• Hallo liebe WordPress Gemeinde,

    ich betreibe seit etwa Mitte März eine kleine WordPress Seite. Kurz nach der Installation der Seite, das Plugin „Limit Login Attempts Reloaded“ war vorinstalliert, bekam ich an zwei Tagen hintereinander eine Mail, dass jemand versucht hatte sich unberechtigterweise anzumelden. Schnell war klar, dass ja bei Installation jede WordPress Seite den gleichen Link hat, um zu Anmeldeseite zu kommen.

    Darauf hin habe ich das Plugin „WPS Hide Login“ installiert und den Link für die Anmeldeseite geändert. Auf meiner Seite selbst habe ich keine Verlinkung zur Anmeldung. Zumindest keinen bewussten „Anmelden“-Link platziert. Evtl. gibt es noch eine weitere allgemeine Anmelde-URL für das Frontend? Auf jeden Fall was mit den unautorisierten Anmeldeversuchen danach Schluss.

    Gestern nun habe ich einen neuen Benutzer mit Admin Rechten angelegt. Der neue Benutzer sollte per Mail darüber informiert werden. Der Benutzername selbst ist nicht gerade gewöhnlich. Ich bin mir absolut sicher, dass sich der neue Benutzer (meine Frau) noch nicht eingeloggt hat, denn die sitzt den ganzen Tag neben mir.

    Seltsamerweise erhielt ich gestern Abend dann um 21:42 Uhr eine Mail mit dem Hinweis,
    Es gab zuletzt 12 fehlgeschlagene Anmeldeversuche (3 Aussperrungen) von IP (XXX.XX.XX.XX),
    Zuletzt ausprobierter Benutzer: „genau der o. g. neue Benutzer“
    IP wurde für 20 Minuten blockiert
    und um 22:02 eine Mail mit dem Hinweis:
    Es gab zuletzt 16 fehlgeschlagene Anmeldeversuche (4 Aussperrungen) von IP (XXX.XX.XX.XX => selbe IP wie bei der ersten Mail),
    Zuletzt ausprobierter Benutzer: „wieder genau der o. g. neue Benutzer“
    IP wurde für 24 Stunden blockiert

    Nun zu meiner Frage:
    Wie kann es sein, dass jemand die URL der Anmeldeseite herausgefunden hat?
    Zusätzlich dazu den erst gestern Nachmittag angelegten Benutzer mit eine eher ungewöhnlichen Benutzernamen herausgefunden hat?

    Als weitere Benutzer bin nur noch ich angelegt. Kann es sein, dass mein Benutzer noch vor Änderung der Anmelde-URL gehackt wurde? Wie ließe sich das herausfinden?

    Wäre die Lösung, mein Passwort und die Anmelde-URL noch einmal zu ändern?

    Vielen Dank für euere Hilfe.

    Gruß Steffen

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)
  • Du hast keine URL zu deiner Website angegeben und verständlicherweise kennen wir weder den Link zum Anmeldeformular, noch den „eher ungewöhnlichen Benutzernamen“ deiner Frau – alles OK, nur kann ich dann in der Beurteilung auch nur sehr allgemein bleiben.

    Es ist richtig, dass zunächst einmal bei allen WordPress-Installationen das Anmeldeformurlar unter der Adresse https://example.com/{wordpress-verzeichnis/}wp-login.php erreichbar ist und wer hier leichtsinnigerweise eine allzu leicht zu erratende Kombination aus Benutzername und Passwort (z.B. admin:password) gewählt hat, hätte dann unter Umständen auch in wenigen Sekunden eine kompromittierte Website. (Tatsächlich gibt es auch bewusst mit Schwachstellen ausgestattete Webseiten, so genannte Honeypots, mit denen Angriffsmethoden untersucht werden sollen. Blöd, wenn dann keiner kommt.)
    Selbst „eher ungewöhnliche Benutzernamen“ lassen sich häufig anhand von Meta-Daten (z.B. Autorenangabe bei einem Beitrag/einer Seite) herausfinden. Es ist also verlockend, die Kombination von Benutzername und einer Reihe von Passwörtern auszuprobieren. Dazu gibt es sogar fertige Skripte, die auf der Webseiten wp-login.php ganze Bibliotheken gängiger Passwörter (passwort, 1234567, qwertz, Vornamen …) in kurzer Zeit durchgehen. Einen alten Laptop mal über Nacht durchlaufen zu lassen ist wirklich kein Aufwand und die Skripte stehen allen kostenlos zur Verfügung.

