1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Hackerangriff auf wp-login trotz htaccess-Schutz

Dieses Thema im Forum "Konfiguration" wurde erstellt von m266, 20. Juli 2014.

  1. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Würdest du Malware auf deinem PC haben, würde der Einbrecher gleich mit richtigen Zugangsdaten probieren. Wozu das wahllose Ausprobieren? ;)

    Was wirklich helfen kann, ist ein Blick ins Accesslog - hast du Zugriff drauf oder kann dir der Hoster einen zur Verfügung stellen? Dort sieht man weitere Informationen zum Aufruf: Von welcher Seite wurde der Request gestartet. Und viel wichtiger: Welche Admin-Seite wird aufgerufen, dass der Zugriffsschutz "umgangen" wird.
     
  2. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    519
    Zustimmungen:
    10
    Hallo Sergej,
    das war ein guter Tipp, ins Access-Log zu sehen. Dort habe ich den passenden Eintrag gefunden:

    host-static-109-185-xxx-xx.moldtelecom.md - - [18/Jul/2014:06:37:21 +0200] "POST /xmlrpc.php HTTP/1.1" 200 208 "-" "wp-android/2.4.5"

    Von dieser IP gab es drei Angriffe. Das "Tor" ist wohl die Schnittstelle "xmlrpc.php".
    Gemäß deinem Beitrag habe ich diesen Code in der htaccess-Datei hinzugefügt, da ich keine Trackbacks nutze:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Bin mal gespannt, ob jetzt Ruhe ist und die Angriffe ausbleiben.

    Ein Schwachpunkt ist noch die Datei "admin-ajax.php". Bringt es etwas, wenn ich den Ordner "wp-admin" mit einer htaccess schütze und diese Datei mit folgendem Code freigebe?
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Für meinen Newsletter muss die Datei zugänglich sein.
     
  3. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Bingo ;)

    Wegen der admin-ajax.php: Ich würde erst abwarten bis Missbrauch-Zugriffe auf diese Datei tatsächlich stattfinden. Bis dahin würde ich den kompletten wp-admin nicht schützen lassen.
     
  4. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    519
    Zustimmungen:
    10
    OK, werde ich so machen. Falls es wieder losgeht, melde ich mich.
     
  5. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    519
    Zustimmungen:
    10
    Rückmeldung:
    Die letzten Änderungen (Tipp von Sergej) haben wohl das Problem der Angriffe beseitigt. Ich hoffe, es bleibt dabei.
     
  6. treibstoff

    treibstoff Well-Known Member

    Registriert seit:
    26. November 2006
    Beiträge:
    57
    Zustimmungen:
    0
    Hatte grade auch eine Welle von Angriffen aufs login trotz htpasswd....
    Den Zugang zur XMLRPC.php unterbinden war wohl auch hier die Lösung...Der Angriff geht nicht mehr durch...

    siehe auch:
    https://www.kuketz-blog.de/wordpress-angriffe-auf-die-xmlrpc-schnittstelle-xmlrpc-php-unterbinden/

    Passwortgeschützte Bereiche sind ein beliebtes Angriffsziel. So ist es nicht verwunderlich, dass viele Blogger die wp-login.php bzw. den Admin-Bereich entsprechend abgesichert haben. Doch das greift in der Praxis leider zu kurz, denn über die XMLRPC-Schnittstelle lässt sich ebenso ein Zugriff auf den Blog realisieren.

    Angreifer fokussieren ihre Angriffe daher zunehmend auf die xmlrpc.php. Mit geeigneten Tools (die ich jetzt nicht verlinke) sind Bruteforce-Angriffe nicht nur weiterhin möglich, sondern -man glaubt es kaum- auch noch effizienter durchführbar.

    Bis zu 500 Passwörter lassen sich in einer Anfrage an die xmlrpc.php unterbringen und reduzieren den zeitlichen Aufwand damit erheblich, irgendwann auf die korrekten Login-Daten zu stoßen.
    Selbst aktuelle WordPress-Versionen sind davor nicht geschützt.
     
    #26 treibstoff, 27. Mai 2016
    Zuletzt bearbeitet: 27. Mai 2016
  7. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    519
    Zustimmungen:
    10
    Genau. Wie schon in meinem Beitrag #22 (oberer Code) erwähnt. Bei mir ist seit 2014 Ruhe im Karton.
     
  8. treibstoff

    treibstoff Well-Known Member

    Registriert seit:
    26. November 2006
    Beiträge:
    57
    Zustimmungen:
    0
    In zukünftigen Versionen sollten die WordPress-Entwickler diese »Schwachstelle« endlich adressieren und eine Funktionstrennung innerhalb der xmlrpc.php vornehmen. Anstatt neuen Funktionsumfang zu implementieren, sollten bestehende Kinderkrankheiten angegangen und nachhaltig korrigiert werden.
     
  9. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.637
    Zustimmungen:
    259
    genau - wurde auch mal zeit, dass wir hier von dir eine klare ansage bekommen.

    Wir haben aus Deutschland wirklich ZWEI in Worten ZWEI personen von zig Tausend-Anwendern - die an WordPress arbeiten

    - du kannst ja gerne helfen . es ist ja open source.

    MACH ES EINFACH BESSER!
     
  10. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    hi treibstoff wie r23 treffend bemerkte:mache mit

    unter der url wp-admin/about.php
    findest du alle Coder und Coderinnen aufgelistet die an deiner installierten Version mitgearbeitet haben und zwar so mitgearbeitet haben, dass sie es auf diese Liste schafften
    ebenso alle ÜbersetzerInnen.

    du kannst jederzeit mitmachen, Slack ist da DIE Anlaufstelle schlechthin

    WP ist kostenfreies OpenSource CMS; jedeR der es kann, kann mitmachen

    schon Bug melden hilft einfach viel weiter
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden