Brute-Force-Angriffe kann man auch als „Passwort-Raten“ umschreiben – automatisiert werden in rascher Abfolge hunderte von Passwörtern ausprobiert, um Zugriff zur Website zu erhalten und Malware zu platzieren.
Ein Brute-Force-Netzwerk-Schutz meint den Schutz gegen ein Netzwerk, dass automatisiert solche Angriffe durchführt. Einfache Brute-Force-Schutzmethoden protokollieren nur, wie oft Anmeldeversuche von einer IP-Adresse fehlschlagen und sperrt den Zugang für diese IP-Adresse. Die Angreifer wechseln dann aber einfach die IP-Adresse, über die angegriffen wird. Das soll mit einem Netzwerk-Schutz vermieden werden.
Eine API ist eine Programmierschnittstelle (Application Programming Interface). Ein API-Schlüssel ist ein Zugangscode zur Nutzung einer API, wobei die Anzahl der Zugriffe über diesen Schlüssel protokolliert werden kann. Welche Kosten dabei möglicherweise entstehen, kann dir der API-Betreiber sagen.
All-in-One-Sicherheitslösungen sind nicht unumstritten und Sicherheit sollte sich nicht darauf beschränken, einen Zugangsschlüssel irgendwo einzutragen. Besser ist es, wenn du dich regelmäßig mit Sicherheit beschäftigst und bewährte Methoden zum Schutz – vor allem starke Passwörter, den Zugriff über verschlüsselte Verbindungen (https) und regelmäßige Updates aus vertrauenswürdigen Quellen – anwendest.
Ein einfacher Schutz gegen Brute-Force-Angriffe ist, die XML-RPC-Schnittstelle (z.B. mit einem Plugin) zu sperren und das Login-Formular (auch wieder mit einem Plugin) auf eine andere Adresse zu setzen.
Vielen Dank Bego Mario.
Einmal mehr hast du mich beraten und zwar so, dass auch ich als Veteranen-Webmaster alles mitbekommen habe.
Mit herzlichen Grüssen aus Meilen am Zürichsee
Erwin Schmid
Ich hab gestern nochmal nachgelesen und muss einen Satz korrigieren. Statt
Ein Brute-Force-Netzwerk-Schutz meint den Schutz gegen ein Netzwerk, dass automatisiert solche Angriffe durchführt.
heißt es bei iThemes Security dazu
The Network Brute Force Protection module allows you to join a network of sites that reports and protects against bad actors on the internet.
Automatisiert übersetzt mit Deepl:
Das Modul Network Brute Force Protection ermöglicht es Ihnen, einem Netzwerk von Websites beizutreten, das über schlechte Akteure im Internet berichtet und vor diesen schützt.
Es wird also nicht gegen ein Netzwerk geschützt, sondern mit/in einem Netzwerk – dafür die Schnittstelle.
Hallo,
noch ein zusätzlicher Hinweis zu den von Bego angesprochenen wirkungsvollen Sicherungsmaßnahmen: Auf einigen Seiten von uns haben wir htpasswd eingerichtet. Das ist eine sehr wirkungsvolle Maßnahme und benötigt kein weiteres Plugin.
Allerdings ist das mit etwas Aufwand verbunden. Eine gute Anleitung dazu findest Du hier.
Wenn Dir das zu kompliziert ist, ist sicher das von Bego angesprochene Plugin zur Änderung der Login-Adresse eine sehr gute Lösung, zumal das ein sehr leichtgewichtiges Plugin ist. Ich kannte das Plugin noch nicht und werde das sicher mal testen.
Viele Grüße
Hans-Gerd
Lieber Hans-Gerd
Vielen Dank für das freundliche Feedback.
Herzliche Grüsse Erwin
Die XML-RPC-Schnittstelle lässt sich auch relativ einfach ohne Plugin deaktivieren, siehe z.B. https://fastwp.de/magazin/xml-rpc-komplett-deaktivieren/
Richtig, ist aber nicht jedermanns Sache, Änderungen im Child-Theme oder in der .htaccess vorzunehmen. 🙂
