1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Hackerangriff auf wp-login trotz htaccess-Schutz

Dieses Thema im Forum "Konfiguration" wurde erstellt von m266, 20. Juli 2014.

  1. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Hallo zusammen,

    ich verwende zum Schutz des Logins zusätzlich eine htaccess-Datei mit sicherem Passwort. Sogar der Benutzername besteht aus mehreren zufälligen Zeichen und steht in keinem Zusammenhang mit Username oder Domain. Das Plugin "Limit Login Attempts" zeigte mir nun mehrer Einbruchversuche (IP aus Moldawien) an, obwohl ich die htaccess-Daten jeweils geändert habe.
    Auf dem PC befindet sich nach intensivem Scan kein Trojaner o. ä. Mir ist es unklar, wie die erste Hürde überwunden werden kann. Gibt es ggf. noch einen "Seiteneingang", wo Hacker Login-Versuche unternehmen können?
    Merkwürdig ist auch, dass es immer die gleiche IP ist. Das deutet ja eher auf einen Amateur hin.

    Frage. Hat das schon einmal jemand festgestellt, dass trotz htaccess-Schutz Einbruchversuche am Login vorgenommen werden? Momentan bin ich ratlos.
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    Du wirst vermutlich nur das Verzeichnis /wp-admin/ schützen?


    das Login-Script liegt im Documentroot von wordpress und nennt sich wp-login.php

    Die Anmeldung als Admin sollte über eine verschlüsselte SSL-Verbindung erfolgen.
     
  3. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Ich schütze die wp-login.php gemäß einer Empfehlung von Sergej Müller (Punkt 7). Das hat bisher zuverlässig funktioniert und darüber habe ich auch selbst einen Beitrag geschrieben. Im Forum habe ich einen ähnlichen Beitrag gefunden, der das gleiche Verhalten beschreibt. Der Zeitpunkt der Angriffe (ab 16.07.2014) passt auch bei mir. M. E. gibt es einen neuen, bisher unbekannten Trick, direkt an die Login-Maske zu kommen. Die htaccess-Sperre kann aufgrund der langen Passwörter nicht überwunden werden.
    Ein SSL-Zugang steht vielen Usern nicht zur Verfügung. Noch eine Idee?
     
  4. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Du musst die Passwortabfrage auf die wp-login.php und /wp-admin festlegen. Falls du ne statische IP hast, würde ich das Login auf dieses IP begrenzen.
     
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    und wie schütz du das Verzeichnis wp-admin?
     
  6. FTtk

    FTtk Well-Known Member

    Registriert seit:
    8. April 2014
    Beiträge:
    50
    Zustimmungen:
    0
    Als erstes würde ich diese IP auch mittels htaccess komplett aussperren. Zumindest temporär:

    # IP-Sperre
    order allow,deny
    deny from 123.45.678.123
    allow from all


    Dann kannst du vielleicht noch eine Zwei-Faktor-Authentifizierung für WordPress einrichten:
    https://github.com/sergejmueller/2-Step-Verification/
    Damit kommt ein Angreifer auch nicht ins Backend, wenn er den Loginnamen und das Passwort herausfindet. Zusätzlich bräuchte er dann noch Zugriff auf dein Email-Konto.

    Bei mir funktionierte der Zugriffsschutz auf die Loginseite mit htaccess auch nie zuverlässig. Lag bei mir aber am Hoster.
     
  7. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Nicht unbedingt, denn nur wegen ein paar fehlerhafter Logins kann der dort kaum belangt werden. Kommt dann auch noch darauf an, ob es sich wirklich um seine IP handelt, wovon ich nicht unbedingt ausgehen würde. Sperre doch die IP, dann wirst Du ja sehen, wie schnell ein Wechsel möglich ist oder auch nicht.
     
  8. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Die Sperre von /wp-admin führt teilweise zu Problemen, wie auch Sergej schreibt, so dass sie nicht sinnvoll ist.

    Habe ich schon gemacht und derzeit ist Ruhe (vor dem nächsten Sturm). In diesem Fall war es mehrfach die gleiche IP, was vermutlich auf einen Amateur-Hacker hinweist. Ansonsten kamen die Angriffe immer über eine wechselnde (gefälschte) IP, wobei die htaccess-Datei geholfen hat.

    Danke für den Tipp. Das werde ich testen.

    Bisher hat dieser Schutz bei anderen Websites immer geholfen. Die Angriffe laufen auch i. d. R. auf meine private Website, welche durch ihr Ranking möglicherweise digitales "Gesindel" anlockt.

    Fazit:
    Die Zwei-Faktor-Authentifizierung dürfte vermutlich helfen, aber ich halte die Angriffe doch für bedenklich. Die Hacker müssen eine Möglichkeit zur Überwindung der htaccess-Sperre gefunden haben. M. E. betrifft das Problem in Kürze alle WP-Installationen. Es wäre daher gut, das Leck zu finden. Bin gern zu weiteren Tests bereit.
    Vielen Dank für die bisherigen Hinweise an Alle!
     
  9. FTtk

    FTtk Well-Known Member

    Registriert seit:
    8. April 2014
    Beiträge:
    50
    Zustimmungen:
    0
    Kommt die Passwortabfrage, wenn du www.deinedomain.xy/wp-admin/ aufrufst? Leitet normalerweise an die Login-Seite weiter.
     
  10. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Ja, natürlich. Nach Eingabe der (langen) Passwörter gelangt man zur Login-Maske.
     
  11. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Ich binde die wp-login.php und /wp-admin an meine IP (Passwortabfrage ist nichts anderes), absolut problemlos. Welche Probleme sollen damit auftreten?
     
  12. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Wie gesagt, Sergej rät davon ab. Man kann es einmal versuchen. Meinst du damit, dass du die aktuelle IP verwendest? Wenn ja, kann ich mit Tablet usw. von unterwegs nicht mehr zugreifen, da ich dann eine andere IP habe.
     
  13. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Das geht nur, wenn du eine statische IP hast. Du kannst es aber mal per Passwortabfrage von /wp-admin versuchen.
     
  14. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Eine statische IP haben ja die wenigsten User; ich also auch nicht.
    Hast du ein Code-Beispiel zum Schutz des Ordners wp-admin?
     
  15. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    es gibt Plugins die verwenden im frontend zum Beispiel

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    wer derartig unsaubere Plugins verwendet, muss halt den admin und weitere Scripte offen halten.

    Woocommerce macht dies zum Beispiel.

    Abteuerlicher finde ich zurzeit xmlrpc... egal.




    http://www.example.org/wp-admin/admin-ajax.php

    funktioniert bei diesen ungeschützen Wordpress Blogs wunderbar.
     
  16. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Die grundsätzliche Frage bleibt aber: Wie kann ein Hacker die htaccess umgehen und Zugriff zum Login bekommen?
    Dieses Leck müsste man finden.
     
  17. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    Vermutlich der übliche weg:

    A non-logged in user can call the ajax function
    wp_ajax_nopriv_ajax_navigation that calls ajax_navigation_callback in
    ajax-pagination-front.php at line 75.
    By setting the value of “loop” in the POST data, they can include the
    contents of that path on the returned page.
    For example, to include the contents of wp-login.php in the returned
    page, send the following:
    POST /wordpress/wp-admin/admin-ajax.php HTTP/1.1
    Host: 127.0.0.1
    Content-Length: 53
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    paged=2&action=ajax_navigation&loop=../../../wp-login
     
    #17 r23, 20. Juli 2014
    Zuletzt bearbeitet: 20. Juli 2014
  18. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Im Beispiel wird AuthType Basic verwendet.

    Zu AuthType Basic steht verschiedentlich geschrieben:

    http://de.selfhtml.org/servercgi/server/htaccess.htm
     
  19. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Ich habe jetzt doch den Ordner "wp-admin" gesichert und bisher keine Beeinträchtigungen festgestellt. Meinen speziellen "Freund", dessen IP gesperrt war, habe ich wieder zugelassen. Wenn die Maßnahme (wp-admin sperren) hilft, dürfte er nicht mehr auftauchen. Es ist trotzdem seltsam, dass ich diese Angriffe nur auf meine private Website bekomme.
    Vielen Dank an Alle für die Tipps!
     
  20. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    War leider ein Satz mit X: Durch die Sperre des Ordners "wp-admin" geht die Anmeldung zu meinem Newsletter nicht mehr :)
    Zurück auf Anfang und nun versuche ich die Zwei-Faktor-Authentifizierung. Feedback kommt danach.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden