Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 23
  1. #1
    PostRank: 0
    Registriert seit
    19.02.2017
    Beiträge
    10

    Usernamen für Hacker auslesbar?

    Guten Tag,
    ich betreibe eine rein statische Seite ohne Möglichkeit für Besucher, sich als User anzuloggen oder irgendwelche Kommentare abzugeben.
    Ausserdem ist die Installation mit dem Plugin iThemes Security abgesichert.
    Die Security - Protolldatei zeigt seit neuestem vermehrt fehlgeschlagenen Loginversuche mit dem korrekten Administrator-Namen und auch dem Namen des 2,(Redakteur)-Users (gottseidank mit ungültigem Passwort). Hauptsächlich aus Russland oder China.
    Woher beziehen sich die Hacker den Administrator- oder Username? (das sind nebenbei NICHT alltägliche phantasielosen Namen)

    lg
    bauli

    /nachtrag: das Hauptverzeichnis ist zusätzlich über HTACCESS mit passwort abgesichert


  2. #2
    PostRank: 10 Avatar von b3317133
    Registriert seit
    21.11.2014
    Beiträge
    2.280
    Zitat Zitat von bauli Beitrag anzeigen
    Woher beziehen sich die Hacker den Administrator- oder Username? (das sind nebenbei NICHT alltägliche phantasielosen Namen)
    Diverse Möglichkeiten:


    • gehackte Installation (ähnlich wie z.B. hier)
    • über die WordPress REST API z.B. deinedomain.de/wp-json/wp/v2/users
    • Autorlink in Beiträgen (Theme-abhängig)
    • HTML-Quellcode (im body Tag) von ggf. vorhandenen Autorseiten (Theme-abhängig)
    • HTML-Quellcode (im entspr. div) von Autorhinweisen unter Beiträgen (Theme-abhängig)
    • XML-Sitemap von Autoren (Theme-/Plugin-abhängig)
    • ...

  3. #3
    PostRank: 8
    Registriert seit
    29.04.2007
    Beiträge
    808
    Einfach mal ?author=1 an die URL anhängen und schauen, ob etwas angezeigt wird.

  4. #4
    PostRank: 5
    Registriert seit
    03.02.2016
    Beiträge
    451
    Hier mal was zum lesen - LINK!
    nothing is so easy as it looks

  5. #5
    PostRank: 0
    Registriert seit
    18.12.2017
    Beiträge
    5
    Zitat Zitat von Herr Schmidt Beitrag anzeigen
    Einfach mal ?author=1 an die URL anhängen und schauen, ob etwas angezeigt wird.
    Das ist ja krass, wie kann man das denn unterbinden?

  6. #6
    PostRank: 8
    Registriert seit
    29.04.2007
    Beiträge
    808
    Zitat Zitat von An-Ja Beitrag anzeigen
    Das ist ja krass, wie kann man das denn unterbinden?
    Am einfachsten Plugin: https://wordpress.org/plugins/edit-author-slug/ Damit kann man die Abfrage umbauen.

  7. #7
    PostRank: 5
    Registriert seit
    03.02.2016
    Beiträge
    451
    Hast du #4 gelesen???
    Mit der Eingabe eines user_nicename und display_name wird mit der ?author=x ein Name (Bezeichnung) eingegeben, der nicht der Loginname ist.
    Weiters hier lesen - LINK!
    nothing is so easy as it looks

  8. #8
    PostRank: 0
    Registriert seit
    19.02.2017
    Beiträge
    10
    es gibt aber wie anfänglich geschrieben keine BEITRÄGE auf der Seite, nur statische SEITEN.
    Die Abfrage der url mit dem Anhang ?author=1 bringt auch kein Ergebnis ausser der Fehlermeldung "nicht gefunden"

  9. #9
    PostRank: 0
    Registriert seit
    19.02.2017
    Beiträge
    10
    und die Abfrage über die
    REST API z.B. deinedomain.de/wp-json/wp/v2/users
    ergibt

    "itsec_rest_api_access_restricted"
    message "Du hast keine ausreichende Berechtigung, auf diesen Punkt zuzugreifen. Der Zugriff auf die REST-API-Anfragen ist durch die Einstellungen von iThemes Security eingeschränkt."
    data null
    Es gibt auch verlässlich nirgends eine "Autoren-Link" oder sonstigen Vermerk auf einen User im HTML-Code


  10. #10
    PostRank: 10 Avatar von b3317133
    Registriert seit
    21.11.2014
    Beiträge
    2.280
    Zitat Zitat von An-Ja Beitrag anzeigen
    Das ist ja krass, wie kann man das denn unterbinden?
    Mit "Sicherheits"-Plugins wie z.B. Wordfence oder iThemes Security o.ä.

Seite 1 von 3 123 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •