• Hallo im Forum,
    seit ein paar Tagen versucht ein Hacker, sich auf meine WordPress-Site einzuloggen. Nutzt dabei unterschiedliche IP-Adressen, so dass man ihn nicht blocken kann.
    Habe Wordfence installiert und die wp-admin-Seite geändert, trotzdem schickt mir Wordfence die Nachricht, dass sich jemand einloggen will.
    „A user with IP address 203.161.114.31 has been locked out from the signing in or using the password recovery form for the following reason: Used an invalid username ‚xyz‘ to try to sign in.“
    Wo versucht der sich einzuloggen, wenn die wp-adminseite versteckt ist?
    für einen Tipp wäre ich Euch dankbar.
    Gruß Frank

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • wp-admin ist nicht die Login-Seite. 🙂

    Wenn du nicht angemeldet bist, wirst du zwar vom WordPress-Backend automatisch auf das Login-Formular weitergeleitet (weshalb bequeme Nutzer gerne nur wp-admin eingeben, wenn sie sich anmelden möchten, aber vermutlich ruft der Angreifer wp-login.php?action=lostpassword auf und versucht, die Seite per Brute-Force anzugreifen. Die unterschiedlichen IP-Adressen sollen darüber hinweg helfen, dass bestimmte Plugins IP-Adressen nach einer vorher festgelegten Anzahl von Fehleingaben sperren.

    Moderator PraetorIM

    (@praetorim)

    Oder der Angreifer versucht es über die XML-RPC-Schnittstelle.

    Hast Du einmal versucht, die beiden Dateien wp-login.php und xmlrpc.php mittels .htaccess abzusichern?

    Thread-Starter fhautog

    (@fhautog)

    Hallo PraetorIM,
    im Log vom Provider habe ich diese Zeile immer wieder,
    POST /xmlrpc.php HTTP/1.1 also wie Du schon geschrieben hast, ist anscheinend dort der Angriffspunkt.
    Ich muss mich jetzt erst mal schlau machen, wie ich die Dateien in der htaccess schütze. Danke für den Tipp
    Gruß Frank

    Moderator PraetorIM

    (@praetorim)

    Der Schutz über die .htaccess ist nicht weiter kompliziert. Schau einmal hier. Dort (unter Punkt 4) wird das ganz gut und verständlich für die wp-login.php erklärt.
    Du musst dann neben der wp-login.php nur noch die xmlrpc.php mit aufführen.

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • Das Thema „Hackerangriff trotz versteckter LogIn-Seite“ ist für neue Antworten geschlossen.