Support » Allgemeine Fragen » Unbekannte Benutzerregistrierung

  • Gelöst alro

    (@alro)


    Hallo,

    habt ihr das auch schon gehabt? Das sich unbekannte Personen auf deiner Webseite registrieren?
    Ich habe heute, und nicht zum ersten Mal, eine solche Nachricht bekommen.

    Neue Benutzerregistrierung auf deiner Website Der Blasenmacher:
    Benutzername: entfernt

    Ich habe gar nicht gewusst dass sich Personen auf meiner Webseite registrieren können. Ich habe meines Wissens dazu nichts eingerichtet. Wüste auch gar nicht wo ich dieses finden könnte.

    Meine Frage ist:

    Könnt ihr euch auf meiner Seite registrieren? Wenn ja wo?
    Was mache ich mit solchen Benutzern? Die letzten beiden habe ich gelöscht. Die endung (1secmail.org) kam mir nicht geheuer vor.
    Wie kann ich so etwas verhindern?

    Ich sage schon mal Vielen Dank

    Gruß Alex

    Hinweis von Moderator:
    Ich hab die Daten des Benutzers entfernt. DSGVO

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Moderator Angelika Reisiger

    (@la-geek)

    Ich habe gar nicht gewusst dass sich Personen auf meiner Webseite registrieren können. Ich habe meines Wissens dazu nichts eingerichtet. Wüste auch gar nicht wo ich dieses finden könnte.

    Die Konfigurationsmöglichkeit findest du im Admin-/Backend-Bereich unter Einstellungen >> Allgemein.

    Du kannst die Daten des neuen Benutzers auch einmal googlen, ob dort etwas in Zusammenhang mit Hacks zu finden ist.

    Moderator Angelika Reisiger

    (@la-geek)

    Ach, noch zu deiner Frage, ob wir uns registrieren könnten:

    JA
    siehe:
    https://blasenmacher.de/wp-login.php

    Das kannst du aber unter der oben genannten Möglichkeit deaktivieren.

    Malware-Scanner schlagen für deine Website keinen Alarm, also dürfte es ausreichen, wenn du die Benutzer einfach entfernst und die Registrierungs-Option deaktivierst.

    Wenn nur du dich im Adminbereich anmelden willst, solltest du einen .htaccess-Passwortschutz einrichten. Im Internet findest du reichlich Anleitungen, speziell auch für das WordPress-Backend.

    Moderator Bego Mario Garde

    (@pixolin)

    Ergänzend dazu (auch wenn die Frage von Angelika bereits bestens beantwortet wurde):

    Es gibt anscheinend Websites, bei denen sich nicht nur alle registrieren können, sondern auch gleich Administratorenrechte bekommen. Die Registrierung ist dann vergleichbar mit dem Rütteln an Autotüren – irgendwann ist eine nicht abgeschlossen und vielleicht steckt sogar noch der Autoschlüssel …

    Die Registrierung als Abonennt ist vergleichsweise harmlos, weil nur die Benutzerdaten gespeichert werden und sonst nicht viel Unheil angerichtet werden kann. Schließlich kann die Registrierung auch sinnvoll sein, etwa wenn vorgegeben wird, dass nur registrierte Benutzer kommentieren können.

    Eine zusätzliche Absicherung des Anmeldeformulars – etwa mit einer 2-Faktor-Authentifikation –  ist sinnvoll, wenn auch nicht zwingend erforderlich. Den Passwortschutz per .htaccess verwende ich persönlich nicht so gern, aber er kommt als Option ebenfalls in Frage.

    Moderator Angelika Reisiger

    (@la-geek)

    Danke für die sinnvollen Ergänzungen, die 2-Faktor-Authentifizierung ist natürlich auch eine Option.

    Eine zusätzliche Absicherung des Anmeldeformulars – etwa mit einer 2-Faktor-Authentifikation – ist sinnvoll, wenn auch nicht zwingend erforderlich. Den Passwortschutz per .htaccess verwende ich persönlich nicht so gern

    @pixolin
    Warum nutzt du .htaccess + .htpasswd nicht so gern, hast du schlechte Erfahrungen damit gemacht?

    Für mich ist es das Mittel erster Wahl, ich drück das auch immer allen Kunden aufs Auge und sie kommen gut damit zurecht und bislang (toi,toi,toi) wurde noch keine Website gehackt.

    Moderator Bego Mario Garde

    (@pixolin)

    Ich nutze es vor allem aus zwei Gründen nicht: Ästethik und Workflow.
    Zum einen finde ich das Eingabeformular häßlich 🙂 ,
    zum anderen kann ich die Zugangsdaten nicht direkt aus meiner Passwort-App füllen.

    Eher nebensächlich: Wenn eine Website kein SSL-Zertifikat hat, ist der Schutz mit .htpasswd unbrauchbar, weil die Zugangsdaten als Klartext von anderen mitgelesen werden können.

    Aber ganz abgesehen davon kenne ich Websites, die seit Jahren mit einem ausreichend komplexen Passwort gut geschützt sind.

    Moderator Angelika Reisiger

    (@la-geek)

    Eher nebensächlich: Wenn eine Website kein SSL-Zertifikat hat, ist der Schutz mit .htpasswd unbrauchbar, weil die Zugangsdaten als Klartext von anderen mitgelesen werden können.

    Ja, dann kann auch so einiges mehr abgefangen werden 😀

    Ich finde das Eingabeformular auch hässlich, ich nutze den Passwort-Manager Sticky Password, im Chrome kann ich den im .htaccess-Abfragefenster öffnen, per Klick Name und Passwort kopieren und eintragen. Ist ein bisschen umständlicher, aber es geht.

    Moderator Bego Mario Garde

    (@pixolin)

    „Whatever works for you…“ – wir werden alle unseren Workflow haben, mit dem wir hoffentlich effizient arbeiten können. Mich stört gerade dieses „ein bisschen umständlicher“, während 2FA nur ein zusätzlicher Tastendruck Cmd-V ist.

    Mir ging es eher darum noch zwei Zeilen zu schreiben, warum sich jemand möglicherweise auf einer Website registriert und welcher Schaden angerichtet werden kann. Vielleicht vermittelt das dann ein besseres Verständnis, warum eine Einstellung vorgenommen werden muss, vielleicht nervt es aber nur, weil ganz pragmatisch eine schnelle Lösung gesucht wird und keine Zeit für ausschweifende Erklärungen ist. 😀

    Moderator Angelika Reisiger

    (@la-geek)

    Das war mir klar, daher auch mein ernst Gemeintes „danke für die sinnvollen Ergänzungen“.
    Ich wollte nur von einem anderen Profi in Erfahrung bringen, ob es irgendwelche maßgeblichen Gründe gegen .htpasswd geben könnte, die mir bislang unbekannt gewesen wären. 🙂

    Moderator Bego Mario Garde

    (@pixolin)

    Kommt denn noch jemand? 😅

    Moderator Angelika Reisiger

    (@la-geek)

    Hoffentlich nicht, jedenalls nicht kontextbezogen, denn die zwei anwesenden haben genug Ergänzungen über die Absicherung des .htpasswd-Logins eingestreut 😉

    Thread-Ersteller alro

    (@alro)

    Super vielen Dank für Eure Antworten.
    Der Vergleich mit der Autotür war gut… meine ist verschlossen und der Schlüssel gut versteckt… so glaube ich es zumindest 😉

    Meine neuen Benutzer sind nur Abonnenten und somit ohne rechte.

    Also nochmals vielen Dank
    Gruß Alex

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)