Fehlerhafte Anmeldeversuche durch Hacker

Kannst du auch über die .htaccess deaktivieren:

#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

 

Lass dich nicht verrückt machen.
Es wurde schon vorher von Unbekannten versucht auf deine Homepage Zugriff zu erlangen nur du hast es bisher nicht gemerkt.
Das ist normal und kann man nicht verhindern.
Man kann nach eigenem Kenntnisstand den Angreifern nur das Leben erschweren und mehr Steine in den Weg zu legen.
Jetzt wo du es siehst, bekommst du Angst - musst du aber nicht.
Du siehst nur die fehlgeschlagenen Versuche.
Wie einer der Vorredner schon schrieb ist es wahrscheinlich Kontraproduktiv nun in heller Panik Sicherheitstools im Dutzend zu installieren ohne zu wissen, was die genau machen.

Sinnvoll ist es aber, sich mit der Thematik auseinanderzusetzen, und dann sinnvolle Gegenmaßnahmen zu ergreifen.

Wie du schon selber gemerkt hast, kann das händische rumpfuschen in der htaccess fatale Folgen haben, wenn man selber nicht weiß was man tut (spreche da aus eigener Erfahrung), dann ist es ein besserer Weg, wenn man die Einstellungen über ein Tool wie z.B. iThemes Security vornimmt - nur dazu muss man auch wissen was das Tool kann und wo es die entsprechenden Schalter gibt.
Sprich man muss sich damit beschäftigen.

Die XML-RPC Schnittstelle kannst du auch über iThemes Security deaktivieren.

Backend -> Sicherheit -> Wordpress-Optimierungen / Einstellungen konfigurieren -> XML-RPC Einstellungen deaktivieren (empfohlen)

Klick auf Einstellungen speichern nicht vergessen.

iThemes Security macht dann für dich die korrekte Einstellung in der htaccess.

Gruß Frank

 

Du legst nur Bots steine, aber keinem Hacker

Sobald eine Lücke in Plugins oder im Core sind, nutzen diese Einstellungen alle nichts.

Wenn die Webseite so wichtig ist, warum dann nicht auf eine Managed Lösung zurückgreifen?

 

@JABA-Hosting Die Lücken sind, wenn ihr euch um das Hosting und die Pflege kümmert, dann wie von Zauberhand verschwunden? Der einzige Vorteil an einer managed Lösung ist die Erfahrung, die ein Einsteiger natürlich noch nicht hat, ansonsten kocht der Dienstleister auch nur mit Wasser.

@JanBanan Wenn dir die Seite sehr wichtig ist, dann solltest du mindestens einmal täglich ein Backup machen bzw. besser noch machen lassen. Denn selbst wenn du dich immer bemühst, Sicherheitslücken zu schließen, Updates einzuspielen und WordPress abzusichern, hilft das nicht gegen unbekannte oder bisher nicht geschlossene Sicherheitslücken.

Auch solltest du nicht zu viele Plugins verwenden. Ca. 80% aller Sicherheitslücken befinden sich statistisch in Plugins. Diese sind auch die häufigste Ursache für einen erfolgreichen Angriff. Deshalb nur die Plugins Installieren und Nutzen, die auch wirklich benötigt werden.

 

Richtig! Nur im Falle ist es dann das Problem des Dienstleisters und nicht des Kunden. Der Dienstleister wird entsprechend reagieren, der Kunde wird - wie hier - panisch nach Lösungen suchen.

 

Das passt schon, nur sind es keine Wunderplugins. Gegen Sicherheitslücken helfen die nicht.

 

Wie gesagt, das sind keine Hacker sondern bots die willt irgendwelche Passwörter ausprobieren.

 

Jede Medaille hat mehrere Seiten, was für dich passt musst du für dich allein entscheiden.

Natürlich kannst du die Plege und die Security an einen professionellen Dienstleister vergeben der sicherlich mehr Erfahrung hat. Dieser Service kostet halt Geld das mancher nicht hat.

Was JABA meint: Jedes Programm wurde von fehlerhaften Menschen geschrieben und kann Fehler oder Sicherheitslücken enthalten die von schlaueren Menschen ausgenutzt werden können. Je mehr Plugins installiert sind, desto mehr Code existiert und desto höher besteht die Chance dass da irgend ein Fehler existiert.
Dazu kommt noch dass jedes zusätzliche Plugin den Aufbau einer Homepage verlangsamt - manche mehr, und manche weniger.
Deshalb gilt hier die grundlegende Regel so wenig Plugins wie möglich zu installieren und nur unbedingt die, die man auch benötigt.
Generell jetzt aus Angst vor Sicherheitslücken keine Security Plugins zu installieren halte ich persönlich aber für falsch.
Es gibt genug Plugins die sinnvoll sind und die Homepages sicherer machen als man es als Laie jemals könnte.

Ich persönlich halte iThemes Security für recht sinnvoll. Mit ihm kann man auch die eigene Homepage checken und macht Verbesserungsvorschläge. Man kann damit die XML-RPC Schnittstelle (als Laie) recht komfortabel sperren, und erfolglose Anmeldeversuche temporär nach eigenen Vorgaben für einen bestimmten Zeitraum sperren.
Man kann IP-Adressen dauerhaft sperren, und kann den Zugriff auf schon vorhandene Sperrlisten (Blacklisten) erlauben.

Natürlich sollte man ein besonders wichtiges Passwort wählen und die Personen mit Adminrechten begrenzen.

Entweder sollte man für die Anmeldeseite eine Zwei-Wege Authentifikation installieren, oder ich halte Rename wp-login für sinnvoll.

Zu einer Absicherung der eigenen Homepage gehören auch regelmäßige Backups, damit man bei einem Problem wieder eine ältere Sicherung zurückspielen kann. Ich meine damit nicht nur falls die Seite gehackt wird, sondern wenn bei einem Update eines Plugins oder von Wordpress etwas schief gelaufen ist. Man sollte einmal die Verzeichnisstruktur sichern und separat die Datenbank.
Das kann man natürlich auch einem Dienstleister überlassen wenn man das Geld dafür ausgeben will und kann oder ein Plugin selbst installieren das einem die Arbeit abnimmt, oder sich informiert ob der Hoster von beidem regelmäßige Updates macht die man evtl. bei Bedarf zurückspielen kann.
Wenn man die Updates über ein Plugin selber machen will, dann sollte man sich Gedanken darüber machen wohin die Updates gespeichert werden sollen, welche Intervalle sinnvoll sind, und wie lange man die Updates aufbewahren will.

Es ist schon gut, dass du fragst und dass du dir Gedanken über die Sicherheit machst. Und du hast ja schon negative Erfahrungen sammeln dürfen.
Es gibt halt verschiedene Taktiken und Philosophien, und du musst letzten endes selbst entscheiden was davon für dich passend ist.
Aber gar nichts bezüglich Sicherheit zu machen wie du schon gemerkt hast, halte ich für fahrlässig.

Gruß Frank

 

Hallo Maxe,
wollte Dich etwas fragen zur Schnittstelle, ist diese damit wirklich tot, hatte in diesem Thema damals dieses gefunden


Zitat von Monika

PHP-Code:

add_filter( 'xmlrpc_enabled', '__return_false' );






Der Filter schaltet XMLRPC nicht ab. Die Beschreibung im Codex ist falsch.
https://core.trac.wordpress.org/ticket/36055

Die einzige Möglichkeit derzeit xmlrpc komplett zu deaktivieren (mit allen Folgen ! ) ist

Code:
function mmx_disable_xmlrpc() {
if( defined('XMLRPC_REQUEST') && XMLRPC_REQUEST ){
die;
}
}
add_action( 'init', 'mmx_disable_xmlrpc' );

http://forum.wpde.org/allgemeines/155482-zugriffe-und-ueberlastung.html

Was ist nun besser oder richtig, kann man das auch testen?

 

Du kannst ja auch den Zugriff auf die xmlrpc.php via htaccess sperren.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

 

@matrix-22, lt. Track Ticket sollte es schon längst gefixed sein.

 

Hallo Jaba und Maxe,
also braucht man nichts mehr in functions.php reinschreiben

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Sondern nur noch in die htaccess dieses eintragen richtigt?

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

 

Der obere Code deaktiviert die Funktion, der untere schnipsel verbietet einfach die Verbindungen dahin.

Wie du es machst, bleibt dir überlassen.

 

ja, das reicht vollkommen. Bedenke aber, dass dann auch keine Pingbacks mehr gehen.