Seit einigen Tagen hat es sich ein Scherzbold zum Sport gemacht, in mein WordPress-Admin eindringen zu wollen. Woran ich das sehe? Am großartigen Plugin „Limit Login Attempts“. Mit selbigem könnt Ihr die Zahl der Logins festlegen, bis eine IP gesperrt wird. Auch die Sperr-Zeit ist einstellbar. Wird eine IP gesperrt, bekommt man eine E-Mail vom Plugin. Derzeit habe ich die Zahl der Logins sehr niedrig und die Sperr-Zeit sehr hoch angesetzt. Hält den Bot trotzdem nicht davon ab, hier so einiges zu probieren. Ständig mit einer neuen IP wird hier quasi aller halben Stunde versucht, sich am Backend anzumelden. Mal aus Deutschland, mal aus Japan, mal aus Russland, mal aus den USA.
Derzeit suche ich nach einer Lösung, wie ich diese Versuche unterbinden kann. Gestern jedenfalls habe ich erst mal sämtliche Tipps befolgt, die man unter anderem hier nachlesen kann: 10 Schritte zum Schutz des WordPress-Admin-Bereiches. Auch Dr.Web hat einige nützliche Tipps dazu parat.
Einfachste Lösung: Eine htaccess mit Htpasswd ins /wp-admin – und Ende der Geschichte. Dann kommt er nicht mal bis zum Login-Formular und man braucht sich auch keine Sorgen machen, dass jmd. mal eine evt. noch liegen gelassene update-Datei nutzt 😉
Leider nicht. WordPress leitet ja mittlerweile zu wp-login.php weiter, bzw. kann man diese Datei ja direkt aufrufen. Nur wp-admin/ mit htaccess zu schützen, nützt also nix.
Gerade die verlinkten Tipps von eBiene gelesen – sehr gutes Zeug, sollte jeder lesen und machen.
Das WP einfach nicht konsequent gecodet ist, zeigt eben auch, dass man Dinge aus dem wp-admin lädt, obwohl sie eindeutig nicht ins administrative sondern ins Frontend gehören. Aber statt sich darum zu kümmern macht man lieber zu jedem Release ein neues Template, das immer schlimmer zu durchschauen ist 😉
So. Jetzt mal noch die wp-login.php direkt per htaccess geschützt. Das sollte nun aufhören. War mittlerweile echt übel, täglich bis zu 20 Mails über fehlgeschlagene Logins.
http://stadt-bremerhaven.de/wo.....-variante/
Bös‘ – hatte ich bisher gesagt noch nicht.
Und ich habe nach dem studieren der obigen Artikel neulich auch die wp-login gesichert (und die wp-admin wieder freigegeben)
Seit gestern ist Ruhe. 🙂
Ich bin aktuell auf der Suche nach dem Königsweg: Also das ganze Verzeichnis per htaccess schützen oder nur das File wp-admin.php, wie hier http://www.pressmin.de/wordpre.....mment-5598 beschrieben. Was ist der beste Schutz?
Ich habs letztlich so gemacht wie bei Stadt Bremerhaven beschrieben. Siehe diesen Kommentar: http://www.danielgrosse.com/bl.....ment-74503 Funktioniert wunderbar. Macht am Ende auch das Limit Login Attempts obsolet, weil die Hacker ja nicht mal bis dahin kommen. Freilich weiss man aber auch nicht, ob sie es nicht trotzdem versuchen, die .htaccess zu knacken. Sollte aber eher ausgeschlossen sein.
Hmmm, ich hab diesen htaccess Code nun im root, aber auch im VZ wp-admin testweise hineinkopiert, wie Du hier http://stadt-bremerhaven.de/wo.....-variante/ oder es hier http://www.sirmark.de/wordpres.....-1481.html beschrieben steht. Die htaccess an sich funktioniert (Permalauts etc) funktionieren, der Pfad zur htpasswd ist korrekt, nur greift die Direktive nicht … grrr
Hast Du wirklich den korrekten Pfad zur .htpasswd-Datei? War bei mir der Fehler. Musst Du über phpinfo auslesen, der ist meist verschwurbelt, bei mir was mit /htdocs/ etc.