1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Angriffe auf Wordpress

Dieses Thema im Forum "Allgemeines" wurde erstellt von GTfreak, 31. Mai 2013.

  1. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Hallo,

    auch wenn hier schon darüber geschrieben wurde - ich möchte noch mal jeden WP-User eindringlichst darauf hinweisen, den Usernamen "admin" zu ändern und das Passwort richtig kompliziert zu machen. Dazu empfehle ich das Plugin "Limit Login Attempts", um falsche Admin-Logins zu blocken.

    Gestern war meine Seite an der Reihe und hatte in meinem Blog in über 2 Stunden über 5.000 Versuche (teilweise weniger als alle 2 Sekunden), den Admin zu knacken. Passiert ist zum Glück nichts!

    Grüße,
    Stephan
     
  2. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Und warum machts Du das mit dem "admin" umbenennen dann nicht auf Deiner eigenen Seite? :)

    Gruß
    Ingo
     
  3. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.203
    Zustimmungen:
    4
    Ist irgendwie auch blöd, wenn man das so einfach sehen kann ;) Die Ausgabe kann man auch verhindern.
     
  4. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Das habe ich gemacht, es ist ein 14-stelliger Name mit dem üblichen Zeug wie (das sage ich jetzt nicht;)). Fakt ist: den Namen bekommt niemand so schnell heraus :)
     
  5. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Du meintest den Nicename - der ist jetzt auch geändert :)
     
  6. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Ja, jetzt gerade erst. Vor einer halben Stunde hat mir der Aufruf von /author/admin/ noch alle Deine Artikel angezeigt. Ich Zähle hier übrigens nur 9 Stellen: Xad65minX :)

    Gruß
    Ingo
     
  7. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Du meinst Xad65minX ?
     
  8. stk

    stk Member

    Registriert seit:
    26. Januar 2006
    Beiträge:
    24
    Zustimmungen:
    0

    Wenn du Dich da mal nicht täuschst, ein Klick auf den Autorennamen reicht aus, und schon steht oben in der URL dein Benutzername »Xad65minX« drin … ab dann kann ich anfangen das PW durchzuprobieren …

    Ja, es ist ein Schritt mehr, aber »nur« den Default »admin« umzubenennen und sich dann sicher zu glauben (was leider sehr viele, auch aufgrund unvollständiger Security-Advises, tun) reicht nicht aus. Sicheres, nichtwörterbuchfähiges Passwort und Plugins wie LimitLoginAttempts braucht es dann schon auch noch!

    Gruß Stefan
     
  9. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Stimmt, aber das ist auch nicht das, was ich in meinem ursprünglichen Post meinte. Mein Userlogin ist 14-stellig und nicht mein Adminname.
     
  10. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Btw - wie lässt sich der Username oben in der URL unterdrücken?
     
  11. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Verstehe ich nicht. Man meldet sich doch bei Wordpress mit dem Usernamen an und das ist der, der beim Autoren-Link angezeigt wird. Was ist denn der Userlogin?

    Gruß
    Ingo
     
  12. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Ich habe (in der DB) als Administrator u.a. eine Spalte User-Login, Passwort und einen Nicename. Den Nicename bekommt man durch die URL heraus, wenn man auf den Autor klickt - das habt ihr gemacht. Das was ich aber die ganze Zeit meinte, war die User/ Passwort-Kombination, die ich geändert habe (mind. 14 Stellen). Durch die kann man sich unter /wp-admin/ ins Dashboard einloggen.

    Sorry, dass ich mich so unverständlich ausgedrückt habe.
     
  13. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Das läßt sich aber nur direkt in der Datenbank ändern, oder? Im WP-Backend taucht das im Benutzerprofil nicht auf, zumindest habe ich das nicht gefunden.

    Gruß
    Ingo
     
  14. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    Im Backend kann man auswählen, welcher als Autor angezeigt werden soll.
    Benutzername ist der Anmeldename
    öffentlicher Name wird als Autor angezeigt
     
  15. GTfreak

    GTfreak Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    286
    Zustimmungen:
    0
    Ja, das muss man in der DB ändern. Korrigiere mich, wenn ich mich irre, aber die Attacken laufen ja immer nur ganz kurz und zielen auf den Standard-Usernamen "admin" ab. Sobald ich den ändere/ verkompliziere, verlieren die angreifenden Server die Lust. Wenigstens hat gestern alles dichtgehalten und ich bin kein Teil eines moldawischen Botnetzes (daher kamen die nämlich).

    Mit dem Thread wollte ich halt WP-User auf die Gefahren hinweisen und sogar ich stelle gerade noch mal alles auf den Prüfstand!

    Grüße,
    Stephan
     
  16. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Ja schon, aber ändern kann man im Backend weder den Login-Name (Benutzername) noch diesen Nicename. Insofern wäre die Information, daß das in der Datenbank gemacht werden muß und wie die Tabellenspalten da heißen, schon hilfreich gewesen.

    Nachtrag: Mein Kommentar erübrigt sich nun. :)

    Gruß
    Ingo
     
  17. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Das würde mich aber jetzt mal interessieren. Verstehe ich das richtig, das man festlegen kann, ob der Benutzer aufgelistet wird oder nicht? Gibt es generell ne Möglichkeit festzulegen, welcher Admin / User öffentlich aufgelistet wird oder nicht?
     
  18. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    nicht welcher Admin/User
    Welcher Name eines Admin /User:
    also einen dieser 4 kann man auswählen.
     
  19. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Ok. Gibt es denn überhaupt eine Möglichkeit, das öffentliche Anzeigen von Usern zu unterbinden?
     
  20. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    in dem ich im Theme die Anzeige entferne/nicht einbaue
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden