Hackerangriffe auf WordPress?

[Condor]

Hallo!
Ich nutze seit einigen Monaten sehr gern das CMS WordPress unter verschiedenen Domains
(für die Domains bzw. für meinen Provider bezahle ich, also keine Free-Angebote!).
Nun, seit einigen Tagen wird eine meiner WordPress-Domains anscheinend verstärkt unter "Beobachtung" genommen!?

Ich mache mir gern jeden Tag die Mühe und sperre die IPs, auch gern die ganzen CIDR-Blöcke, denn aus Russland,
Japan, USA und China bekomme ich keine Besucher!

Habt Ihr ein paar Ideen, was ich noch tun könnte?
Eventuell eine PlugIn Empfehlung?

Vielen Dank im Voraus!
Gruß, Frank

WP1.jpg

[Tante Google]

[Gumfuzi]

Plugins gibt es viele, die Sicherheit versprechen. Absolute Sicherheit gibt es eben leider nie.

Dass div. Bots jede Seite im Netz durchsuchen und die dahinterstehenden Server abscannen nach Lücken, Ports scannen und Logins ausprobieren ist leider nicht zu ändern - in den Serverlogs ist das Lesestoff für den ganzen Tag.

[Condor]

Plugins gibt es viele, die Sicherheit versprechen. Absolute Sicherheit gibt es eben leider nie.

Dass div. Bots jede Seite im Netz durchsuchen und die dahinterstehenden Server abscannen nach Lücken, Ports scannen und Logins ausprobieren ist leider nicht zu ändern - in den Serverlogs ist das Lesestoff für den ganzen Tag.

Das ist wohl wahr, jedoch sind es zumindest bei mir sehr viele mit dem User-Agent "Windows 5.1", also XP!
Den habe ich nun erstmal zusätzlich in der .htaccess per "SetEnvIfNoCase User-Agent "Windows NT 5.1" herausgenommen.
Mal sehen, ob es etwas bewirkt.

[GwenDragon]

Da landen immer mal Scans an.
Ein guter WP-Admin beispielsweise tut das:
- Updates (WP + OS) sofort einspielen
- Plugins auf letzten Stand halten
- Für WP-Admin/Nutzerkonten keine zu kurzen Passwörter nehmen/erlauben
- Informationen von wordfence.com/feed/ abonnieren

[Fischi]

Du kannst ja mal "bad_ip WP" probieren. Hatte ich mal im Einsatz.
Bei mir ist das Registrieren abgeschaltet. Zuvor hatte ich es erlaubt, bei vierfacher falscher PW-Eingabe ist die IP für 30 Tage gesperrt.

https://wordpress.org/plugins/bad-ip-wp/

[GwenDragon]

Wozu ein Plugin für Loginsperren? Fail2ban kann sowas auch.
Jedes Plugin mach WP langsamer und schafft wohlmöglich auch eher neue Lücken.

[Fischi]

Das liegt daran, dass du im Server-Team bist... Du weist es

[Condor]

Da landen immer mal Scans an.
Ein guter WP-Admin beispielsweise tut das:
- Updates (WP + OS) sofort einspielen
- Plugins auf letzten Stand halten
- Für WP-Admin/Nutzerkonten keine zu kurzen Passwörter nehmen/erlauben
- Informationen von wordfence.com/feed/ abonnieren

Danke für deine Tipps!
Mich wundert nur, dass es in den letzten zwei Monaten, solange ich das WP in Betrieb habe, bisher noch ruhig war.
Erst seit zwei Tagen geht das richtig los mit den Scanns!
Auch schaue ich täglich (auch schon mehrmals) in den Adminbereich um Themes und wichtiger die PlugIns aktuell zu halten.
Dazu nutze ich noch "Limit Login Attempts Reloaded" und "WPS Hide Login".

[Condor]

Du kannst ja mal "bad_ip WP" probieren. Hatte ich mal im Einsatz.
Bei mir ist das Registrieren abgeschaltet. Zuvor hatte ich es erlaubt, bei vierfacher falscher PW-Eingabe ist die IP für 30 Tage gesperrt.

https://wordpress.org/plugins/bad-ip-wp/

Danke für deine Tipps!
Ich nutze von Anfang an: "WPS Hide Login" u. "Limit Login Attempts Reloaded".
Seit dem ich den Windows XP User Agent gesperrt habe, ist Ruhe!
Ok, das ist nicht die beste Lösung und andere Scripts, die andere User Agents nutzen betrifft das nicht, aber
ich bleibe auch drann die IP-Blöcke zu sperren...
Mal sehen, wie es weiter geht!

[Gumfuzi]

Mich wundert nur, dass es in den letzten zwei Monaten, solange ich das WP in Betrieb habe, bisher noch ruhig war.
Erst seit zwei Tagen geht das richtig los mit den Scanns!

evtl. war deine Seite den bösen Bots davor noch nicht bekannt

[Condor]

Mich wundert nur, dass es in den letzten zwei Monaten, solange ich das WP in Betrieb habe, bisher noch ruhig war.
Erst seit zwei Tagen geht das richtig los mit den Scanns!

evtl. war deine Seite den bösen Bots davor noch nicht bekannt

Seitdem ich gestern den XP-User Agent gesperrt habe, ist bis heute (Son. 10.50 Uhr) immer noch Ruhe!
Ich werde das mal ein paar Tage so lassen.
Mal sehen, ob man dann nach zig Abweisungen aus deren Listen fliegt?

[GwenDragon]

@Condor Scans auf Wordpress-Lücken gibt’s doch immer, das gehört zum täglichen Grundrauschen, wenn eineR einen Server/Blog betreibt.

[Condor]

@Condor Scans auf Wordpress-Lücken gibt’s doch immer, das gehört zum täglichen Grundrauschen, wenn eineR einen Server/Blog betreibt.

Das wird so sein, nur muss ich keine zig Zugriffe aus China, Russland usw. zulassen.
Das ist nicht viel Arbeit regelmäßig IPs und ggf. ganze Blöcke aus den genannten Ländern in die .htaccess einzutragen.
Auf anderen Seiten bin ich so "*.amazonaws.com", der auch penetrant und massiv "Rauschen" verursacht hat, losgeworden.

[GwenDragon]

Es lässt sich vieles automatisieren, aber wenn du .htaccess magst und dort Listen einpflegen willst, ok.
Ich kann nur sagen, wozu den Webserver mit dem Unsinn belasten, htaccess zu nutzen kostet Zeit. Der Linux-Kernel kann das mit fail2ban viel schneller und effektiver blockieren. Aber wenn du keine Erfahrung mit der Administratation von Fail2Ban haben solltest, ist so eine .htaccess sinnvoller.

[Condor]

Es lässt sich vieles automatisieren, aber wenn du .htaccess magst und dort Listen einpflegen willst, ok.
Ich kann nur sagen, wozu den Webserver mit dem Unsinn belasten, htaccess zu nutzen kostet Zeit. Der Linux-Kernel kann das mit fail2ban viel schneller und effektiver blockieren. Aber wenn du keine Erfahrung mit der Administratation von Fail2Ban haben solltest, ist so eine .htaccess sinnvoller.

Ich verstehe was du meinst.
So extrem ist es ja (noch) nicht und mit der .htaccess komme ich gut klar.
Ich habe da seit Jahren ein paar einfache Scripts, die ich auch gut mit hilfe der Zwischenablage bearbeiten kann.
Fail2Ban ist mit Sicherheit eine gute Sache, aber auch nur, wen man sich wirklich intensiv damit beschäftigt.
Danke erst mal.
Ich beobachte das weiter insb., wenn ich in ein paar Tagen wieder den XP- User Agent raus nehme.
Mal sehen was passiert