte. Das klingt schlimmer, als es ist. Im Email-Text liest man dann:

Ihre Webseite, Henning Uhle, steht unter einer Brute Force Attacke.

Es wurden mindestens 10 fehlgeschlagene Loginversuche innerhalb der letzten 120 Minuten registriert, die eine oder mehrere der folgenden Komponenten enthielten:

Component Count Value from Current Attempt
------------------------ ----- --------------------------------
Netzwerk IP 10 **.**.***.*
Benutzername 10 admin
Passwort MD5 1 <kryptische Folge>

Der jüngste Versuch kam aus der folgenden IP-Adresse: **.**.***.***

Das *** Plugin (Version) für WordPress wehrt Attacken ab indem es die Antwort auf fehlerhafte Logins stark verzögert. Diesem Angreifer wird der Zugriff verweigert, auch wenn er Zugriff auf gültige Zugangsdaten erlangen sollte.

Weitere Benachrichtigungen über diese Attacke werden nur versandt, sollte die Attacke für mindestens 120 Minuten unterbrochen und dann fortgesetzt werden.

Gut, also bin ich sicher, nehme ich an. Selbst wenn, ich habe die IP-Adresse verfremdet und mal nach ihr geschaut. Eine solche Email ist ja nun nichts neues mehr für mich. Die Attacken kommen immer wieder aus ein und demselben Netzwerk-Segment. Darum habe ich jetzt mal im Plugin dieses Netzwerk-Segment komplett ausgesperrt und meine Domain in der .htaccess so geschützt, dass die mir bekannten IP-Adressen keinen Zugriff mehr erhalten.

Man kann bei Amazon S3 virtuelle Maschinen betreiben. Das hatte ich irgendwann mal herausgefunden. Und von dort kommen die Attacken. Eine entsprechende Meldung bei Amazon brachte erwartungsgemäß kein Ergebnis. Also wird lieber das komplette Netzwerk-Segment ausgesperrt. Ich kann’s doch nicht ändern. Ich würde gern ohne Sperren auskommen, aber durch solche Dinge wird mir da jegliche Wahl genommen.

Unabhängig, ob es den Benutzernamen „admin“ gibt oder nicht (nein, den gibt es nicht), ich muss ja auf solche Attacken reagieren. Und deshalb mache ich das Alles. Das würden Sie doch auch machen, oder?

One Reply to “WordPress – Einbruchsversuche reißen nicht ab”

  1. Hallo Henning,
    jep, würde ich auch so machen und ich setze das Plugin Login Attempts ein. Ist es dieses Plugin bei dir, welches du im Einsatz hast?

    Ich denke, dass es schon viele Blogger mitbekamen, dass man im eigenen WordPress-Blog nicht admin heissen darf, für den Fall der Fälle und um auf Nummer sicher zu gehen.

    Ich versuche es auf meinen WordPress-Blog zu vermeiden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert