• Gelöst philadou

    (@philadou)


    Hallo zusammen.

    Ich habe mich recht weit eingelesen und alles Mögliche getan um meine Seite sicher zu machen, aber anscheinend reicht das nicht.

    – alle Plugins und WordPress ist aktuell
    – „Antispam Bee“ installiert
    – „Email Address Encoder“ installiert
    – den normalen Login habe ich mit einer .htaccess nochmal abgesichert
    – zu guter Letzt habe ich „Limit Login Attempts Reloaded“ installiert

    Ich bekomme so gut wie jeden Tag von dem „Limit Login Attempts“ Plugin eine Email geschickt, wo folgendes drin steht:

    8 fehlgeschlagene Loginversuche (4 Aussperrung(en)) von IP: 5.188.62.19
    Letzter Versuch durch Benutzer: xxx
    Die IP wurde für 24 Stunden geblockt

    Ich freue mich, dass anscheinend die Loginversuche bisher nicht geklappt haben, aber warum werde ich täglich attackiert…wo ist die Schwachstelle? Was mache ich falsch bzw. was kann ich noch sicherer machen?

    Viele Grüße,
    Philadou

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 13 Antworten – 1 bis 13 (von insgesamt 13)
  • Hallo,
    das ist leider eine relativ normale Situation, die nicht nur deine Seite betrifft.
    Mit den genannten Maßnahmen hast du sicher schon gut vorgesorgt. Hilfreich ist evtl. noch das Plugin Ninja Firewall, aber eine absolute Sicherheit gibt es nicht. Wichtig ist natürlich auch ein gutes Passwort.
    Auf der folgenden Seite von @zotto findest du weitere kompetente Informationen.
    Viele Grüße,
    Hans-Gerd

    Thread-Starter philadou

    (@philadou)

    Hallo Hans-Gerd,

    danke für Deine schnelle Antwort.
    Einerseits bin ich froh, dass ich gut vorgesorgt habe, andererseits ist es echt erschreckend, dass dies eine normale Situation ist 🙁

    Ninja Firewall ist installiert.
    Danke auch für den den Lesetipp @zotto. Sehr interessant!

    Viel mehr kann ich wohl nicht machen.

    Danke & Grüße

    Eine sehr einfache Maßnahme, um die automatisierten Angriffe zu unterbinden ist, das Anmeldeformular auf eine andere Webadresse zu legen, z.B. mit dem Plugin WPS Hide Login. Damit meldest du dich dann z.B. unter https://example.com/hello-world an, während Angriffe auf https://example.com/wp-login.php nur eine Fehlermeldung 404 erzeugen.

    Thread-Starter philadou

    (@philadou)

    kurzes Feedback….
    Ninja Firewall seit 15 Minuten aktiviert. Bereits 5 geblockte Anfragen :-O
    unglaublich.

    @pixolin

    MEGA…Danke!
    Habe ich installiert und abgeändert. Bin super gespannt ob die Login-Versuche weniger werden 🙂

    Thread-Starter philadou

    (@philadou)

    Nachfrage:
    Muss ich die extra eingerichtete .htaccess abändern, wenn ich mit dem WPS Hide Login Plugin die URL geändert habe? Die extra Passwortabfrage kommt nämlich irgendwie nicht mehr.

    Ninja Firewall seit 15 Minuten aktiviert. Bereits 5 geblockte Anfragen :-O

    Naja … das ist ein bisschen, wie wenn du vor der Haustür eine Überwachungskamera installierst und dann begeistert feststellst, dass schon 5 Leute am Haus vorbeigegangen sind. Das wären sie auch ohne Kamera und niemand davon wäre ins Haus eingedrungen, weil sie keinen Schlüssel haben.

    Es gibt immer wieder Anfängerfehler: WordPress lokal installieren, dabei Benutzername „admin“ und Passwort „password“ verwenden, dann fertig entwickelte Website hochladen und blöderweise vergessen, Benutzer und Passwort auszutauschen. Plugins und Themes nicht aktualisieren (es gibt Datenbanken, in denen die Sicherheitslücken und Angriffsmöglichkeiten hübsch aufgelistet werden). Passwörter verwenden, die zu einfach/geläufig sind („qwertzuiop“). Zugangsdaten unbeabsichtigt in einem GitHub-Repository hochladen. Genullte (also gehackte und um eine Lizenzabfrage bereinigte) Themes verwenden, die eine Hintertür für Angreifer haben …
    Auf diese Anfängerfehler zielen die automatisierten Angriffe ab, um dann Malware zu installieren und z.B. ein Bot-Netz aufzusetzen.

    Du kannst auch ohne Firewalls und Brute-Force-Schutz WordPress-Websites über viele Jahre betreiben, ohne jemals Probleme zu haben.

    Muss ich die extra eingerichtete .htaccess abändern, wenn ich mit dem WPS Hide Login Plugin die URL geändert habe? Die extra Passwortabfrage kommt nämlich irgendwie nicht mehr.

    Ich weiß nicht, was für eine Regel du da eingetragen hast, aber vermutlich müsstest du sie ändern. Effektiver ist, eine 2-Faktor-Authentifikaton einzurichten: Plugin Two Factor

    Thread-Starter philadou

    (@philadou)

    SUPER….2-Faktor-Plugin installiert und eingerichtet.
    Danke für den Tipp!

    Ich bin sehr gespannt auf die nächsten Tage 🙂

    Kannst ja mal berichten, wenn du magst.
    Das Plugin Limit Login Attempts Reloaded kannst du übrigens beibehalten, das ist durchaus sinnvoll (obwohl „intelligente“ Angreifer die IP-Adressen durchaus wechseln und damit diesen Schutz umgehen).

    Das Abschalten der XML-RPC-Schnittstelle wäre unter Umständen (d.h. falls nicht anderweitig genutzt) auch sinnvoll, wobei da eine Regel in der .htaccess reicht. Lies dir mal diesen älteren aber nachwievor guten Blogbeitrag von Torsten durch: https://torstenlandsiedel.de/2016/03/06/mehr-sicherheit-fuer-wordpress-per-htaccess/

    Im selben Blog ist auch der Beitrag Warum ich keine All-in-one-Sicherheitsplugins mag lesenswert.

    Beim WordPress-Meetup Bonn gibt Marc Nilius im September Tipps zum Thema Sicherheit. Da es sich coronabedingt um ein Online-Meeting handelt, brauchst du auch keine lange Anfahrt einplanen. 😉

    Hallo Philadou

    um deine Seite noch etwas sicherer zu machen, gibt es eine sehr hilfreiche Check-Liste mit Tipps und Plug-Ins, die die Sicherheit deiner Seite verbessern werden.
    Vielleicht hilft es dir ja auch: https://schild-roth.com/wordpress/wordpress-sicherheit/

    Viele Grüße,

    Thread-Starter philadou

    (@philadou)

    Vielen Dank für die Zahlreichen Links und Tipps!

    Das Plugin „WPS Hide Login“ war bisher gold wert.
    Seitdem keinerlei Mitteilungen mehr über versuchte Logins und blockierte IP Adressen 😀

    Die ganzen „Basic“ Tipps hatte ich schon lange alle umgesetzt…wunderte mich nur, dass trotz mehrfachen Schutzvorkehrungen wie Antispam, .htaccess etc.pp immer noch Angriffe erfolgten.
    Da frage ich mich, wie kommen Angreifer überhaupt auf meine Seite? Gehen die einfach wahllos auf irgendwelche Internetseiten und sehen nach, ob ein WordPress installiert ist um es dann zu knacken versuchen?

    Nun ja, egal….bisher ist (3 Mal auf Holz klopfen) noch nie was passiert….aber man kann ja nie vorsichtig genug sein.
    Trotzdem sehr traurig, dass man seine eigene, eigentlich recht unwichtig/unbedeutende Homepage so sehr schützen muss.

    Egal…hoffe jetzt ist erstmal Ruhe.

    DANKE für die schnelle, gute und zahlreiche Hilfe 😀👍

    freut mich 🙂
    Dann markiere ich das Thema mal als gelöst.

    Da frage ich mich, wie kommen Angreifer überhaupt auf meine Seite? Gehen die einfach wahllos auf irgendwelche Internetseiten und sehen nach, ob ein WordPress installiert ist um es dann zu knacken versuchen?

    Genau so. Dafür gibt es fertige Programme. Die scheitern bei so einfachen Dingen wie der Verlegung des Anmelde-Formulars. Intelligentere Angriffe scheitern dann hoffentlich an einem starken Passwort oder spätestens bei der 2-Faktor-Authentifikation.

Ansicht von 13 Antworten – 1 bis 13 (von insgesamt 13)
  • Das Thema „Tägliche Attacken auf Website. Was tun?“ ist für neue Antworten geschlossen.