WordPress Login Hacker aufdecken und sperren
Vor einiger Zeit habe ich bei Perun den Artikel WordPress absichern mit Limit Login Attempts gesehen und in meinen Blogs das Plugin ausprobiert. Mal sehen, wer sich so alles in meinen Admin Bereich hacken möchte. Naiv wie ich war dachte ich, das könnten gar nicht so viele sein. Scheinbar sind die WordPress Login Hacker aber doch sehr verbreitet, wie ich fast täglich mit einer automatischen Mitteilung des Plugins einer meiner Blogs erfahren muss. Und manche kommen nicht nur einmal, nachdem die Sperrzeit, die mit diesem Plugin eingestellt werden kann, abgelaufen ist, sind sie wieder da und versuchen erneut den Login zu hacken.
Solche Login Hacker, die sich gerne immer wieder am Login Bereich der WordPress Installation vergreifen in die .htaccess eintragen und gut is… dachte ich… bis ich feststellen musste, dass es doch auch recht hartnäckige Gesellen gibt, die sogar da rum kommen und fröhlich weiter versuchen ihre automatisierten Programme zum Passwort knacken alle paar Stunden durchlaufen zu lassen.
An dieser Stelle kam dann das Plugin WP Ban zum Einsatz. Installiert, eingestellt und die entsprechende IP dieses Gesellen darüber gesperrt. 36-mal hat er es seitdem noch versucht und dann war Ruhe, er hat wohl aufgegeben.
Wie man den WordPress Login Hackern am besten das Leben schwer macht:
Damit diese Hacker nicht wirklich mal ihre Arbeit erfolgreich verrichten sind in meinen Augen nur ein paar Schritte notwendig:
- Den Standard-Benutzernamen admin aus dem Blog verbannen
- Plugin Limit Login Attempts mit automatisieren eMails, damit man mitbekommt, wenn jemand versucht großen Unfug zu treiben. Dieses Plugin begrenzt die Anmeldeversuche auf eine beliebige Zahl und sperrt die IP für eine beliebige Zeit, sobald die eingestellte Zahl der möglichen fehlerhaften Anmeldeversuche überschritten wurde.
- Sobald sich ein Hacker als besonders hartnäckig erweist und immer wieder kommt, die entsprechende IP über die .htaccess bzw. das Plugin WP Ban sperren.
Sicher gibt es noch einige weitere Sicherheitsvorkehrungen, die man grundsätzlich treffen kann, doch heute geht es mir nur um die Login Hacker und für die müssten diese 3 Schritte ausreichen.
Benutzernamen admin aus dem Blog verbannen
Der admin Benutzername wird bei der WordPress Installation ja standardmäßig erstellt und kann im Admin-Bereich auch selbst nicht überschrieben werden. Die meisten Login-Hacker nutzen genau diese Schwachstelle, um sich in die WordPress Installation zu hacken. Sie brauchen nur noch ein Programm zum Passwort knacken drüber laufen lassen und irgendwann sind sie damit vielleicht erfolgreich und schon in der entsprechende Blog gehackt und der Hacker hat freie Bahn.
Was liegt da näher als einen anderen Benutzernamen als admin zu verwenden? Nur sollte dann dieser Standard admin auch nicht mehr existieren, sonst macht das Ganze ja auch keinen Sinn. Den admin kann man ganz einfach in der Datenbank selbst ändern. Die Datenbank aufrufen, in die Tabelle wp-users wechseln und im Feld user_login den Eintrag admin entsprechend auf den gewünschten Usernamen ändern. Fertig.
WordPress Plugin Limit Login Attemts
Dieses Plugin installieren und entsprechend einstellen. Ist nicht wirklich schwer und da es Vladimir in seinem Artikel so schön beschrieben hat, verweise ich an dieser Stelle einfach nur auf seinen Artikel.
Hartnäckige Hacker über die .htaccess oder das Plugin WP Ban sperren
In den meisten Fällen reicht der entsprechende Eintrag der IP in der .htaccess und schon war gehört dieser Hacker zukünftig der Vergangenheit an. Beispiel (für jede IP eine eigene eigene Zeile verwenden, die IPs hier sind nur Beispiele):
order Deny,Allow
Deny from 78.170.223.49
Deny from 217.131.5.63Sollte das nicht fruchten, wie ich es auch schon hatte, dann bleibt noch das Plugin WP Ban übrig, was ein ziemlich heftiges Kaliber ist und mit äußerster Sorgfalt verwendet werden sollte. Hier kann man in allen möglichen Variationen sperren, seien es einzelne IPs, ganze IP-Ranges, Host Names, Referrers oder User Agents. Auch gibt es die Möglichkeit den gesperrten Fritzen eine eigene spezifische Seite auszugeben. Ich würde sie aber komplett leer lassen, also weiße Seite mit gar nichts. Könnte ja durchaus sein, dass jemand der die Meldung „Du bist hier gesperrt“ liest, erst recht wütend wird und auf noch dümmere Gedanken kommt 
Was will der Alexa Crawler ia_archiver in meinem Admin Bereich? - Seit einigen Tagen häufen sich auf fast allen meinen WordPress Installationen die Benachrichtigungsmails des Plugins Limit Login Attempts. Dieses Plugin ist dafür zuständig, die Anmeldeversuche in meine WordPress Installationen zu [...]
WordPress Sicherheitsschlüssel - Bei dem ein oder anderen Blogger liegt die Erstinstallation von WordPress ja schon eine Weile zurück und wer hat in der Zwischenzeit daran gedacht, die Sicherheitsschlüssel in der wp-config.php zu [...]
Gema Virus im WordPress Blog – eine Gefahr für Blogger und Leser? - Aus aktuellem Anlass möchte ich ein paar Takte zum Gema Virus, den sich bis dato zwei mir bekannte Blogger auf ihrem WordPress Blog eingefangen haben, loswerden. Es können Einzelfälle bleiben, [...]
Bei all-inkl.com Datenbanken via PHP Skript und Cronjob sichern - All-inkl.com bietet auf seinen Seiten ein PHP Script an, mit dem die WordPress Datenbank sowie natürlich auch alle anderen Datenbanken ganz einfach gesichert werden können. Um das Ganze zu automatisieren [...]
Sitemap.xml und robots.txt aus dem Google Index verbannen - Seit ein paar Monaten scheint es eine neue Sitte von Google zu sein, fleißig die sitemap.xml sowie auch die robots.txt in den Index aufzunehmen. So berichtete zum Beispiel Frank bereits [...]
- Gern verwendete Suchbegriffe:
- wordpress hacken
- wordpress passwort knacken
- wordpress knacken
- wordpress login
- wordpress login hack
