Support » Allgemeine Fragen » Brute-Force Versuche

  • Gelöst !Benni

    (@benniledl)


    Hallo,

    auf meine WordPress-Seite werden realtiv viele Post Anfragen auf wp-login.php gemacht.
    Nichts ungewöhnliches bis ich bemerkte dass alle Brute-Force Versuche auf existierende Konten gemacht werden.
    In den access logs sehe ich, dass die IP-Adressen zuvor 1 GET auf wp-login.php gemacht haben bevor Sie dann die Post Anfrage geschickt haben, also müssen Sie irgendwie auf der wp-login.php die Usenamen gefunden haben oder?
    Es existieren 5 Konten, 90% der Anfragen gehen auf 1 Konto die anderen 10% auf ein Anderes
    Die Anfragen kommen von verschiedenen IPS aus Drittländern.

    Wie konnten die Bots unsere Usernamen herausfinden?

    Danke für euer Wissen und LG

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Zum Beispiel über die REST API.

    Es gibt Plugins, mit denen du die Adresse des Anmeldeformulars ändern kannst. Das erhöht zwar nicht wirklich die Sicherheit, bremst aber Bots aus.
    Für mehr Sicherheit sind Zwei-Faktor-Authentifikations-Plugins eine gute Ergänzung.

    Thread-Starter !Benni

    (@benniledl)

    Hallo danke für deine Antwort,
    können also Besucher bei den WP Standardeinstellungen ohne irgendeine Authentifizierung die Usernamen über die REST API herausfinden?
    LG

    Wenn ich per REST API einen Beitrag abrufe, bekomme ich auch die Metadaten mitgeliefert, also auch den Autor.
    Ich bin im Moment unterwegs und mit dem Smartphone ist das etwas schwieriger, sonst hätte ich einen Screenshot beigefügt.

    Thread-Starter !Benni

    (@benniledl)

    Danke für die Antwort nochmal,
    auf der Seite sind eigentlich keine Beiträge aktiv und der betroffene Nutzer hat noch nie Inhalte erstellt.

    Aber ich verstehe es ist also nicht schwer die usernamen herauszufinden.
    Danke für deine Hilfe 🙂

    Hier noch ein paar weitere Infos zum Thema „Benutzer herausfinden“:

    WordPress User Enumeration

    Thread-Starter !Benni

    (@benniledl)

    Vielen Dank @pixolin !

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Das Thema „Brute-Force Versuche“ ist für neue Antworten geschlossen.