1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 4.4.2: Fehlgeschlagene Anmeldeversuche / Hackversuche

Dieses Thema im Forum "Allgemeines" wurde erstellt von wepego, 24. Februar 2016.

  1. wepego

    wepego New Member

    Registriert seit:
    24. Februar 2016
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo,

    ich habe seit ein paar Tagen merkwürdige unregelmäßige Anmeldeversuche erkannt, seit dem Upgrade auf 4.4.2.
    Zunächst dachte ich an Brute-Force oder ähnlichem und loggte alle Aufrufe des Logins. Aber da kam gar-nichts.

    Erst ein Blick ins server-log offenbarte, das der Angriff über den Aufruf von xmlrpc.php erfolgt.

    Hier ein Auszug:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Sorgen macht mir auch die jeweils 65569 Bytes, die übertragen werden.

    Ist die Site nun schon gehackt worden?
    Was sollte ich tun?

    Den Admin-Account werde ich jetzt umbenennen/entfernen.

    Beste Grüße
     
    #1 wepego, 24. Februar 2016
  2. Frank9652

    Frank9652 Well-Known Member

    Registriert seit:
    10. Juni 2011
    Beiträge:
    742
    Zustimmungen:
    6
    Seit der letzten Wordpress-Version ist die XML-RPC Schnittstelle freigeschaltet.
    Hier der entsprechende Wikipedia-Link.
    Trotz der Erklärung habe ich aber auch nicht so recht verstanden wozu man diese Schnittstelle verwenden kann.
    Man kann sie wohl im Zusammenhang mit mobilen Endgeräten verwenden.
    Irgendwo im Forum hatte ich gelesen, wer sie nicht brauchen würde, könnte sie auch abschalten.
    Das habe ich über das Plugin iThemes Security gemacht. Nach der Deaktivierung konnte ich keine Änderungen in der Darstellung (auch übers Handy) feststellen.
    Ob deine Seite schon gehackt wurde kann ich nicht beantworten. Es ist aber wohl so, dass vor der letzten Wordpress-Version es entweder diese Schnittstelle noch nicht gab, oder sie noch deaktiviert war.

    Soweit ich es verstanden habe, hat die XML-RPC Schnittstelle nichts mit dem Admin Account zu tun. Über die Schnittstelle kann man aber auch versuchen in Wordpress einzudringen. Stellt also einen weiteren potentiellen Angriffspunkt dar.

    Gruß Frank
     
    #2 Frank9652, 24. Februar 2016
    Zuletzt bearbeitet: 24. Februar 2016
  3. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    @Frank kein Halbwissen verbreiten [emoji6]. Die Schnittstelle ist seit 3.5 Standardmäßig aktiviert. Hier kannst du mehr dazu lesen bzw wie man diese deaktiviert

    http://fastwp.de/2068/
     
    #3 Hille, 24. Februar 2016
  4. wepego

    wepego New Member

    Registriert seit:
    24. Februar 2016
    Beiträge:
    2
    Zustimmungen:
    0
    Ok, ich habe die Aufrufe erstmal per htaccess unterbunden.
    Da ich sah, das der Admin-Account als Login versucht wurde, wollte ich den umbenennen - aber das geht garnicht in der Benutzerverwaltung.
    (Ich dachte mir, wo kein Standart-Account 'admin' ist, kann dieser auch nicht blind probiert werden).
    Ist das eine gute Idee? Wie geht das?
     
    #4 wepego, 25. Februar 2016
  5. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Leg dir einen neuen Admin-Account an. Mit diesem neuen loggst du dich dann ein und löschst den alten Admin-Account. Dabei wirst du dann gefragt was mit den Posts passieren soll. Die kannst du dann ganz einfach dem neuen Account übergeben.
     
    #5 SirEctor, 25. Februar 2016
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden