[Metalab] bruteforce Attacken auf WP login ...

[BDuN at gmx.net]

hi Moritz, 

bin zwar schon ein wenig langsam im Lesen heute, habs aber, denke ich, einigermaßen verstanden, was du meinst .. 

ich habe einen Shared-Webspace mit einer Gemeinschafts-IP ... noch, wird auch noch eine Weile so sein, denn an sich komme ich damit aus - und wir haben einen ausgezeichneten DDos-Schutz inklusive ... das bedeutet aber auch, daß der Server recht zimperlich reagiert, wenn er auch nur vermeintlich angegriffen wird. Ich zB habe mit Chello eine statische IP und mußte mich extra whitelisten lassen, um an meiner Seite arbeiten zu können, ohne von Jolnir, so heißt mein Server, ausgesperrt zu werden - DAS funktioniert also ganz gut ... 

Würde also jemand in sehr kurzer Zeit - was scripte ja tun - versuchen, sich bei mir mit der selben IP einzuloggen, ist er automatisch für eine gute Stunde ausgesperrt - ich habe auch keine Angst, daß so ein Script mein Passwort knackt, das schaff oft nichtmal ich auf Anhieb beim Einloggen- es geht nur darum, daß sie mir mit vielen Zugriffen von verschiedenen !! IPs die Ressourcen lahmlegen .. und viele dieser IPs sind normale User von mir - dieses Script liest die irgendwie aus oder hat eine leere Variable drin, in die dann echte Besucher-IPs eingesetzt werden ??? kenn mich da nicht aus, halte sowas aber für möglich (es gibt sogar auf rennomierten Seiten Scripte zum Runterladen - die nennen sich "Brutforcer" und dergleichen - damit könnte sogar ich, wenn ich mich eine Stunde konzentriert hersetze, einen Angriff starten ... also keine Kunst)

Selbst wenn ich die Login- und Admin-php-scripte verstecke - dafür gibts Programme - würde das nichts ändern, denn es geht um die permanenten Aufrufe, die den gleichen Schaden anrichten wie DDos, aber wie dieses vom Hoster nicht abgefangen werden können .. also selbst wenn ich den zusätzlichen Passwortschutz aktiviere, wie du gesagt hast - 3 x pro IP kann er darauf zugreifen und wenn er sämtlicht TOR-Exit-Nodes aktiviert - rechne das mal drei -bin ich nach dem zehnten Node wieder offline ... 

Alle Scripte, die ich bisher gefunden habe inkl Anfragen bei anderen WP-usern laufen also nur in die Richtung, ein Eindringen wie von Spammern zu unterbinden oder zu erschweren, nicht aber die Überlastung der Ressourcen abzuwehren und darum gehts .. 

auf mein .htaccess kann ich selber zugreifen, habe vergangenes Wochenende etliche Stunden mit einem Spezialisten vom Hoster verbracht, der mir erstens meine Seite optimiert hat ;-) - hat sich als Superadmin angemeldet und in meinen Widgets und Dateien gewütet, seither rennt die Seite wie geschmiert ;-) geht nix über Vertrauen er hat mir auch ein Mindestlimit für die Seite ins .htaccess geschrieben, damit läuft sie bei vielen Zugriffen stabiler, da keine Ressourcen von ihr zugunsten der User abgezogen werden, aber natürlich verringert das den Rest für die User --- bei normalem Tagesablauf reicht das aber mehr als aus,  ... ..  aber gegen Login-Attacken kann er auch nix machen ... Cloudflare oder ein anderer 3.-Anbieter oder sonstwie cachen .. mich wurmt das - da hast du so viel Technik und dann kann dich ein so ein Bengel mit einem Gratisscript den ganzen Tag beschäftigen und lahmlegen und du hast keine Chance, den zu finden oder gar zu blocken .. 

ich werds mir aber morgen ausgeschlafen nochmal durchlesen und das, was du da vorgeschlagen hast, auch meinem finnischen Second-Level-Sicherheitsmann meines isländischen Hosters senden ;-) wenn der Nachtdienst hat und keine Angriffe rollen, ist dem fad und er hilft gerne und unterhält sich über Trolle mit mir - aber da ist er auch ratlos, denn von Serverseite kann er nix machen und obwohl er sich mit WP ganz gut auskennt, weiß er da auch nix  -- es bleibt mir nur, von meiner Seite etwas zu finden oder finden zu lassen, also passionierte Hacker fragen ;-)  - habe gelesen, daß mehr als 23 % aller privaten Websites schon mit Wordpress laufen - klar ist das ein lohnendes Angriffsziel, aber genauso klar müßte da doch ausreichend Interesse bestehen, etwas Besseres zum Schutz zu entwickeln als Cloudflare meine Daten zu überlassen ... 

Wie gesagt - Glasfaserkabel ;-) aber kriegen müßt ich ihn halt erst .. und ich lese es mir ausgeschlafen noch mal durch
natti natt - sagt man in Norge
Grüße und Danke
Britta 







> Gesendet: Freitag, 04. September 2015 um 02:33 Uhr
> Von: "Moritz Wilhelmy" <mw at barfooze.de>
> An: "Metalab General Discussion List" <metalab at lists.metalab.at>
> Betreff: Re: [Metalab] bruteforce Attacken auf WP login ...
>
> Hallo Britta,
> 
> On Fri, Sep 04, 2015 at 01:13:59 +0200, BDuN at gmx.net wrote:
> > kennt jemand von euch ein Script oder irgendwas, womit man Wordpress
> > davor schützen kann ? Also gleich im Ansatz Scripts dieser Art
> > verbieten, näherzukommen ? Nicht daß ich Angst hätte, daß sie
> > reinkommen, ich habe ganz gute Passwörter, aber regelmäßig timeouts
> > wegen Überlastung und damit verliert man massig Leser -- ich habe ein
> > Limit von 20 Entries gleichzeitig und das ist gar nicht so wenig, wenn
> > man einen guten DDos-Schutz möchte - aber die legen mir diese Scripts
> > ein paar Mal am Tag lahm .. 
> 
> Falls da ein Apache läuft und dein Hoster .htaccess aktiviert hat (wovon
> ich ausgehe) könntest du auf die Login und Admin-Seiten mittels
> .htaccess ein Passwort setzen bzw. falls du eine statische IP hast die
> Seite nur für deine IP whitelisten.
> 
> Das zusätzliche Passwort hätte den Vorteil, dass im Hintergrund kein
> langsamer PHP-Prozess anläuft, der die Passwörter überprüft und dabei
> relativ viele Ressourcen frisst - mehr, als wenn Apache die Passwörter
> überprüft. Gegen Bruteforce-Attacken auf dieses zusätzliche Passwort
> schützt das natürlich nicht, aber ich denke dass es dein Problem lösen
> würde und eine einfache Methode dazu wäre.
> 
> Siehe hier:
> http://www.inmotionhosting.com/support/website/wordpress/lock-down-wordpress-admin-login-with-htaccess
> 
> LG
> ente
> 
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/metalab