    Verwendest du Passwörter mit ausreichender Entropie, wird aber ein solcher Angriff scheitern, weil zu viele Kombinationen ausprobiert werden müssen. Ärgerlich ist dabei nur, dass unnötig Bandbreite verschwendet wird, weil der Webserver jede Anfrage (wenn auch ablehnend) beantworten muss. Um automatisierte Skripte ein wenig auszubremsen, lässt sich das Anmeldeformular verschieben und die Anzahl an Fehleingaben pro IP-Adressen beschränken. Das hast du mit Installation und Einrichtung von WPS Hide Login und Limit Login Attempts Reloaded getan.

    Nun überrascht ein wenig, dass jemand trotzdem die Seite mit dem Anmeldeformular gefunden hat. Die Seite herauszufinden ist nicht ganz so einfach, es sei denn sie ist leicht zu erraten (statt wp-login.php sowas wie steffens-login). Ich würde auch mal den unwahrscheinlichen Fall aussschließen, dass jemand einen Keylogger installiert hat und jeden Tastenanschlag auf deiner Tastatur protokolliert, um sich so Zugang zu schaffen – das wäre mir zu viel Aufwand. Wahrscheinlicher ist, dass du dich per http (also unverschlüsselt) in einem Netzwerk (z.B. in der Bahn, in einem Café, Eindringling in eigenem W-LAN, …) angemeldet hast und jemand zumindest den Aufruf der Anmelde-Webseite mitprotokollieren konnte. Ist WordPress richtig konfiguriert (SSL-Zertifikat eingerichtet, Website- und WordPress-URL mit https, Konfigurationsdatei wp-config.php mit Zeile define( 'FORCE_SSL_ADMIN', true );) wird zumindest nach dem Aufruf des Anmeldeformulars auf eine verschlüsselte Verbindung umgestellt, aber auf die Weise wäre zumindest die URL der Anmeldeseite „geleakt“.

    Nach einem Angriff „Forensik“ zu betreiben, um herauszufinden woher der Angriff kam, ist recht aufwendig und bringt meistens wenig. Als erste Maßnahme würde ich tatsächlich die Zugangsdaten aller WordPress-Benutzer, die Zugangsdaten zur MySQL-Datenbank beim Webhoster und in der wp-config.php und die Zugangsdaten zum Webhoster vorsichtshalber ändern. Um ausreichend komplexe Passwörter zu verwenden (gerne Zahlen-Ziffern-Sonderzeichen-Salat mit mehr als 14 Zeichen) solltest du eine Passwortdatenbank wie KeePass verwenden. Die Anmeldeseite zu ändern, ist ebenfalls eine gute Idee.
    Ganz wichtig ist, alle verwendeten Themes, Plugins und natürlich auch WordPress selbst zeitnah zu aktualisieren, damit Sicherheitslücken schnell geschlossen werden. Hier dürfte der Hauptangriffspunkt für viele Hacks liegen.

    Zusätzlich kannst du ein Plugin für eine Zwei-Faktor-Authentifikation verwenden, damit deine Webseiten selbst dann noch geschützt sind, wenn jemand dein Passwort herausgefunden hat. Hier hat sich das Plugin Two-Factor bewährt, dass dir verschiedene Zweitschlüssel (Authenticator-App, U2F-Schlüssel, E-Mail) anbietet.

    Ganz allgemein gilt dir Regel, dass sich Security by Obscurity, also Maßnahmen zu Erhöhung der Sicherheit durch Verschleierung von Informationen, als unzureichend erwiesen hat. Immerhin kannst du damit aber automatisierte Angriffe ausbremsen und Einsteigern, die mal Kali-Linux ausprobieren wollen, ein wenig die Zeit stehlen.

