1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Hacker-Angriffe trotz .htaccess

Dieses Thema im Forum "Allgemeines" wurde erstellt von Radolski, 2. November 2014.

  1. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    Hallo,

    ich habe folgendes Problem:
    meine 2 Websiten werden trotz eines .htaccess-Schutzes (mit jeweils über 20-stelligem Passwort) von ein und derselben Person versucht, zu hacken. Neben dem .htacces-Schutzes ist der Plugin ''Limit Login Attemps'' aktiviert. Daher weiß ich auch, dass es sich um EINEN Hacker handelt.

    DIE PERSON HAT ES GESCHAFFT, DEN .htaccess-Schutz ZU UMGEHEN !!! Aber wie soll das funktionieren? :eek: Ganze 23x mit verschiedener IP wurde es an einem Tag versucht!

    Ebenfalls musste ich feststellen, dass man mit (http://www.deine-blogadresse.de/?author=1) den Autornamen ganz leicht abfragen kann.
    Wie kann man es vermeiden, dass der Autorname abgefragt werden kann?
    Denn eine größere Einladung kann man doch gar nicht geben. :(

    Ich bitte um dringende Hilfe.
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Poste mal den Inhalt deiner .htaccess
     
  3. djmugge

    djmugge Well-Known Member

    Registriert seit:
    16. April 2008
    Beiträge:
    364
    Zustimmungen:
    1
    Eventuell mal die Verzeichnis- und Dateirechte checken und die Konfigurationsmöglichkeiten des Plugin prüfen. Sieht mir aber eher nach ner Rechte-Sache aus....
     
  4. gordonbleu

    gordonbleu Active Member

    Registriert seit:
    4. November 2013
    Beiträge:
    27
    Zustimmungen:
    0
  5. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    <Files "wp-login.php">
    AuthName "Admin-Bereich"
    AuthType Basic
    AuthUserFile /home/xxxxxxxxxx/xxxxx/wp-schutzxxx/.htpasswd
    require valid-user
    </Files>
     
  6. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    den Adminnamen in der Datenbank direkt ändern,
    zb bei mir gibts da texto aus,
    aber es gibt kein Userlogin mit diesem Namen, weil ich mich zwar so angemeldet habe bei WP, dann aber in der Datenbank diesen Namen änderte
    somit heißt meine Autorenseite immer noch author/texto
    aber niemals mein Login :)
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Versuche mal das verzeichnis /wp-admin mit in die .htaccess einzubinden.
     
  8. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    wp-admin ist bereits mit über .htaccess geschützt.
    Warum aber der Hacker diesen Schutz einfach umgehen kann, ist mir ein Rätsel. Er hat es heute auch schon wieder 4x mit verschiedenen IPs versucht.

    Ich habe es auch mal mit dem Plug-In ''rename-wp-login.2.4'' versucht, mit der man den Login-Namen ändern kann.
    Leider entfällt aber dabei der wichtige .htaccess-Schutz.
     
  9. videolo

    videolo New Member

    Registriert seit:
    23. Dezember 2013
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo zusammen,

    das gleiche Problem bei mir.
    Trotz .htaccess bekomme ich über 300 Anmeldeversuche gemeldet. Die IP´s werden zwar nach zwei Versuchen für 10 Tage gesperrt. Aber es scheint genügend Angreifer zu geben.

    .htaccess:
    # Auth protect wp-login.php
    <Files wp-login.php>
    AuthType Basic
    AuthName Access to /OFP-WordPress-Live/wp-admin
    AuthUserFile /WP-WordPress-Live/.htpasswd
    Require valid-user
    </Files>

    # Deny access to important files
    <FilesMatch "(\.htaccess|\.htpasswd)">
    Order deny,allow
    Deny from all
    </FilesMatch>

    Habt Ihr eine Anleitung für die Rechtevergabe der einzelnen Verzeichnisse in WordPress?

    Danke für Eure Unterstützung.
     
