WP <5.0 Brute-Force Attacken

Eine schnelle Lösung wäre ein .htaccess-/.htpasswd-Schutz. Ich kenne allerdings eure Seite nicht. Wenn ihr Kundenlogins braucht, wäre das der falsche Ansatz. Außerdem sollte man mal schauen, warum die Benutzer ausgelesen werden können. Aber ohne Link wird das auch nichts.

 

Wenn ihr feste IP-Adressen habt, könnte man das so lösen:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Wenn man zusätzlich noch Passwort-Abfragen kombinieren will, dann z. B. so:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ohne feste IP-Adressen, nutzt du nur diesen Teil

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Den Pfad zur .htpasswd bekommst du z. B. über eine phpinfo() raus.

 

über die REST API lassen sich die User ohne Aufwand auslesen: http://ausbildung-suederelbe.de/wp-json/wp/v2/users


Wenn ihr die API nicht braucht, könnt ihr die auch deaktivieren:

https://www.netz-gaenger.de/blog/wordpress-tutorials/rest-api-in-wordpress-deaktivieren/

https://www.kuketz-blog.de/wordpress-rest-api-unter-wordpress-4-7-deaktivieren/

 

Ich würde ggf. nur den Endpoint für die users deaktivieren
https://gist.github.com/gilzow/3b000f07aca9218a505a4827ad002154

 

Schonmal über sichere Passwörter nachgedacht? Brute Force macht ja nix anderes als einfache Passwörter zu knacken. Bei sicheren Passwörtern können die probieren wie sie wollen, die kommen nicht rein.

 

Hallo,

hatte das gleiche Problem. Meine Kontakt-Seite zählte in kürzester Zeit 20.000 Besucher. Die Emails zu fehlgeschlagenen Logins erhielt ich im Sekundentakt.
Was bei mir nach langer Fehlersuche sofort geholfen hat war, dass ich das Kontaktformular auf der Kontakt Seite von oben nach unten verschoben habe. Auf der Seite ist jetzt Text, Bild, Video und danach erst das Kontaktformular.

Bei dir befindet sich das Kontaktformular direkt auf der Startseite, der Link zum Impressum gleich darunter.
Insgesamt habe ich das Wort "Kontakt" 11 x mal auf der Startseite gefunden.
Das macht auf mich einen echt verzweifelten Eindruck, wie:
Schreib uns sofort an, wir haben es bitter nötig!

Die Webseite scheint außer den vielen Links und dem Kontaktformular nichts anbieten zu können.
Dazwischen fallen die Ausbildungsstellen gar nicht auf.
Bei der Gestaltung wurden die Prioritäten nicht beachtet.

Es gibt also mehrere Gründe, die Webseite zu ändern.
Deshalb solltet ihr das zuerst in Angriff nehmen, danach könnt ihr immer noch, sollte denn Bedarf bestehen, die Passwörter ändern.

In der robot txt sollte zumindest das hier stehen:

User-agent: *
Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php

Nachtrag
Auf der Seite Einstellungen-Allgemein, sollte unter Mitgliedschaft, der Haken bei "Jeder kann sich registrieren" entfernt werden.

 

Nur aus Interesse... Warum? Bzw. was hat das mit der Frage bzw. mit dem Problem des TE zu tun.