• Liebes Forum

    Ich habe heute 2 lustige Meldungen erhalten:
    Benutzer A und gleich anschliessend Benutzer B hätten sich von derselben IP-Adresse aus 3 mal vergebens einzuloggen versucht (und sind dann eine gewisse Zeit geblockt worden). Deren Nutzernamen sind unverwechselbar.

    Die IP ist aus Frankreich, die beiden Benutzer natürlich nicht…

    Einer davon hat auch schon mal was kommentiert, da käme der Benutzernamen dann vor, aber der zweite eben noch nie!

    Meine Frage: Kann das Benutzerverzeichnis ausgelesen werden? Von Admins klar, aber von Abonnenten? Gar von aussen? Wenn es dann soweit ist, dass die erste Hürde (der Benutzernamen) genommen ist, steigt auch das Risiko, gehackt und vollgesaut zu werden, oder?

    Vielen Dank für Eure Infos!

    David

    • Dieses Thema wurde geändert vor 6 Jahren, 6 Monaten von davitz.
    • Dieses Thema wurde geändert vor 6 Jahren, 6 Monaten von davitz.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 19)
  • Benutzernamen können ausgelesen werden.
    Das Risiko steigt … geringfügig.

    Nehmen wir an, dein Benutzername heißt … philby. 😉
    Wenn „philby“ nun als Passwort „love123“ verwendet, braucht ein Angreifer nur mit einem Script alle Passwörter aus z.B. dieser Datei durchprobieren und hat nach dem 82. Versuch Zugriff auf deine WordPress-Installation. Dort kann er ein Plugin installieren, dass ihm dann weiteren Zugriff auf Dateien und Datenbank ermöglicht.

    Wenn „philby“ aber als Passwort „SJhb84dxMDNyGcLHRNLFk“ verwendet, braucht der Angreifer mit den aktuellen technischen Möglichkeiten geschätzte 35 Trillionen Jahre, was wir wohl als verhältnismäßig sicher ansehen könnten. (Angreifer würden vermutlich lieber auf andere Schwachstellen, etwa nicht aktualisierte Plugins oder die Anmeldung über eine unverschlüsselte Verbindung per W-LAN, setzen, um die Wartezeit etwas abzukürzen.) Trotzdem ist es immer sinnvoll, das Anmeldeformular zusätzlich abzusichern, z.B. mit Login Lockdown oder Rename wp-login.php. Einen hervorragenden zusätzlichen Schutz bieten auch Plugins zur Zwei-Faktor-Authentifikation, z.B. Two Factor, bei dem du dich zusätzlich mit einem Zahlenschlüssel aus der Google Authenticator App auf deinem Smartphone oder einem Yubikey autorisieren musst.

    Thread-Starter davitz

    (@davitz)

    Hi Bego

    Vielen Dank für die Info (und den sanfte Hinweis auf die relative Sicherheit von PW’s.

    Den angenommenen Benutzernamen… wie kommst du denn auf so einen Namen? …

    freundliche Grüsse

    David

    Dafür gibt es in Linux-Distributionen zum Penetration-Testing ein eigenes Skript, auf das ich hier aber nicht weiter eingehen möchte. Den „angenommenen Benutzernamen“ habe ich ein wenig abgewandelt, wie dir sicher aufgefallen ist.

    Sobald du in WordPress Beiträge schreibst, legt WordPress auch Archive an, damit du die Beiträge sortiert nach Datum, Kategorie, Schlagwort oder eben auch Autor abrufen kannst. Der Autor taucht aber auch an anderen Stellen noch auf. Es gibt auch Sicherheitsplugins (z.B. SecuPress), mit denen du das Auslesen dieser und anderer Informationen unterbinden kannst, aber wie wir bereits festgestellt haben, schützt dich ein hinreichend langes Passwort bereits recht effektiv.

    Zum Ermitteln der Benutzernamen hängen die Skripte der Bots einfach /?author=1, /?author=2 usw. an die URL der Startseite, schon steht der Benutzername in der umgewandelten URL.

    Als Gegenmittel kann man eine entsprechende RewriteCond und ReWriteRule in die .htaccess packen, um die Angreifer z.B. auf eine 404 zu führen.

    Solche Lösungen wiegen Anwender in der falschen Sicherheit, genug für die Sicherheit getan zu haben. Benutzernamen lassen sich auch an anderen Stellen auslesen.

    Thread-Starter davitz

    (@davitz)

    Aber der unterhaltsame nebeneffekt davon ist, in neue dimensionen des dezimalsystems zu gelangen: https://howsecureismypassword.net
    😊🤓

    Richtig. Keines der oben genannten Plugins bietet 100% Schutz gegen das Auslesen der Benutzernamen.

    @davitz
    Teste mal die 3 Funktionen von
    http://wordpressexpose.chrisgherbert.com/

    🙂

    Um da gegenzusteuern helfen 2 Plugins:

    https://de.wordpress.org/plugins/disable-xml-rpc/

    https://wordpress.org/plugins/disable-json-api/

    … und trotzdem gilt natürlich der Tipp, maximal starke Passwörter zu verwenden!

    Ich schreibe zu diesen Beiträgen, da ich aktuell ein ähnliches Problem habe. Auf der von mir betreuten WP-Seite hat es Login-Versuche gegeben mit real existierenden Benutzernamen. Diese sind aber weder generisch noch ohne Weiteres zu erraten. Alle meine Versuche nachzuvollziehen wie diese ermittelt werden konnten (mittels REST API anzeigen lassen, oder der author-Abfrage) liefen ins Leere. Auch der oben gepostete Link (… wordpressexpose…) brachte nur die Benutzer, die auch als Author gelistet sind.
    Ich frage mich wie die Hacker an diese Benutzernamen gekommen sind. Sicherheitshalber habe ich der DB schnell ein neues PW gegeben und die wp-config.php mittels .htaccess vor Zugriff gesichert. Außerdem alle gehackten Benutzernamen gesperrt und die Nutzung des Editors (für Theme und Plugins) im Admin-Profil gesperrt
    Da die Site die ich betreue eine für Kinder ist, ist mir die Sicherheit besonders wichtig. Ein SSL Zertifikat ist bestellt.

    Vielleicht kann jemand von euch mir einen Hinweis darauf geben über welche Prozedur die Hacker noch an die Benutzernamen kommen können.

    Vielen Dank schon mal im Voraus

    • Diese Antwort wurde geändert vor 6 Jahren, 4 Monaten von grafikerin.

    @grafikerin Mit einem Link zur Website hätte ich dir vielleicht mehr sagen können. Andererseits mag ich hier auch keine „Nachhilfe“ für angehende Hacker leisten.

    Die von dir genannten Sicherungsmaßnahmen sind ein Anfang, mehr aber auch nicht – besonders, wenn ich lese, dass ein SSL-Zertifikat erst bestellt (und damit vermutlich noch nicht eingerichtet) ist. Das bedeutet, dass jede Anmeldung im Backend bisher im Klartext mitgelesen werden kann. Wobei die Angreifer dann vermutlich erfolgreich eingedrungen wären.

    Wie hast du die fehlgeschlagenen Logins denn protokolliert?

    Thread-Starter davitz

    (@davitz)

    Ich schliesse mich Lego an: Wären sie erfolgreich eingedrungen, hätten sie vermutlich schon angefangen Unfug zu treiben.

    Als Reaktion auf diesen Thread habe ich nicht etwa alle Lücken zu schliessen versucht (sollte ich vielleicht noch…) sondern habe (IP Geo Block) einerseits alle IP-Adressen aus Länder, mit denen ich wirklich nichts zu tun habe, ausgeschlossen, und andererseits relativ strenge login-beschränkungen eingebaut (Limit Login Attempts Reloaded)
    Um das mir das Gefühl von Sicherheit zu geben, beobachte ich die Bedrohungslage per (Activity Log). Seit dem Auschluss der für meine Site irrelevanten Länder sind die Login-Versuche auf ganz wenige geschrumpft (12 einzelne Login-Versuche innert 14 Tagen)… Das ist doch überschaubar…

    Also die Website ist http://robinson-im-netz.de/ und natürlich verstehe ich, dass hier keine Hackanleitung gegeben werden soll.
    Die Loginversuche habe ich über das Plugin Simple History festgestellt, dass ich erst vor kurzem und eigentlich aus einem ganz anderen Anlass installiert hatte. Das mit dem SSL Zertifikat gestaltet sich leider etwas komplizierter, da das nicht meine alleinige Entscheidung ist (NGOs sind mit Geldausgaben halt etwas vorsichtiger – sollten sie ja auch sein). Die Hackversuche haben das jetzt – hoffentlich – etwas beschleunigt.
    Trotzdem bezweifle ich, dass die Benutzernamen über die Login-Maske abgegriffen wurden. Zumindest ein Benutzer (ein admin) war nur profilaktisch eingerichtet (falls ich im Urlaub oder krank bin) und hatte sich noch nie eingeloggt. Und ein weiterer Benutzername ist ein vor 1,5 Jahren angelegter Prüf-Account von mir als Redakteur gewesen, den ich auch schon fast geauso lange nicht mehr benutzt habe.

    @davitz Das Plugin „Limit Login Attempts Reloaded“ habe ich jetzt auch installiert und bereits 2 Aussperrungen innerhalb von 24 Stunden gehabt.

    Ok – wahrscheinlich waren wir etwas zu blauäugig an die Site Installation gegangen und haben es wohl nur den doch sehr guten Passwörtern zu verdanken, dass noch nichts weiter passiert ist.

    Thread-Starter davitz

    (@davitz)

    Bego weiss viel mehr als ich, er hat mich ja supporterweise „ausgetrickst“ 🙂
    Ich möchte ihn hier nochmal zitieren:

    Es gibt auch Sicherheitsplugins (z.B. SecuPress), mit denen du das Auslesen dieser und anderer Informationen unterbinden kannst, aber wie wir bereits festgestellt haben, schützt dich ein hinreichend langes Passwort bereits recht effektiv.

    ferner helfen sowohl das limit login attempts als auch die Beschränkung auf nur die angesprochenen Länder (D-A-CH in deinem Fall?) ganz gut, das schlimmste abzuwenden, und mit entsprechenden Passwort-Regeln ist dann die Wahrscheinlichkeit eines Einbruchs vermutlich wesentlich kleiner als die eines hausinternen GAUs (so immer wieder bei mir der Fall…).

    Übrigens rate ich von einem dauernden Beobachten der Einbruch-/ Einschleichversuche eher ab, das grenzt ein wenig an, pardon, Selbstbeängstigung. Letztlich ist das Glas insofern halbvoll, als jeder misslungene Login-Versuch und jede Aussperrung eine erfolgreiche Abwehr war. Missetäter gibt es immer, und meistens sind es ja nicht einmal Menschen, sondern Bots.

    • Diese Antwort wurde geändert vor 6 Jahren, 4 Monaten von davitz.
    Thread-Starter davitz

    (@davitz)

    @bego: Ich entschuldige mich für das „Lego“, hat sich selber korrigiert und ich habe es übersehen.
    Pardon, Bego

    @davitz, alles gut – ich bin seit über 50 Jahren „Kummer gewohnt“.

    „Was ist das denn für ein Name?“
    „Ist das eine Abkürzung?“
    „Das ist doch kein Name!“
    „Ich sag jetzt ‚Mario‘.“
    „Hallo Bego Maria …“
    Ansonsten Gero, Pedro, Bengo, Pejo, (ja, auch) Lego, …

    … und jetzt wieder zurück zu WorldPress, ähh … egal. 😉

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 19)
  • Das Thema „Können die Benutzer-namen ausgelesen/eingesehen werden“ ist für neue Antworten geschlossen.