Wie ich feststellen musste wird meine Homepage mittlerweile täglich mit Brute-Force-Attacken überflutet
Das ist eigentlich so normal, wie Leute die an deiner Haustür vorbeigehen („Uah! Alles potentielle Kriminelle!“ 😀 )
… Limit Login Attempts … Von daher frage ich mich, was dieses Plug-IN in der Praxis bringt ?
Begründete Frage. Das Plugin hält Stümper davon ab, umfangreich auszutesten, ob du „admin:password“ oder „administrator:12345“ als Benutername:Passwort-Kombi verwendest. Den Angriff mit einer neuen IP-Adresse fortzuführen erschwert dann die Sache ein wenig. Mehr aber eben auch nicht.
Somit weiß die „Person“ nämlich sofort, dass es dieser Username NICHT ist und kann diesen direkt ausschließen…
Grundsätzlich gilt der Merksatz, dass „Security by Obfuscation“ (Sicherheit durch Verschleierung) eine weitere Hürde darstellt, aber für gezielte Angriffe kein Hindernis ist. Deinen Benutzernamen kann ich meistens an anderen Stellen viel effizienter herausfinden – RSS-Feeds, REST-API, Autoren-Archive …
Was hilft nun wirklich?
Es gibt mehrere Plugins, die das Anmeldeformular umbenennen und die allseits bekannte Adresse https://example.com/wp-login.php auf ein „404 – File not Found“ (oder die Startseite) umleiten (z.B. WPS Hide Login). Das gehört zwar auch wieder in die Rubrik „Security by Obfuscation“, aber es erschwert schon mal automatisierte BruteForce-Angriffe. Zumindest macht einen die Zugriffs-Statistik nicht mehr so nervös.
Webseiten sollten immer verschlüsselt übertragen werden, weil sonst jede Eingabe (auch von Zugangsdaten) im Klartext mitgelesen werden kann. Es kann aber auch passieren, dass du bei der Passworteingabe beobachtet wirst, jemand einen Keylogger verwendet oder sonst irgendwie an dein Passwort kommt (deshalb der Hinweis, starke Passwörter – ausreichend lang und mit viel Entropie – zu verwenden). In dem Fall hilft eine Zwei-Faktor-Authentifikation, die mit dem Plugin Two-Factor schön umgesetzt wurde. Du benötigst dann zusätzlich zur Anmeldung neben dem Passwort entweder einen von einer Authenticator-/OTP-App fortlaufed neu generierten Zahlenschlüssel, einen U2F-Schlüssel (Yubikey oder ähnliches), einen per E-Mail zugesandten Zahlenschlüssel oder einen ausgedruckten und abgehefteten Backup-Code.
Von All-in-One-Security-Lösungen solltest du eher Abstand nehmen. Nach dem Motto „viel hilft viel“ klicken Anwender oft unbedarft alles mögliche an, wundern sich über die sagenhaft schlechte Performance ihrer Website („Echtzeitschutz“), meinen aber alles für die Sicherheit getan zu haben – eine sehr trügerische Annahme.
Die meisten Hacks, die wir hier mitbekommen, stammen übrigens nicht aus BruteForce-Angriffen (nur wenige Benutzer verwenden eine Benutzername:Passwort-Kombi wie admin:password), sondern aus ausgenutzten Schwachstellen in nicht aktualisierten Plugins. Die Hacker sehen das nicht einmal persönlich und haben es nicht gezielt auf einzelne Webseitenbetreiber abgesehen, sondern versuchen mit einem groß angelegten, automatisierten Angriff die Schwachstelle eines bestimmten Plugins auszunutzen, um auf möglichst vielen Servern ein Botnetz zu installieren oder sonstige Malware zu platzieren. Deshalb ist auch der oft gehörte Hinweis „Ach, meine Website ist doch unwichtig, da ist doch nichts drauf.“ Unfug. Nach dem Angriff ist dann „was drauf“ – und das kann recht unangenehm werden.
Lesenswert: Wie sicher ist WordPress?
