Neue Wordpress Brute Force Angriffswelle?

[pimpi]

Hallo alle!

Hat jemand ähnliches bemerkt? Seit wenigen Tagen kommen bei fast all meinen Wordpress Blogs massiv und massenhaft Brute Force Angriffe. Alle natürlich mit "admin", typisch, trotzdem sehr auffällig. Nachvollziehen lassen sich die Länder nicht, wird wohl irgend nen Uni Proxy oder was weiß ich sein.

Diese pösen Purschen

[heinrich]

Sind nicht mehr als sonst, denke ich. Ich setz von Zeit zu Zeit die Anzahl der möglichen Versuche auf 9999, dann wieder nach ein paar Tagen zurück auf 1. Meist ist ein paar Wochen Ruhe, aber irgendwann geht es wieder los ...

[pimpi]

Habe das gerade eben verglichen, da scheint jemand gezielt Blogs von mir im Visier zu haben. Jeweils selbe IP und nur 3-5 Sekunden Zeitunterschied. Tse.

[e-fee]

Liegen die alle auf dem gleichen Server? Ich hab das häufig (allerdings bei Drupal), dass die gleichen Bots zeitnah auf mehreren Domains rumturnen, die auf dem gleichen Server liegen, und da auch noch nicht verlinkte dabei sind, gehe ich davon aus, dass die oft IP für IP vorgehen, schauen, welche Domains darauf liegen, und dann loslegen.

[heinrich]

..., dass die oft IP für IP vorgehen ...

Das ist auch mein Verdacht, denn warum sollte sonst ein komplizierter Admin-Nick-Name plötzlich auf einer ganz anderen WP-Installation in der Liste der Attacken auftauchen, der natürlich einen ganz anderen Admin-Namen hat. Bei WP sollte man ja von Zeit zu Zeit den Nick wechseln ...

[gzs]

Bei WP sollte der Admin-Nick nach Möglichkeit gar nicht in Erscheinung treten. Ich habe bei meinen Installationen immer auch einen Zugang als Redakteur unter dem ich Inhalte publiziere. Der Admin-Zugang ist nur für Adminaufgaben reserviert und daher auch mit kryptischem 20-stelligen PW gesichert - braucht man ja nicht so oft.

[pimpi]

Ja einige Blogs liegen auf demselben Server, aber nie mehr als 3 gleichzeitig. Betroffen sind ungefähr 20 Blogs. Geht auch heute wieder weiter, ich habe die Schräubchen bei Brute Force Erkennung eben gestrafft, nach bereits drei fehlgeschlagenen Login-Versuchen wird die IP für 10 Minuten gesperrt. Ich schreibe auch nicht unter meinem Admin Konto, das wäre ja wirklich zu einfach.

[Inter47]

Ja einige Blogs liegen auf demselben Server, aber nie mehr als 3 gleichzeitig. Betroffen sind ungefähr 20 Blogs. Geht auch heute wieder weiter, ich habe die Schräubchen bei Brute Force Erkennung eben gestrafft, nach bereits drei fehlgeschlagenen Login-Versuchen wird die IP für 10 Minuten gesperrt. Ich schreibe auch nicht unter meinem Admin Konto, das wäre ja wirklich zu einfach.

An die Angriffe würde ich keine Zeit verschwenden. Sind die Seiten dort erst einmal gespeichert, geht alles automatisch. Da stehen unzählige IP-Adressen zur Verfügung. Wenn das System alles abgearbeitet hat, ist erst einmal wieder Ruhe. Danach geht es dann wieder nach einer bestimmten Frist erneut los. Betroffen sind zum Beispiel alle Blogs, die Google schon erfasst hat oder anderweitig verlinkt bzw. über den RSS-Feed (hier ist sitzt wohl die hauptsächlichste Quelle) gemerkt sind.

IP am besten für höhsten Zeitrahmen sperren (gleich nach ersten Versuch). 10 Minuten ist witzlos.

[PeterGe]

Jo, bei mir gabs in den letzten Tagen da auch einige Aktivität in dem Bereich. Hab zwar auch sehr sichere Usernamen und PW, aber ich überleg schon den WP-Loginbereich zusätzlich über die htaccess mit einem PW zu sichern. So würde halt der Server nicht durch diese BruteForce Penner belastet.

[gzs]

Was auch manchmal hilft, ist die wp-login umzubenennen. Geht z.B. damit: https://wordpress.org/plugins/rename-wp-login/

[pimpi]

Bei mir ist das Backend schon nicht mehr unter wp-admin erreichbar, auch die wp-login.php nicht. Komisch, daß dort trotzdem Loginversuche kommen?

[Inter47]

Bei mir ist das Backend schon nicht mehr unter wp-admin erreichbar, auch die wp-login.php nicht. Komisch, daß dort trotzdem Loginversuche kommen?

Früher klappte es, einfach die Datei umzubennenen, oder das Admin Verzeichnis. Heute funktioniert das in den meisten Fällen nicht mehr und bietet nur kurzweilig einen Schutz. Auch der Verz.schutz kann in der Regel mit nur wenig Aufwand umgangen werden.

Deshalb gilt: Immer ein gutes, langes und nicht logisches Passwort und User-Namen anlegen. Dabei sollte der Benutzer regelmäßig neu angelegt werden. Der alte kann dann gelöscht werden. Alternativ kann auch das PW regelmäßig geändert werden,

[klaus123]

Bei mir ist das Backend schon nicht mehr unter wp-admin erreichbar, auch die wp-login.php nicht. Komisch, daß dort trotzdem Loginversuche kommen?

Die Hacker kommen schon länger über die XML-RPC Schnittstelle, selbst wenn Du den Admin Zugang in der .htaccess mit zusätzlichen Kennwörtern gesperrt hast.
Installiere mal das Rublon Plugin, dann bist Du die Plagegeister los. hab ich selbst erst in den letzten Tagen entdeckt, hilft aber ungemein.
Neben der Sperre der XML-RPC Schnittstelle hast Du damit eine prima 2-Wege Authentifizierung.

[gzs]

Um die XML-RPC Schnittstelle zu sperren brauchst du aber kein Plugin, die kannst du auch in der htaccess sperren

[klaus123]

Um die XML-RPC Schnittstelle zu sperren brauchst du aber kein Plugin, die kannst du auch in der htaccess sperren

korrekt, aber das Plugin bringt dir zusätzlich eine einfache! 2-Wege Authentifizierung.