Brute-Force Versuche

  • Gelöst Benedikt Ledl

    (@benniledl)


    vor 3 Jahren, 1 Monat

    Hallo,

    auf meine WordPress-Seite werden realtiv viele Post Anfragen auf wp-login.php gemacht.
    Nichts ungewöhnliches bis ich bemerkte dass alle Brute-Force Versuche auf existierende Konten gemacht werden.
    In den access logs sehe ich, dass die IP-Adressen zuvor 1 GET auf wp-login.php gemacht haben bevor Sie dann die Post Anfrage geschickt haben, also müssen Sie irgendwie auf der wp-login.php die Usenamen gefunden haben oder?
    Es existieren 5 Konten, 90% der Anfragen gehen auf 1 Konto die anderen 10% auf ein Anderes
    Die Anfragen kommen von verschiedenen IPS aus Drittländern.

    Wie konnten die Bots unsere Usernamen herausfinden?

    Danke für euer Wissen und LG

Ansicht von 6 Antworten – 1 bis 6 (von insgesamt 6)
  • Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 3 Jahren, 1 Monat

    Zum Beispiel über die REST API.

    Es gibt Plugins, mit denen du die Adresse des Anmeldeformulars ändern kannst. Das erhöht zwar nicht wirklich die Sicherheit, bremst aber Bots aus.
    Für mehr Sicherheit sind Zwei-Faktor-Authentifikations-Plugins eine gute Ergänzung.

    Thread-Starter Benedikt Ledl

    (@benniledl)

    vor 3 Jahren, 1 Monat

    Hallo danke für deine Antwort,
    können also Besucher bei den WP Standardeinstellungen ohne irgendeine Authentifizierung die Usernamen über die REST API herausfinden?
    LG

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 3 Jahren, 1 Monat

    Wenn ich per REST API einen Beitrag abrufe, bekomme ich auch die Metadaten mitgeliefert, also auch den Autor.
    Ich bin im Moment unterwegs und mit dem Smartphone ist das etwas schwieriger, sonst hätte ich einen Screenshot beigefügt.

    Thread-Starter Benedikt Ledl

    (@benniledl)

    vor 3 Jahren, 1 Monat

    Danke für die Antwort nochmal,
    auf der Seite sind eigentlich keine Beiträge aktiv und der betroffene Nutzer hat noch nie Inhalte erstellt.

    Aber ich verstehe es ist also nicht schwer die usernamen herauszufinden.
    Danke für deine Hilfe 🙂

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 3 Jahren, 1 Monat

    Hier noch ein paar weitere Infos zum Thema „Benutzer herausfinden“:

    WordPress User Enumeration

    Thread-Starter Benedikt Ledl

    (@benniledl)

    vor 3 Jahren, 1 Monat

    Vielen Dank @pixolin !

Ansicht von 6 Antworten – 1 bis 6 (von insgesamt 6)

Das Thema „Brute-Force Versuche“ ist für neue Antworten geschlossen.

Schlagwörter