Jemand will sich unbedingt in mein Blog hacken via login

Myrtus

Hallo ich habe Wordfence und die sagen mir das alle 5 Minuten jemand in mein Blog hacken will. Ich nutze Wordpress...

Soll ich mir da Sorgen machen? Bzw. mache ich mir unnötig sorgen? Die Seite wurde damals mal gehackt und viel Spam mit eingeschleust so Spam Seiten im Google Index dann.

Danach hatte ich Wordfence etc. installiert, als Admin Namen auch ein Passwort erstellen lassen.

Die versuchen immer mit "Admin" (Login) etc. pp als Admin Login reinzukommen, aber wenn es ein langes Passwort als Admin Name ist werden die es nicht schaffen oder doch?

Standort ist mal Marbella Spanien dann Italien etc.

Meine Seiten werden auch alle paar Minuten "angegriffen", das ist völlig normal. Da steckt normalerweise nicht einmal eine echte Person dahinter, die es speziell auf dich abgesehen hat, sondern das ist alles automatisiert. Da wird quasi das ganze Internet abgegrast.

Myrtus

Ok danke das beruhigt ich schon mal das das Bots sind weiss ich ja aber dachte dennoch das irgendwer gezielt Bots auf mich hetzt

heinrich

Also Brute Force Attacken sind bei WP normal - ich hab ca. 50 Installationen und die werden regelmäßig über den Tag verteilt angegriffen. Die meisten Bots sind so dumm, dass sie nicht lernen, dass das vergebliche Liebesmühe ist, sodass man die Serverlast kaum reduzieren kann. Zwar ist es beruhigend, dass nie etwas passieren kann, aber ein Blick in die Logs ist immer mit Ärger verbunden, wenn man etwa Fehler erkennen will ...

Bei mir triggern solche Bots ein Script, das sie automatisch per Firewall bannt. Dann kommt nach dem ersten Versuch kein einziger Request mehr durch.

heinrich

Hanzo2012 hat geschrieben:Bei mir triggern solche Bots ein Script, das sie automatisch per Firewall bannt. Dann kommt nach dem ersten Versuch kein einziger Request mehr durch.

Dabei bleibt nur das Problem der Attacken über permanent wechselnde IPs, sodass man schon nach kurzer Zeit eine lange Liste abarbeiten muss bzw. dass man dann IPs aussperrt, die letztlich nichts mit der Attacke zu tun haben. Ich hab in den Logs innerhalb einer Minute immer wieder hunderte Angriffe von derselben Quelle, die es immer mit einer anderen IP versuchen!

Lieber jeweils 1 Request von tausenden verschiedenen IPs als jeweils tausende Requests von tausenden IPs

Die Bannliste wird natürlich auch regelmäßig geleert, bzw. die zu alten Einträge werden entfernt.

heinrich

Hanzo2012 hat geschrieben:Lieber jeweils 1 Request von tausenden verschiedenen IPs als jeweils tausende Requests von tausenden IPs

Wobei natürlich die Frage bleibt, ob dabei das Firewall-Aussperren nicht genausoviel Traffic verursacht wie das "denied by server configuration" …

Ein Paket, das von der Firewall geblockt wird, bekommt der Webserver erst gar nicht zu Gesicht. Also in Sachen Netzwerk-Traffic dürfte es nicht viel Unterschied machen (außer dass man sich die Fehlerseite-/Antwort spart), in Sachen Ressourcen wahrscheinlich schon ein bisschen.

nerd

Am einfachsten waere natuerlich, das wp-admin verzeichniss umzubenennen oder hinter einem http-auth zu verstecken damit es die bots nicht finden.
Bei guten CMS muss das verzeichniss fuer den admin-bereich bei der installation explizit erstellt werden, und wenn man es nicht gerade "admin" nennt dann kann es auch nicht von bots erraten werden.

heinrich

Also meine Methode ist einfach die, dass der Zugang zum Admin-Bereich auf meine IP beschränkt ist. Kann man ja in WP einstellen!
Aber das Finden durch die Bots ist eigentlich relativ egal, denn ich habe tausende auch Anfragen nach der wp-admin auch in Bereichen, die gar keines haben, da es dort nur normale Webseiten gibt. In jedem Directory vermuten die eine WP-Installation ...

bncms

Der Heinrich hats euch allen gegeben