1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Vermehrte Login-Attacken auf meinen Blog - Lösung gesucht

Dieses Thema im Forum "Allgemeines" wurde erstellt von fototrallafiti, 2. März 2017.

  1. fototrallafiti

    fototrallafiti New Member

    Registriert seit:
    2. März 2017
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo liebe Wordpress Community,

    ich wende mich mit einem für mich recht ernstem Problem an Euch. Seit einiger Zeit treffen meine Wordpress-Seite (WP 4.7.2) vermehrt Login-Attacken die auch nicht nachlassen. Ich vermute hier einen Bot, der versucht in unregelmäßigen Abständen den richtigen Login zu hashen.
    Ich bin als Fotograf tätig und die Seite wird von mir auch beruflich genutzt. Es wäre ein großer Schaden, sollte sich tatsächlich jemand Zugriff verschaffen können und einen auch wie gearteten Unfug damit treiben können.

    Ich habe bereits umfangreiche Absicherungen vorgenommen.
    Neben regelmäßigen Updates verwende ich die Plugins "iThemes Security" (Version 6.1.1, von einem Profi konfiguriert), "Disable XML-RPC Pingback" (Version 1.1) und "SI Captcha Antispam" (Version 3.0.0.6).
    Von iThemes Security erhalte ich wie gesagt sehr viele Log-Benachrichtigungen über gesperrte IP-Adressen wegen zu vielen Login-Versuchen. Verwendet wird immer eine andere IP.
    Die Änderung meines Administrations-Benutzernamens und Passworts brachte keine Besserung. Offensichtlich wurde der neue Benutzername auch relativ schnell herausgefunden, da die Login-Versuche auch mit diesem stattfinden.
    Ich bin durchaus etwas bewandert mit Web-Development aber bin mit meinen Kenntnissen auch am Ende, wie ich solche Attacken nachhaltig stoppen kann.

    Vielleicht habt Ihr ja hier ein paar Tipps wie ich mein Wordpress besser absichern kann?
    Ich freue mich über jeden hilfreichen Kommentar :))

    Mein Wordpress ist hier zu finden: www.rulands-photography.com


    Weitere Details zu meiner Seite, Theme und Plugins:
    Verwendetes Theme: Uncode (https://undsgn.com/uncode/)

    Installierte und aktivierte Plugins:

    • Category Order and Taxonomy Terms Order
    • Clean Up Optimizer
    • Contact Form 7
    • Count Per Day
    • Disable XML-RPC Pingback
    • Duplicate Post
    • Envato WordPress Toolkit
    • Google Analytics Dashboard für WP
    • I Recommend This
    • iThemes Security
    • Jetpack von WordPress.com
    • LayerSlider WP
    • Loco Translate
    • MailChimp für WordPress
    • SI Captcha Anti-Spam
    • Slider Revolution
    • Uncode Core
    • Uncode Dave's WordPress Live Search (4.4.1)
    • Uncode Related Posts for WordPress (1.9.3)
    • Uncode Visual Composer
    • UpdraftPlus - Backup/Restore
    • VC Particles Background
    • Vendidero Helper
    • W3 Total Cache
    • Visual Composer Clipboard
    • WooCommerce
    • WooCommerce Germanized
    • WooCommerce Germanized Pro
    • WP Database Optimizer
    • Yoast SEO
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Kleiner Tipp für den Profi:

    Benutzername, ID, Link zur Autor-Seite usw. ist bei Dir über die REST-API für jedermann sichtbar, http://example.com/wp-json/wp/v2/users - andere "Security" Plugins wie WordFence verhindern das, wie/ob das bei iThemes Security auch geht, weiss ich leider nicht, es gibt dafür aber auch extra Plugins wie z.B. Disable REST API.

    Und es ist nicht ein Bot, sondern es sind tausende, die eher zufällig und ungezielt bei Dir anklopfen. Die Bots versuchen noch viele andere Sachen, die aber iThemes u.ä. erst gar nicht aufführt, die Lektüre einer access.log Datei eines Servers ist da sehr horizonterweiternd.

    Am Rande: Das aufgeführte Plugin "Count per Day" zählt viele dieser Bots als normale Besucher, ein Vergleich mit Google Analytics Daten usw. ist für viele "ich habe ganz viel Traffic" Leute auch vergleichsweise horizonterweiternd. Ein Audit für einen Kunden vor einiger Zeit ergab zudem haarsträubende Sicherheitslücken (SQL-Injection usw.), so dass das Plugin bei uns auf der "Never ever" Liste gelandet ist.
     
    #2 b3317133, 2. März 2017
    Zuletzt bearbeitet: 2. März 2017
  3. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Das nenne ich mal ne große Menge Plugins. Einige davon sind überflüssig bzw. man kann deren Funktion einfacher lösen. Bedenke, jedes zusätzlich Plugins stellt immer eine neue Gefahr für eine Sicherheitslücke dar.
     
  4. AmFearLiath

    AmFearLiath Well-Known Member

    Registriert seit:
    12. August 2012
    Beiträge:
    731
    Zustimmungen:
    0
  5. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Das ist auch direkt über die functions.php realisierbar.
     
  6. AmFearLiath

    AmFearLiath Well-Known Member

    Registriert seit:
    12. August 2012
    Beiträge:
    731
    Zustimmungen:
    0
    Ja, aber iThemes Security ist ja eh installiert...
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Auch auf iThemes Security kann man verzichten bzw die Sicherungsmaßnahmen manuell erledigen [emoji6].
     
  8. fototrallafiti

    fototrallafiti New Member

    Registriert seit:
    2. März 2017
    Beiträge:
    2
    Zustimmungen:
    0
    Danke für die zahlreichen Antworten. Bis auf die Antwort von b3317133 war leider keine wirklich hilfreich. Ich bin kein Programmierer und suche Lösungsmöglichkeiten die ich einfach und ohne großes Fachwissen durchführen kann ;)
     
  9. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.255
    Zustimmungen:
    7
    KLE-Hosting vielleicht eine Anleitung für den Ersteller dieser Frage zu Deinem Vorschlag
    2-faktor-authentifizierung + .htaccess vor den Login
    Vielleicht hilft das bei der Umsetzung
     
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Ein über 3 Jahre alter Beitrag mit Verweisen auf u.a. 5 Jahre alte Plugins und broken Links ist kein guter Ratgeber.

    Der o.g. Tipp bzgl. WordPress-Benutzernamen via REST-API gilt auch für den verlinkten Website (und auch für euch @KLE)...
     
  11. 360pano

    360pano Active Member

    Registriert seit:
    5. Januar 2017
    Beiträge:
    32
    Zustimmungen:
    0
  12. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    @KLE: Schön, dass ihr den Tipp bzgl. Benutzernamen via REST-API auf euerem eigenen Website jetzt umgesetzt habt. Der Verweis "ausführliche Beschreibung der Einrichtung eines .htaccess Passwortes" bei elmastudio ist leider nach wie vor broken.
     
  13. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.255
    Zustimmungen:
    7
    Hallo KLE-Hosting,

    vielen Dank für den Link, das mit dem Schutz per .htaccess kann ich schon, bei dem 2-Faktor wäre ich mir nicht sehr Sicher wegen Google und Datenschutz.
    Was wird wohin übermittelt zu Google etc.?
    Warum sicherst Du die Seiten denn per .htaccess plus den 2 Faktor ab?
     
  14. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.255
    Zustimmungen:
    7
    Hallo KLE-Hosting,
    vielen Dank für die Antwort.
    Aber was genau wird bei Deiner Methode an Google übermittelt von Daten, muss so etwas im Datenschutz etc. stehen, oder wissen Deine Kunden das Sie Daten zu Google senden?

    Leider finde ich genau etwas bei dieser Methode was an Google alles gesandt wird.

    Danke für Aufklärung.

    Schönen Sonntag.
     
  15. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Die Frage nach der Datenschutzerklärung ist absolut berechtigt.

    Grundsätzlich: Alles was nicht vom eigenen Server kommt, muss in die Datenschutzerklärung (@KLE: auch Google Webfonts..).

    Bei Nutzung von "Google Authenticator" gehen über die dafür nötige App ggf. Daten an Google, das geschieht allerdings ausserhalb des WordPress Websites. Allerdings: Eine ggf. im WordPress-Plugin angepasste Description/Beschreibung wird in den QR-Code integriert und dadurch an die App weitergegeben.
     
  16. rantanplan2000

    rantanplan2000 Well-Known Member

    Registriert seit:
    11. September 2016
    Beiträge:
    169
    Zustimmungen:
    0
    Meld dich mal bei Video2Brain an, da hats du 10 Tage kostenlos Testphase. Dort gibt es eine Video-Reihe zum Thema Word-Press-Sicherheit. Viele super Tipps! Kanns echt empfehlen.
     
  17. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Google Webfonts und auch alle möglichen CDNs usw. müssen schon immer in der Datenschutzerklärung aufgeführt werden, ist auch völlig logisch, da Daten von externen Servern eingebunden werden. Das ist verwunderlicherweise für viele Agenturen und auch die eine oder andere "Hosting"-Firma nach wie vor "Neuland", warum auch immer...
     
  18. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Noch kürzer: Die IP-Adresse des Besuchers landet bei einem externen Server -> Datenschutzerklärung nötig.
     
  19. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.255
    Zustimmungen:
    7
    Das mit dem Datenschutz und den Google Webfonts klingt interessant, trifft das auch für Google Maps Einbindungen auf der Webseite?
    Wenn ja hat jemand einen Link zum nachlesen?
     
  20. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Grundsätzlich: Alles was nicht vom eigenen Server kommt, muss in die Datenschutzerklärung.

    http://lmgtfy.com/?q=Datenschutzerklärung+Inhalt
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden