• Liebes Forum

    Ich habe heute 2 lustige Meldungen erhalten:
    Benutzer A und gleich anschliessend Benutzer B hätten sich von derselben IP-Adresse aus 3 mal vergebens einzuloggen versucht (und sind dann eine gewisse Zeit geblockt worden). Deren Nutzernamen sind unverwechselbar.

    Die IP ist aus Frankreich, die beiden Benutzer natürlich nicht…

    Einer davon hat auch schon mal was kommentiert, da käme der Benutzernamen dann vor, aber der zweite eben noch nie!

    Meine Frage: Kann das Benutzerverzeichnis ausgelesen werden? Von Admins klar, aber von Abonnenten? Gar von aussen? Wenn es dann soweit ist, dass die erste Hürde (der Benutzernamen) genommen ist, steigt auch das Risiko, gehackt und vollgesaut zu werden, oder?

    Vielen Dank für Eure Infos!

    David

    • Dieses Thema wurde geändert vor 6 Jahren, 4 Monaten von davitz.
    • Dieses Thema wurde geändert vor 6 Jahren, 4 Monaten von davitz.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten – 16 bis 19 (von insgesamt 19)
  • @grafikerin
    Vielen Dank für die URL. Eure Website gibt tatsächlich sehr viele Informationen preis. Die Abfrage der angelegten Nutzer dauert nicht mal eine Minute und es gibt noch eine ganze Reihe weiterer Schwachstellen.
    Über die Schutzmaßnahmen zur Absicherung des Anmeldeformulars hat @davitz bereits geschrieben. Darüber hinaus, gibt es noch einige Möglichkeiten, deine WordPress-Installation weiter abzusichern. Eine (allerdings anspruchsvolle) Anleitung findest du in der WordPress-Dokumentation (Codex) unter Hardening WordPress. Alternativ lies dir doch mal den Beitrag von Torsten durch:

    http://torstenlandsiedel.de/2016/03/06/mehr-sicherheit-fuer-wordpress-per-htaccess/

    Wenn dir das auch noch zu kompliziert ist, kannst du auch eines der angebotenen All-in-One-Sicherheits-Plugins verwenden. Diese Plugins sind nicht ganz unumstritten (und daher auch nicht erste Wahl), weil sie AnwenderInnen dazu verleiten, „blind“ alle verfügbaren Optionen auszuwählen (ohne deren Auswirkung zu hinterfragen) und sich dann zurückzulehnen, weil ja (vermeintlich) für die Sicherheit alles getan wurde.

    Ein All-in-One-Sicherheitsplugin, das mir persönlich gefällt, ist SecuPress. Dieses Plugin weist dich auf Sicherheitsprobleme hin und führt dich schrittweise durch die Behebung der Lücken. Dabei wird auf unnötiges Schnickschnack verzichtet und am Ende erhält deine Website sogar eine „Schulnote“ für Sicherheit. Die „1+“ bekommst du nur mit der Kauf-Version des Plugins, die allerdings auch noch ein paar (sinnvolle) Extra-Funktionen erhält. Aber auch ohne diese Extras hast du dann mit der kostenlosen Version schon deutlich mehr für die Sicherheit deiner Website getan, als aktuell.

    @grafikerin
    Ist es dir recht, wenn ich dich kurz per E-Mail an deine im Nutzerprofil hinterlegte E-Mail-Adresse auf ein massives Sicherheitsproblem deiner Website aufmerksam mache? Ich möchte das nicht hier über das Forum verbreiten, weil die Information dann in falsche Hände geraten könnte.

    Ja, danke, auf alle Fälle!
    Allerdings hoffe ich, dass es nicht so brennt, dass es nicht bis Montag warten kann. Zuzeit bin ich nicht im Büro und komme auch nicht an meine dortigen Mails.

    Zitat von @pixelverbieger:

    Um da gegenzusteuern helfen 2 Plugins:

    de.wordpress.org/plugins/disable-xml-rpc/

    wordpress.org/plugins/disable-json-api/

    Ich setze ein anderes Plug-in ein: Rest API Toolbox, das ebenfalls die Rest API deaktiviert. Momentan funktioniert das nicht zusammen mit dem Gutenberg-Plug-in, es können keine Posts gespeichert werden.

    Gutenberg braucht die Rest API.

Ansicht von 4 Antworten – 16 bis 19 (von insgesamt 19)
  • Das Thema „Können die Benutzer-namen ausgelesen/eingesehen werden“ ist für neue Antworten geschlossen.