Und was hat das mit WordPress zu tun?
Die Log-Files des Servers geben dir Auskunft, welche IP-Adressen ständig zugreifen und die solltest du dann auch serverseitig sperren, Stichwort htaccess
Welches Plugin verwendest du denn?
Automatisierte Brute-Force-Angriffe sind durchaus üblich, verlaufen aber ergebnislos, wenn du ausreichen komplexe und lange Passwörter verwendest. Abhilfe kann ein Plugin schaffen, mit dem das Anmeldeformular auf eine andere Webseite verschoben wird, z.B. WPS Hide Login.
Dass Angreifer, die von einem Plugin nach x Anmeldeversuchen geblockt werden, kurzerhand die IP-Adresse wechseln. haben ich schon gehört. Dass sie von der eigenen IP-Adresse kommen, nicht. Ich würde hier eher eine Fehlkonfiguration vermuten oder ein Plugin, dass fälschlicherweise als Angreifer registriert wird.
Die Sperrung von IP-Adressen ist kaum eine wirksame Schutzmaßnahme. Selbst normale Webseitenbesucher erhalten täglich eine neue IP-Adresse vom ISP zugewiesen, Angreifer werden ihre Skripte über Proxies laufen lassen und damit mehrfach die IP-Adresse wechseln.
@bscu Kurze Frage: ist „welche IP-Adressen ständig zugreifen“ ein realistisches Szenario?
@pixolin
Durchaus, wir haben auf den Servern von einem Freund mittlerweile mehrere hundert IP-Adressen, die gesperrt sind. Teilweise werden auch komplette IP-Bereiche gesperrt, denn keine einzige Domain auf den Servern rechnet mit Besuchern aus Russland oder andere Länder, aus denen regelmäßig Angriffe kommen. Damit kann man schon einiges serverseitig sperren.
Einmal im Monat sehe ich mir die Log-Files an und finde meist immer wieder noch Kandidaten.
-
Diese Antwort wurde geändert vor 3 Jahren, 7 Monaten von
bscu.
@bscu Danke für die Rückmeldung. „komplette IP-Bereiche gesperrt“ ist klar, da aus bestimmten Regionen vermehrt Angriffe kommen. Aber einzelne IP-Adressen wundert mich. Das müssen dann Server sein, die schon seit langer Zeit regelmäßig für Angriffe misbraucht werden.
Angriffe unter der eigenen IP-Adresse sind eher unwahrscheinlich aber durchaus möglich:
- Person A ruft in einem für mehrere Nutzer zugänglichen Netzwerk (W-LAN im Café) ihre Website über eine unverschlüsselte Verbindung auf, wird dann automatisch auf eine verschlüsselte Verbindung weitergeleitet und meldet sich dann im Backend an.
- Person B sitzt im selben Netzwerk (= selbe IP-Adresse) und hat den Netzwerkverkehr mitgeschnitten. Brute-Force-Angriff erfolgt unmittelbar, unter der gleichen IP-Adresse.
… aber sorry, ich schweifen hier ein wenig ab. Ich bin bei dem Thema immer wieder von meiner eigenen Naivität fasziniert. 😉
Einen Punkt hast du vergessen: der eigene Rechner ist virenverseucht 😉
Nachtrag: in meiner Umgebung war eine sehr lange Zeit ein WLAN-Netz ungesichert in Betrieb, ich konnte mich ganz einfach in dem Netz anmelden. Wie sich herausstellte, war es mein Nachbar 🙂 🙂
-
Diese Antwort wurde geändert vor 3 Jahren, 7 Monaten von bscu.
Naja, wenn der Rechner virenverseucht ist, brauchst du dir nicht mehr die Mühe mit einer Brute-Force-Attacke machen; dann loggst du Anmeldedaten gleich mit.
Aber wie gesagt: ich bin da zu naiv und mir fehlt anscheinend zum Hacker die „kriminelle Energie“.
