• Gelöst michael776655

    (@michael776655)


    Theme: Accelerate (Wird aber mit anderen Themen ähnlich sein)
    Es gibt Seiten und Beiträge.
    Beiträge zeigen immer den Autor an und der Name ist ein Link, der immer den usernamen im Klartext enthält, auch wenn der angezeigte Name etwas anderes ist.

    Nun „leiden“ wir unter einer login Attacke und fänden es gut, wenn die zum Login verwendeten Namen nicht öffentlich wären.
    Der aktuelle Behelf ist ein „Hilfsuser“, der immerhin keine Administrator-Rechte hat, als „-“ angezeigt wird, und den Link „mywebsite.de/user/hidden“ erzeugt.
    Auch der user „hidden“ hat ein starkes Passwort, so können wir den Attacken relativ gelassen zusehen. Natürlich ist „admin“ nicht der Administrator Account, wäre aber nett, wenn er nicht jeden Beitrag nachträglich auf den „hidden“ Account umändern müsste.

    Frage: Wie kann man die grundsätzliche Struktur solch eines Beitrags anpassen, dass erst gar kein solcher Link erzeugt wird?
    Die Frage zeigt wohl schon, dass ich für eine narrensichere detaillierte Anleitung sehr dankbar bin.

    • Dieses Thema wurde geändert vor 1 Jahr, 9 Monaten von michael776655.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Ich würde zur Abwehr eines Angriffs lieber auf eine Zwei-Faktor-Authentifikation setzen. Plugins, die das Anmeldeformular umbenennen, erschweren automatisierte Angriffe.

    Um Benutzer herauszufinden gibt es verschiedene Ansätze. Vielleicht helfen dir diese Beiträge weiter:

    WordPress »User Enumeration« verhindern

    WordPress User Enumeration

    Thread-Starter michael776655

    (@michael776655)

    Danke @pixolin, der „hidden“ – Account ist inzwischen nur einer von mehreren existierenden Accounts, die verwendet werden. Unser Hacker benutzt also die user-Enumeration Methode.
    „WPS Hide Login“ war super einfach zu finden, installieren und benutzen, unterstützt leider die Groß-Klein-Unterscheidung unseres Webservers nicht, aber ist erstmal der einfachste Ansatz.
    2Faktor macht es uns selbst mühsamer ( wo liegt das Handy ? ) und das login muss wirklich personenbezogen erfolgen. Ist aber Stand der Technik, zugegeben. Bei meiner Bank sehe ich’s ja ein.

    Mal sehen.
    Danke, gelöst (vorerst)

    Bei einem Passwort mit ausreichender Entropie (das kann auch sowas wie kumquat-banana-kokos! sein) sind BruteForce-Angriffe bereits schwer. Das schützt dich aber nicht davor, dass dir jemand bei der Eingabe über die Schulter schaut, einen Keylogger verwendet oder in einem offenen Netzwerk die unverschlüsselte Eingabe protokolliert.
    Die Zwei-Faktor-Authentifikation setzt voraus, dass du den zusätzlichen Schlüssel zur Errechnung der zeitbasierten Zahlenkombinationen kennst oder dich innerhalb von 20 Sekunden mit den gleichen Zugangsdaten anmeldest. Das macht es dann wirklich schwerer, selbst wenn jemand dein Passwort kennt.

    Thread-Starter michael776655

    (@michael776655)

    Umbenennen von wp-login hat schon ein wenig gebracht
    disable xmlrpc.php ist wohl auch noch erforderlich…

    Ich habe diese Funktion in Code Snippets bzw. functions.php definiert. Falls ihr die Autorenseite nicht blocken wollt, nehmt die Zeilen raus.

    function disable_url() {
    	global $wp_query;
    	if ( !is_admin() ) {
    		//Aufruf der Benutzer-URL über ID verhindern
    		if (isset ($_REQUEST['author']))
    			$wp_query->set_404();
    		// Autor-Seite
    		if( is_author() )
        		     $wp_query->set_404();
    	}
    }
    add_action( 'parse_query','disable_url' );

    Und im .htaccess steht:

    <Files xmlrpc.php>
        Require all denied
    </Files>

    Dann habe ich noch ein Plugin zum Verbieten der Rest-API für unangemeldete Nutzer installiert.

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Das Thema „Autor eines Beitrags anonymisieren“ ist für neue Antworten geschlossen.