• Moin Leute,

    ich hab zur Zeit in meinem Blog das Problem massenhafter Benutzer Anmeldungen. Allein heute (Tag ist halb rum) sind es bereits um die 100.

    Das Problem wurde in sofern eingedämmt, als das ich mit Plugins aufgerüstet hab. Aksimet lief immer schon mit und hat gelegentliche Spam Kommentare aussortiert – aber keine Neuanmeldungen. Das ist inzwischen mit Captcha 4WP + Disable XML-RPC + WP Armour + WP Armour Honeypot Anti Spam abgedichtet.

    Trotzdem erscheint mir das eher als Rauch weg wedeln und nicht echtes Feuer löschen. An welcher Stelle kann man da nochmal schauen ?

    Es ist ja wohl kaum plausibel, dass 100x ein captcha eingetippt wird, so wie es inzwischen nötig ist um sich auf einem so unbedeutenden blog wie meinem als Benutzer anzumelden. Mit captcha aufrüsten (das war die erste Massnahme) hat – nicht – verhindert, dass es zu dem zeitpunkt 25 benutzeranmeldungen pro Tag gab. Erst Armour WP lenkt alles in die Tonne.

    Ich versteh sowieso nicht, welchen Sinn das alles machen soll. Warum macht sich jemand die Mühe und meldet wirklich tausende Benutzer bei mir an ?

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Massenhafte Angriffe durch Bots gehören leider zum Grundrauschen. Dabei wird die XML-RPC-Schnittstelle gerne genutzt, um Captchas im Anmelde-/Registrierungsformular zu umgehen. Du solltest auch in Erwägung ziehen, dass eines deiner verwendeten Plugins oder dein Theme eine Sicherheitslücke haben könnte. Deshalb alles (gerne auch automatisch) immer aktualisieren.

    Es gibt verschiedene Gründe, wieso solche Angriffe ausgeführt werden. Vandalismus/Sabotage, der Versuch, Spam zu platzieren oder durch die Ausnutzung fehlerhaft gesetzter Benutzerrechte Zugriff auf den Server zu erhalten, um dort ein Bot-Netz zu erweitern oder Bitcoin-Mining zu betreiben.

    Aksimet sollte auf europäischen Websites nicht genutzt werden, weil es nicht datenschutzkonform ist. Die Daten der Webseitenbesucher werden ohne ausdrückliche Einwilligung an einen Drittanbieter weitergeleitet. Nicht gerade das, was man bei Angriffen hören bzw. lesen möchte, aber du möchtest auch nicht zusätzlich wegen Datenschutzfehlern belangt werden.

    Thread-Starter winterstern

    (@winterstern)

    Das wäre meine nächste Frage gewesen, denn Aksimet hat zur Zeit nichts zu tun: die Spam Kommentare werden durch WP Armor gelöscht. Kann man diese Plugins eigentlich ruhigen Gewissens parallel betreiben ?

    XML-RPC ist dicht und Plugins sind aktuell.

    Kann es sein, dass captcha inzwischen geknackt wurde ? Denn das hat ja nicht verhindert, dass massenhaft Benutzeranmeldungen gemacht wurden. Statt dessen vermute ich ja irgendwo anders noch ne Lücke.

    Es passiert auch nicht mehr als eine Benutzeranmeldung als Abonent. Gibt es eigentlich eine clevere Benutzerverwaltung als Plugin ? Die hab ich bislang ebenfalls nicht gefunden.

    Ideal wäre zum Beispiel Filtern nach „hat sein Passwort nie geändert“ oder „Registrierungdatum“. Beides kann die Standard WordPress Installation nicht. WordPress kann nur nach Suchbegriffen filtern wie zum Beispiel „mailknox“ von wo aus viele Spam Anmeldungen kamen.

    Ich würde ganz allgemein eine Zulassung neu registrierter Benutzer beschränken, z.B. mit New User Approve.

    Wofür brauchst du die Registrierung überhaupt? Außer dem Vorteil, dass angemeldete Benutzer leichter kommentieren können (dazu fehlt aber ein sichtbarer Link zum Anmeldeformular) sehe ich da keinen Vorteil?

    Um Bot-Angriffe auszubremsen, kannst du das Anmeldeformular umbenennen. Dafür gibt es verschiedene Plugins, z.B. WPS Hide Login, Solid Security – Password, Two Factor Authentication, and Brute Force Protection, wobei die Zwei-Faktor-Authentifikation in letzterem ein guter Schutz gegen Brute-Force-Angriffe ist.

    Als Werkzeug gegen Spam ist im deutschsprachigen Bereich Antispam Bee sehr beliebt.

    Thread-Starter winterstern

    (@winterstern)

    Bei mir ist ein Mini Forum angedockt für China Diesel Heizungen, daher die notwendige Benutzeranmeldung. Da ich auch Mal ein paar Tage lang nicht hingucken kann muss das automatisch ohne händisch freischalten funktionieren. Klappt bislang.

    Hab mich bewusst gegen das verstecken vom Anmeldelink entschieden, weil das Security through Obskurity ist (bestimmt falsch geschrieben). 2FA für den Admin User ist aktiviert. Also schon so, dass mein sehr gut mehrfach abgeschlossenes Fahrrad neben lauter Fahrrädern steht die weniger gut abgeschlossen sind.

    So, wenn sich jetzt vielleicht noch weniger Fliegen drauf setzen würden wär alles gut

    • Diese Antwort wurde geändert vor 2 Wochen, 2 Tage von winterstern.

    … weil das Security through Obscurity ist …

    Ein berechtigter Einwand. Deshalb auch mein Hinweis auf zusätzliche Maßnahmen wie 2-FA. Aber du sollst damit nicht deine Website absichern, sondern den auf wp-logi.php abzielenden Traffic etwas ausbremsen.

    Ich hatte jetzt bei einem Server einen Brute-Force-Angriff, der mir über mehrere Tage fortlaufend Fail2Ban-Meldungen per E-Mail einspielte. Irgendwann hat das genervt und ich habe den Server eine Woche abgeschaltet. – In dem Fall war das eine Option, weil es um eine selbstgehostete Cloud-Lösung ging, auf die ich ein paar Tage verzichten konnte. Inzwischen ist der Bot scheinbar weitergezogen. Lästig, sowas.

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)