1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Usernamen für Hacker auslesbar?

Dieses Thema im Forum "Allgemeines" wurde erstellt von bauli, 7. Januar 2018.

  1. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Guten Tag,
    ich betreibe eine rein statische Seite ohne Möglichkeit für Besucher, sich als User anzuloggen oder irgendwelche Kommentare abzugeben.
    Ausserdem ist die Installation mit dem Plugin iThemes Security abgesichert.
    Die Security - Protolldatei zeigt seit neuestem vermehrt fehlgeschlagenen Loginversuche mit dem korrekten Administrator-Namen und auch dem Namen des 2,(Redakteur)-Users (gottseidank mit ungültigem Passwort). Hauptsächlich aus Russland oder China.
    Woher beziehen sich die Hacker den Administrator- oder Username? (das sind nebenbei NICHT alltägliche phantasielosen Namen)

    lg
    bauli

    /nachtrag: das Hauptverzeichnis ist zusätzlich über HTACCESS mit passwort abgesichert
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.746
    Zustimmungen:
    630
    Diverse Möglichkeiten:


    • gehackte Installation (ähnlich wie z.B. hier)
    • über die WordPress REST API z.B. deinedomain.de/wp-json/wp/v2/users
    • Autorlink in Beiträgen (Theme-abhängig)
    • HTML-Quellcode (im body Tag) von ggf. vorhandenen Autorseiten (Theme-abhängig)
    • HTML-Quellcode (im entspr. div) von Autorhinweisen unter Beiträgen (Theme-abhängig)
    • XML-Sitemap von Autoren (Theme-/Plugin-abhängig)
    • ...
     
  3. Herr Schmidt

    Herr Schmidt Well-Known Member

    Registriert seit:
    29. April 2007
    Beiträge:
    821
    Zustimmungen:
    0
    Einfach mal ?author=1 an die URL anhängen und schauen, ob etwas angezeigt wird.
     
  4. SEpp55

    SEpp55 Well-Known Member

    Registriert seit:
    3. Februar 2016
    Beiträge:
    1.829
    Zustimmungen:
    225
    Hier mal was zum lesen - LINK!
     
  5. An-Ja

    An-Ja Member

    Registriert seit:
    18. Dezember 2017
    Beiträge:
    5
    Zustimmungen:
    0
    Das ist ja krass, wie kann man das denn unterbinden?
     
  6. Herr Schmidt

    Herr Schmidt Well-Known Member

    Registriert seit:
    29. April 2007
    Beiträge:
    821
    Zustimmungen:
    0
    Am einfachsten Plugin: https://wordpress.org/plugins/edit-author-slug/ Damit kann man die Abfrage umbauen.
     
  7. SEpp55

    SEpp55 Well-Known Member

    Registriert seit:
    3. Februar 2016
    Beiträge:
    1.829
    Zustimmungen:
    225
    Hast du #4 gelesen???
    Mit der Eingabe eines user_nicename und display_name wird mit der ?author=x ein Name (Bezeichnung) eingegeben, der nicht der Loginname ist.
    Weiters hier lesen - LINK!
     
  8. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    es gibt aber wie anfänglich geschrieben keine BEITRÄGE auf der Seite, nur statische SEITEN.
    Die Abfrage der url mit dem Anhang ?author=1 bringt auch kein Ergebnis ausser der Fehlermeldung "nicht gefunden"
     
  9. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    und die Abfrage über die
    ergibt

    Es gibt auch verlässlich nirgends eine "Autoren-Link" oder sonstigen Vermerk auf einen User im HTML-Code

    [TABLE="class: treeTable"]
    [TR="class: treeRow stringRow opened"]
    [/TR]
    [TR="class: treeRow stringRow hasChildren opened"]

    [/TR]
    [TR="class: treeRow objectRow opened"]
    [TD="class: treeValueCell objectCell"][/TD]
    [/TR]
    [/TABLE]
     
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.746
    Zustimmungen:
    630
    Mit "Sicherheits"-Plugins wie z.B. Wordfence oder iThemes Security o.ä.
     
  11. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.445
    Zustimmungen:
    64
    Teste mal die Rest API mit einem großen U bei users. Das "vergessen" die meisten Plugins.
     
  12. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.626
    Zustimmungen:
    71
    und wo ist das Sicherheitsproblem? Als Autor / Blogger möchte man doch eigentlich gefunden werden.... ?
     
  13. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.746
    Zustimmungen:
    630
    Poste doch mal einen Link zur Seite.

    Bleibt ansonsten z.B. noch der Punkt "gehackte Installation (ähnlich wie z.B. hier)"
     
  14. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.445
    Zustimmungen:
    64
    Es gibt keins. Der TE scheint ja aber auf der Suche zu sein, wie seine Usernamen "erraten" werden konnten. Deshalb der Hinweis. Ich habe nicht gesagt, dass ich das für ein Sicherheitsproblem halte.
     
  15. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    users mit großem U geschrieben bingt tatsächlich den zweiten User ausser dem Adminstrator
    danke für den Hinweis.
    dzugehöroge Frage; bingt es was, dieses Unterverzeichnis mit htaccess auch noch abzusichern oder führt das zu Funktionsstörungen?

    diese gehackte Installation ist ja MEINE (das ist auch MEIN Beitrag); ich hab danmals alles versucht, den Fehler zu beheben, mir blieb aber nur eine Neuinstallation der Seite über, die ich aus diesem Grund nun auch mit dem Security-Plugin abgesichert habe. Genau diese Plugin meldet mir eben Login-Fehlversuche mit Usernamen, die ich als "geheim" eingestuft hätte. Darum bin ich auch sehr empfindlich, was dies betrifft.
    und Nochmals: das ist eine statische Seite, kein Bloq; Gefunden werden soll sie über die Google-Suchfunktion. Es war ja auch Google, der mich damals auf die gehackte Seite aufmerksam gemacht hat.
     
  16. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    nachtrag:
    ich hab mal auf dem Server nachgesehen; wo ist dieser Pfad "wp-json/wp/v2/users" überhaupt, kann ich nicht finden, owohl ich bei meinen FTP-Client auch versteckte datein anzeigen aktiviert habe?

    lg bauli
     
  17. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.746
    Zustimmungen:
    630
    Der wird von WordPress bereitgestellt, mehr dazu in der REST API Dokumentation.

    Poste doch mal einen Link zur Seite.
     
  18. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    hab ich schon, nur muss der anscheinend er vom Moderator freigeschaltet werden
    (daher auch der Beginn meines vorherigen Postinges mit "Nachtrag")
    (wird also hoffentlich bald auftauchen hier)

    lg bauli
     
  19. bauli

    bauli Member

    Registriert seit:
    19. Februar 2017
    Beiträge:
    10
    Zustimmungen:
    0
    (wobei ich sowieso nicht verstehe, warum manche Antworten gleich durchgeschaltet werden und manche freigegeben werden müssen)

    hier der Link
    https://www.country-freunde-haag.at


     
  20. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.746
    Zustimmungen:
    630
    Alle Benutzernamen lassen sich per /?author=X also z.B. /?author=2 und /?author=3 usw. ermitteln.

    Der Benutzername des Redakteurs (bzw. der aller Benutzer, die etwas gepostet haben) lässt sich mit /wp-json/wp/v2/Users (mit grossem U, um das "Sicherheits" Plugin auszutricksen) ermitteln.

    Beide Methoden sind bereits im Thread angesprochen worden.
     
    #20 b3317133, 9. Januar 2018
    Zuletzt bearbeitet: 9. Januar 2018
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden