Nachdem in der Blogszene bekannt wurde das der Querblog eiskalt durch ein Theme Update gehackt worden ist macht sich bei vielen ein paranoider aber doch berechtigter Zustand breit. Ich selbst habe hier auf meinem Blog in Sachen Sicherheit noch etwas schlampig gearbeitet. Um genauer zu sein hatte ich nichts gegen ein Einbruchsversuch am Start. Mein Theme brauche ich nicht zu scannen da ich ganz genau weiß was dort drin steht, sprich fällt das Anti-Virus Plugin weg.
Aber was ist mit Brute-Force Attacken und Zugriffe auf das „wp-admin“ Verzeichnis. Dort habe ich jetzt 2 Plugins eingesetzt. Gegen aller Arten von Zugriffen auf Verzeichnisse oder Dateien die Schwachstellen beinhalten könnten schützt jetzt BulletProof Security. Die Oberfläche erschlägt einen erstmals aber man sollte sich als erstes an ein Backup von seinen aktuellen .htaccess Dateien machen. Danach die von BPS einspielen und gegebenenfalls Inhalte angleichen. Sonst könnten z.B. die Permalinks nicht mehr funktionieren.
Ein zielgerichtete Brute-Force Attacke braucht vielleicht bei dem Standard Loginnamen (admin) eine Nacht und schon ist alles ausspioniert. Trotzdem sind mehrere tausend Versuche nötig um somit vielleicht auf das richtige Passwort zu kommen. Eine ganz einfache Blockade dagegen bietet Limit Login Attempts. Einfach Installation und Konfiguration! Maximaler Aufwand: 2 Minuten und schon ist der eigene Blog viel sicherer!
Jetzt dürfte man sich selber schon viel sichere fühlen! Vielen Dank für die Denkanstösse an: Querblog, Delijo, XYOnline, Officetrend
Ja, etwas sicherer sollte der Zugang schon sein.
Bei mir ist per „Admin-User“ auch nix zu holen ;) Außerdem verwende ich ebenfalls das Tool das die Versuche beschränkt.
th. kann man den Zugriff auf die wp-admin auch noch per htacess und IP-Range steuern. Also nur die Gruppe aus Deutschland bzw von seinem Provider (reicht ja der erste IP-Block). Aber gut, muss jeder selber wissen.
Nur, dass ich es mal gesagt habe: Meine WordPress-Versionen, die Plugins und die Themes waren auf dem neuesten Stand – alle! Außerdem hatte ich keinen Admin-User und längst Limit Login Attemps im Einsatz. Das alles hat nichts daran geändert, dass der Account verseucht wurde.
@Sebastian Hast du echt eine nur IP’s aus Deutschland zugelassen?
@Horst Schulte Erstmal Willkommen hier und schön das du dich hier meldest! Natürlich ist dann immer noch nicht alles Safe. Bei dir war doch die timthump.php die offene Tür und gegen sowas kann man auch nicht wirklich was machen. Es bleibt immer ein Weg für ungeladene Gäste offen, immer!
@Nils: Nee, aber das wär eine Möglichkeit
@Horst: Über welche Wege kann man auf deinen Server zugreifen? FTP klar. Aber auch WebDAV? Somit kann es auch über deinen Rechner passiert sein, wenn der nen virus hat.
Wie sicher sind die PW bei dir? Bei einem Kunden von mir war das auch mal passiert. Trotz PW wurde Schadcode in die HTML-Seite eingefügt. Habe danach ALLE PW auf eine 15-Zeichen-Länge verändert :) Und die Seite war kein Blog.
Und das Limit Login Attempts-Plugin macht was genau? Verstehe ich nicht ganz…
Das limitiert falsche Anmeldeversuche. Sprich nach 3mal falscher Angabe der Logindaten wird die IP für X Minuten oder auch Stunden gesperrt.
Cool, das nehme ich auch mal. Ist ja ziemlich unaufwändig. ;)
Kann mir einer das mit dem Reverse Proxy Server erklären? Das Plugin findet die Option für meine Seite passender. :)
Dort muss du einfach angeben ob du über einen Proxy dich zu deiner Seite verbindest oder nicht aber hier mal ein Zitat vom Autor selber:
Neben den hier vorgestellten Plugins „AntiVirus“ und „Limit-Login-Attempts“ setze ich noch „Secure WordPress“ und „Website Defender“ ein. Damit kann man z. B. seine WordPress-Version verbergen und den Tabellen-Prefix nachträglich ändern. Ich habe vor ein paar Tagen einen Artikel geschrieben, in dem ich die beiden Plugins näher vorstelle.
Ja stimmt den Tabellenprefix ändern ist wirklich sehr hilfreich und deine beiden Plugins setzen die Sicherheit nochmals ein weiteres Level nach oben!
Danke dafür :thumbup