    Einen hundertprozentigen Schutz deiner Website wirst du nicht erreichen. Aber mit einem geprüften Backup (geprüft im Sinne von: kann ich das im Ernstfall wiederherstellen?) kannst du eine gehackte Website in wenigen Minuten wiederherstellen.
    Ohne Backup ist es wesentlich schwieriger, weil du alle Skript-Dateien löschen, von sicherer Quelle herunterladen und neu installieren musst und alle anderen Dateien sehr, sehr sorgfältig auf möglichen Malware-Befall durchschauen musst. Sowas kann dann einige Stunden dauern und bei einem Defacement gelöschte Dateien lassen sich ohne Backup gar nicht wiederherstellen. Also besser regelmäßig ein Backup machen.

    Zuletzt noch der Hinweis: auch wenn an meiner Haustür unbekannte Personen vorbeilaufen, versuche ich gelassen zu bleiben und nicht in jedem Menschen einen Einbrecher zu vermuten. Einbrüche kommen vor, ja, aber so ein Backup ist wie eine gute Versicherung, mit der sich der Schaden zumindest eindämmen lässt.

    Thread-Starter ahb1

    (@ahb1)

    Hallo Bego Mario Garde,

    wow…

    …vielen herzlichen Dank für die ausführliche Antwort.

    Die URL lautet: https://www.autohaus-bachmann.de

    Das jemand einen Keylogger installiert hat, schließe ich zunächst auch einmal aus. Denn alle Geräte mit denen ich bisher auf die Internetseite zugegriffen habe, sind mit Bitdecender geschützt. Ich werde aber noch einmal einen kompletten Systemscan auf allen Geräten im Netzwerk laufen lassen.

    Anmeldungen in Fremdnetzwerken kann ich ausschließen, hier bliebe dann noch ein Eindringling im eigenen Netzwerk. Das ist nun dann mein erster Ansatzpunkt. Obwohl es bis dato kein Vorkommnis gibt, was darauf schließen ließe. Auch sehe ich keine Netzwerkgeräte, die nicht zum Netzwerk gehören. Werde ich aber auf jeden Fall prüfen.

    SSL-Zertifikat ist eigerichtet. Website- und WordPress-URL beginnen mit https. Sollte so passen.

    Suche ich nach der in der Mail angegebenen IP (wusste nicht ob ich die hier posten darf), komme ich in China raus. Passwörter für die WordPress-Benutzer (gibt nur zwei) wurden geändert. Es wurden bereits vorher komplexe Passwörter verwendet => vermutlich der Grund, warum es bei den Anmeldeversuchen blieb.

    Alles was installiert ist, ist aktuell (Plugins, Themes, WordPress)

    Den Vorschlag mit der zwei Faktor Authentifizierung habe ich gerne angenommen. Plugin habe ich installiert und die zwei Faktor Authentifizierung eingestellt.

    In der Regel denke ich schon, dass meine Webseite gut geschützt ist. 100% gibt es so gut wie nie, denn die größte Gefahr sitzt meist ca. 20-30cm vor dem Bildschirm.

    Was mich erschreckt hat ist, dass es mit dem Anmeldenamen meiner Frau versucht wurde, den noch nicht mal sie kannte, da ich das Konto eben erst gestern Nachmittag angelegt habe. Und Sie selbst sich noch nicht versucht hat anzumelden.

    Werde deshalb aber auch noch einmal den Rechner meiner Frau checken, ob hier irgendwelche Schadsoftware drauf ist und den Benutzername u. U. über das Mailprogramm ausgespäht hat.

    Mir war hier nur wichtig, ob und wenn ja welche Möglichkeiten hier Kriminelle haben, das herauszubekommen.

    Aber noch einmal vielen vielen Dank für deine Antwort.

    Gruß Steffen

    Thread-Starter ahb1

    (@ahb1)

    Hallo nochmal,

    eine Sache ist mir noch aufgefallen. Unter „Limit Log Attemps“ finde ich unter Protokolle folgende Einträge:

    Datum	IP	Loginversuch als	Gateway	
    Mai 07, 2021 10:51	xxx.xxx.xxx.xx	admin (2 lockouts)	wp_xmlrpc	Unlock
    Mai 07, 2021 10:38	xxx.xxx.xx.xxx	admin (2 lockouts)	wp_xmlrpc	Unlocked
    Mai 07, 2021 09:24	xxx.xx.xxx.xxx	admin (2 lockouts)	wp_xmlrpc	Unlocked
    Mai 06, 2021 20:02	xxx.xx.xx.xx	xxxxx (2 lockouts)	wp_xmlrpc	Unlock
    Mai 06, 2021 19:21	xxx.xx.xx.xx	admin (2 lockouts)	wp_xmlrpc	Unlock
    Mai 06, 2021 03:49	xx.xx.xxx.xx	admin (1 lockouts)	wp_xmlrpc	Unlocked
    April 27, 2021 16:32	xxx.xx.xxx.xxx	admin (1 lockouts)	wp_xmlrpc	Unlocked
    April 23, 2021 04:24	x.x.xxx.xxx	admin (1 lockouts)	wp_xmlrpc	Unlocked
    April 22, 2021 17:08	xx.xxx.xx.xxx	admin (2 lockouts)	wp_xmlrpc	Unlocked
    April 20, 2021 20:47	xx.xxx.xxx.xxx	admin (1 lockouts)	wp_xmlrpc	Unlocked
    April 20, 2021 19:59	xxx.xxx.xx.xxx	test (1 lockouts)	wp_xmlrpc	Unlocked
    April 20, 2021 04:53	xxx.xxx.xxx.xx	admin (2 lockouts)	wp_login	Unlocked
    April 19, 2021 20:46	xxx.xxx.xxx.xx	autohaus-bachmann (1 lockouts)	wp_xmlrpc	Unlocked
    März 23, 2021 17:50	xxx.xx.xxx.xx	admin (1 lockouts)	wp_xmlrpc	Unlocked
    März 16, 2021 09:27	xx.xxx.xxx.xx	admin (1 lockouts)	wp_xmlrpc	Unlocked

    Am 20.April sieht man das versucht wurde sich über die wp_login URL anzumelden, danach hatte ich dann „WPS Hide Login“ installiert.

    Für mich persönlich erstaunlich, die Angriffe kommen gar nicht über die geänderte Anmelde URL sondern über „wp_xmlrpc“!

    Hat hierzu noch jemand einen Tipp für mich?

    Vielen Dank schon einmal vorab.

    Gruß Steffen

    Den Vorschlag mit der zwei Faktor Authentifizierung habe ich gerne angenommen.

    Bei allen Vorsichtsmaßnahmen ist das wahrscheinlich der beste Schritt.

    Was mich erschreckt hat ist, dass es mit dem Anmeldenamen meiner Frau versucht wurde, den noch nicht mal sie kannte …

    Es gibt wie gesagt Skripte, die eine Evaluierung der Benutzer durchführen. Skript mit ein paar Parametern starten und abwarten, was dabei rauskommt … Dazu muss auf dem Computer deiner Frau nicht erst irgendwas installiert werden.

    Suche ich nach der in der Mail angegebenen IP (wusste nicht ob ich die hier posten darf), komme ich in China raus.

    … und der Angreifer sitzt in Wuppertal, Amsterdam oder auch tatsächlich in China. Meistens wird die Herkunft über Nutzung eines Proxy verschleiert.

    Mir war hier nur wichtig, ob und wenn ja welche Möglichkeiten hier Kriminelle haben, das herauszubekommen.

    Wir möchte hier aus nachvollziehbaren Gründen keine Anleitungen verbreiten, wie WordPress gehackt werden könnte (was auch eigentlich – also starke Passwörter, verschlüsselte Übertragung, regelmäßige Updates vorausgesetzt – nicht so einfach ist). Dass unbefugte Anmeldungen versucht werden, gehört leider zur gängigen Praxis. Du wärst erstaunt, wenn du sehen würdest, wieviele Angriffe dein W-LAN-Router täglich abblockt.

    Wenn auf deiner Website persönliche Daten (z.B. Kundenadressen) gespeichert sind, sollte in besonderem Maße auf eine Absicherung der Website geachtet werden. Laut DSGVO Artikel 5, Absatz 1 Buchstabe f müssen personenbezogene Daten … 

    f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

    Gelangen durch einen Angriff personenbezogene Daten in falsche Hände, muss nach Artikel 33 Absatz 1

    „der Verantwortliche unverzüglich und möglichst binnen 72 Stunden“, nachdem ihm die Verletzung bekannt wurde, diese [Verletzung des Schutzes personenbezogener Daten] der gemäß Artikel 55 zuständigen Aufsichtsbehörde … melden.“

    Das ist dann alles nicht so lustig und kann im Einzelfall auch teuer werden.

    Ein paar gute Tipps zur zusätzlichen Absicherung deiner Website findest du in diesem Beitrag: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website

    (Hinweis: Ein Rechtsanwalt kann dir das sicher viel besser und genauer darlegen. Ich bin selber kein Jurist.)

    XML-RPC ist eine Schnittstelle, die dir ermöglichen soll auch mit Apps Beiträge zu posten, ohne dich dafür extra im Backend anzumelden. Die Schnittstelle umgeht das Anmeldeformular und damit auch alle Absicherungsmaßnahmen für das Anmeldeformular. Wenn du dazu mehr lesen möchtest, gibt es hier einen ausführlichere Erklärung: Eine komplette Anleitung über xmlrpc.php in WordPress (Was es ist, Sicherheitsrisiken, Wie man es deaktiviert)

    Die gängige Empfehlung ist, die Schnittstelle abzuschalten.
    Der einfachte Weg dürfte sein, mit einem geeigneten Code-Editor (z.B. VS Code, kostenlos für alle Betriebssysteme erhältlich) oberhalb des von WordPress eingefügten Blocks folgende Zeilen zu ergänzen:

    <Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
    </Files>

    Sobald du das gespeichert und hochgeladen hast, solltest du bei Aufruf von https://example.com/xmlrpc.php (natürlich mit deiner Domain) eine Fehlermeldung „403 – Forbidden“ erhalten.

    Thread-Starter ahb1

    (@ahb1)

    Hallo Bego Mario Garde,

    vielen Dank für die vielen nützlichen Infos.

    Ich hab nun den geposteten Code gem. der zur Verfügung gestellten Anleitung in die .htaccess eingefügt.

    Damit sollte dann nun Ruhe einkehren. Werde das nun mal über’s Wochenende beobachten und am Montag Rückmeldung geben.

    Vielen Dank nochmal für deine Hilfe.

    Schönes Wochenende.

    Gruß Steffen

    Denkst du bitte bei Gelegenheit noch daran, den Thread als „gelöst“ zu markieren?

    Thread-Starter ahb1

    (@ahb1)

    Wie gesagt, melde mich dazu noch einmal am Montag und werde dann den Thread als „gelöst“ kennzeichnen. Vorausgesetzt es gibt keine Probleme mehr. 🙂

    Das klingt nach einem guten Plan.
    Bin gespannt auf deine Rückmeldung (und ggf. auch Rückfragen).

    Thread-Starter ahb1

    (@ahb1)

    Guten Morgen,

    wie versprochen heute die Rückmeldung:

    Nachdem ich die xmlrpc.php per htaccess gesperrt habe, ist nun Ruhe und es gab keine weiteren unautorisierten Anmeldeversuche.

    Vielen Herzlichen Dank an der Stelle noch einmal an Bego Mario Garde für die Unterstützung und die vielen Infos.

    Der Thread wurde als gelöst gekennzeichnet.

    Gruß Steffen

    Danke für die Rückmeldung! Freut mich, dass du jetzt weniger Stress mit unerwünschten Anmeldeversuchen hast.

    Schau dir bei Gelegenheit noch diesen leicht umsetzbaren Vorschlag von Bernhard an: Bessere Sicherheit für WordPress mit sicheren Server-Headern

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)
  • Das Thema „Fehlgeschlagene Anmeldeversuche“ ist für neue Antworten geschlossen.