  10. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    In der von dir geposteten .htaccess ist das aber nicht der Fall. Im Normalfall sollte dann ein 403 Fehler im log auftauchen. Haste mal geschaut, ob das so ist?
     
  11. maxe

    maxe Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.581
    Zustimmungen:
    277
    Die Login Versuche könnten auch alle über die xmlrpc Schnittstelle kommen. Wer die nicht braucht, deaktivieren.
     
  12. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    Wenn man bei mir auf wp-admin zugreifen möchte, hat man ebenfalls erst einmal die .htaccess-Abfrage (außer man ist ein Hacker und kann diese umgehen).
    Heute sind es auch schon wieder 5 IPs, mit der er es versucht hat.
     
  13. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    Wie deaktiviere ich die xmlrpc-Schnittstelle? Welche Auswirkungen hat eine Deaktivierung?
     
  14. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    man kann über XMLRPC zum Beispiel in Open Office seinen Blog Artikle auf seinem PC schreiben und über die Schnittstelle veröffentlichen.

    http://de.wikipedia.org/wiki/XML-RPC

    Wenn du über externe Programme oder Rechner etwas *ohne* webBrowser veröffentlichen möchtest ... Wenn nicht einfach deaktivieren-
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    oder einschränken

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  15. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    htaccess Schutz:
    Verbergen des Autorennamen:
    aus den Usereinstellungen wird der "veröffentlichte Name" in den Beiträgen verwendet, kann beliebig geändert werden.
    aus der Datenbank-Tabelle xx_users wird der nicename in der URL-Adresse verwendet, kann beliebig geändert werden.
     
  16. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0

    Vielen Dank für den Code.
    Ich bin noch recht unerfahren in dieser Marterie und brauche deshalb eine ''idiotensichere Anfängerbeschreibung''.
    Die XMLRPC-Schnittstelle soll komplett deaktiviert werden. Wo muss ich diesen Code dann genau einfügen?
     
  17. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Den Apache Laien, die sich dieses Bausteins bedienen möchten, sei warnend auf den Weg gegeben:


    Mit einem Messer kann man Zwiebeln schneiden, wenn man weiß, wie man mit dem scharfen Eisen umgehen muß. Weiß man das nicht, ist das Risiko recht groß, sich damit böse in die Finger zu schneiden. Genauso funktioniert das auch mit den Scripten:


    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    in die .htaccess
     
  18. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0

    Setzte ich den Code einfach unter den .htaccess-Code? Oder muss er in den vorhandenen .htaccess-Code ''eingearbeitet werden?
    Ist es so richtig?

    <Files "wp-login.php">
    AuthName "Admin-Bereich"
    AuthType Basic
    AuthUserFile /home/xxxxxxxxxx/xxxxx/wp-schutzxxx/.htpasswd
    require valid-user
    </Files>

    <Files xmlrpc.php>
    Order Deny,
    Allow Deny from all
    </Files>


    # BEGIN WordPress

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /

    ### Ausnahme fuer wp-login Verzeichnisschutz ###
    .......
    .......
     
  19. Radolski

    Radolski Well-Known Member

    Registriert seit:
    2. September 2012
    Beiträge:
    45
    Zustimmungen:
    0
    Wenn ich den Code so eingebe wie im Zitat angegeben, erhalte ich eine Fehlermeldung. Wo muss der xmlrpc-Code denn jetzt genau stehen?
     
  20. borusse

    borusse Gast

    Was den für eine Fehlermeldung? Ich habe den nun auch eingetragen nachdem ich jetzt feststellte das es über diese xml-rpc Schnittstelle versuche gab und einen Fehlermeldung gab es bei mir nicht.
    Nur dazu mal blöde Frage am Rande. Wie melde ich mich den jetzt selber auf meinem Blog an?^^ Ich bekomme ja nun auch die Fehlerseite wenn ichs versuche. Und wird davon z.B. Piwik in seiner Arbeit beeinträchtigt? Das liegt im selben Verzeichnis wie mein Hauptblog und das einloggen dort wird durch den Eintrag in der htaccess auch geblockt.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden