Support » Allgemeine Fragen » Sicherheit?

  • Gelöst Erwin Schmid

    (@erschmid)


    Geschätztes Forum. Aus folgender Meldung werde ich nicht klug:
    Neu! Verbessere die Sicherheit deiner Website durch die Aktivierung des iThemes Brute-Force-Netzwerk-Schutzes.
    Einen kostenlosen API-Schlüssel erhalten

    Was ist ein API-Schlüssel und was hat dies für Konsequenzen für die Website.
    Vielen Dank für klärende Zeilen.
    Mit freundlichen Grüssen Erwin Schmid

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 7 Antworten - 1 bis 7 (von insgesamt 7)
  • Moderator Bego Mario Garde

    (@pixolin)

    Brute-Force-Angriffe kann man auch als „Passwort-Raten“ umschreiben – automatisiert werden in rascher Abfolge hunderte von Passwörtern ausprobiert, um Zugriff zur Website zu erhalten und Malware zu platzieren.

    Ein Brute-Force-Netzwerk-Schutz meint den Schutz gegen ein Netzwerk, dass automatisiert solche Angriffe durchführt. Einfache Brute-Force-Schutzmethoden protokollieren nur, wie oft Anmeldeversuche von einer IP-Adresse fehlschlagen und sperrt den Zugang für diese IP-Adresse. Die Angreifer wechseln dann aber einfach die IP-Adresse, über die angegriffen wird. Das soll mit einem Netzwerk-Schutz vermieden werden.

    Eine API ist eine Programmierschnittstelle (Application Programming Interface). Ein API-Schlüssel ist ein Zugangscode zur Nutzung einer API, wobei die Anzahl der Zugriffe über diesen Schlüssel protokolliert werden kann. Welche Kosten dabei möglicherweise entstehen, kann dir der API-Betreiber sagen.

    All-in-One-Sicherheitslösungen sind nicht unumstritten und Sicherheit sollte sich nicht darauf beschränken, einen Zugangsschlüssel irgendwo einzutragen. Besser ist es, wenn du dich regelmäßig mit Sicherheit beschäftigst und bewährte Methoden zum Schutz – vor allem starke Passwörter, den Zugriff über verschlüsselte Verbindungen (https) und regelmäßige Updates aus vertrauenswürdigen Quellen – anwendest.

    Ein einfacher Schutz gegen Brute-Force-Angriffe ist, die XML-RPC-Schnittstelle (z.B. mit einem Plugin) zu sperren und das Login-Formular (auch wieder mit einem Plugin) auf eine andere Adresse zu setzen.

    Vielen Dank Bego Mario.
    Einmal mehr hast du mich beraten und zwar so, dass auch ich als Veteranen-Webmaster alles mitbekommen habe.
    Mit herzlichen Grüssen aus Meilen am Zürichsee
    Erwin Schmid

    Moderator Bego Mario Garde

    (@pixolin)

    Ich hab gestern nochmal nachgelesen und muss einen Satz korrigieren. Statt

    Ein Brute-Force-Netzwerk-Schutz meint den Schutz gegen ein Netzwerk, dass automatisiert solche Angriffe durchführt.

    heißt es bei iThemes Security dazu

    The Network Brute Force Protection module allows you to join a network of sites that reports and protects against bad actors on the internet.

    Automatisiert übersetzt mit Deepl:

    Das Modul Network Brute Force Protection ermöglicht es Ihnen, einem Netzwerk von Websites beizutreten, das über schlechte Akteure im Internet berichtet und vor diesen schützt.

    Es wird also nicht gegen ein Netzwerk geschützt, sondern mit/in einem Netzwerk – dafür die Schnittstelle.

    Hallo,
    noch ein zusätzlicher Hinweis zu den von Bego angesprochenen wirkungsvollen Sicherungsmaßnahmen: Auf einigen Seiten von uns haben wir htpasswd eingerichtet. Das ist eine sehr wirkungsvolle Maßnahme und benötigt kein weiteres Plugin.
    Allerdings ist das mit etwas Aufwand verbunden. Eine gute Anleitung dazu findest Du hier.
    Wenn Dir das zu kompliziert ist, ist sicher das von Bego angesprochene Plugin zur Änderung der Login-Adresse eine sehr gute Lösung, zumal das ein sehr leichtgewichtiges Plugin ist. Ich kannte das Plugin noch nicht und werde das sicher mal testen.
    Viele Grüße
    Hans-Gerd

    Lieber Hans-Gerd
    Vielen Dank für das freundliche Feedback.
    Herzliche Grüsse Erwin

    Die XML-RPC-Schnittstelle lässt sich auch relativ einfach ohne Plugin deaktivieren, siehe z.B. https://fastwp.de/magazin/xml-rpc-komplett-deaktivieren/

    Moderator Bego Mario Garde

    (@pixolin)

    Richtig, ist aber nicht jedermanns Sache, Änderungen im Child-Theme oder in der .htaccess vorzunehmen. 🙂

Ansicht von 7 Antworten - 1 bis 7 (von insgesamt 7)