it-swarm.com.de

Wordpress-Sicherheit - So blockieren Sie alternativen Wordpress-Zugriff

Ich besitze einen selbst gehosteten Wordpress 3.5-Blog. Ich arbeite an seiner Sicherheit und versuche zu verhindern, dass Nicht-Autoren auf etwas zugreifen, was der Administrator nicht tun sollte.

Kürzlich habe ich versucht , die Wordpress-Sicherheit zu verbessern . Ich mochte einige der Vorschläge für den Zugriff, die sie haben. In erster Linie derjenige, der/wp-admin/mit einem eindeutigen Schlüssel verbirgt, obwohl er einige Lücken aufweist, können Sie den Schlüssel mithilfe der Abmeldeabfrage ermitteln. Wie auch immer: Unter der Annahme, dass mein/wp-admin/und mein/wp-login.php jetzt eine 404 aufrufen, die nicht gefunden wurde, dachte ich, automatisierte Bots würden aufhören, auf mich einzuschlagen. Aber sie haben es nicht getan. Ich erhalte immer noch Benachrichtigungen zur Websitesperrung.

Ich vermute, dass Wordpress über andere Standardrouten für Remoteanmeldungen verfügt, die Angreifer immer noch ausnutzen möchten. Ich kann keine Dokumentation darüber oder etwas in den Einstellungen finden. Anfang dieser Woche fragte mich jedoch einer unserer Autoren, ob ich über sein Smartphone an WordPress schreiben möchte. Es gibt diese Android/iOS App. Also habe ich es versucht und dachte, es würde nicht funktionieren, da die normale Route jetzt 404 zurückgibt. Aber ich habe es tatsächlich geschafft, mich erfolgreich in der App anzumelden. Wie funktioniert es? Wohin sendet es die Anfrage?

Kurz gesagt, ich könnte wirklich eine Erklärung/einen Artikel dazu gebrauchen, wie Wordpress-Logins funktionieren.

Hinweis: Ich habe derzeit kein basicauth über/wp-admin /

1
ido

Ich dachte, ich schaue einfach im Quellcode der Android-Anwendung nach , um zu sehen, wie sie kommuniziert. Sie können XML-RPC schnell in der Quelle sehen.

Eine andere Möglichkeit, auf das Blog zuzugreifen, ist die Verwendung der Unterstützung von Wordpress XML-RPC . Es wurde vor kurzem in Version 3.5 verbessert und standardmäßig aktiviert. Ich verstehe nicht, warum sie es zurückgebracht haben, ohne die Option, es auszuschalten. Es war bis 2.6 aktiviert, dann standardmäßig deaktiviert und jetzt ist es wieder in 3.5

Also habe ich diesen Beitrag gefunden . Es erklärt, wie man XML-RPC mit einer Codezeile deaktiviert, was Wordpress respektiert:

Fügen Sie in Ihrer wp-cinfig.php-Datei diese Zeile nach require_once(ABSPATH . 'wp-settings.php'); hinzu:

add_filter('xmlrpc_enabled', '__return_false');

Dadurch wurde jeglicher Zugriff, den ich über die Android-Anwendung hatte, vollständig deaktiviert. Ab sofort erhalte ich keine Benachrichtigungen zur Sperrung von Websites durch fehlerhafte Anmeldungen, Mission erfüllt!

Hinweis: Vor dem Deaktivieren habe ich einen Test durchgeführt, um sicherzustellen, dass BWPS auch fehlerhafte Anmeldungen von xmlrpc scannt . Ich habe mich mit meinem Telefon an einem 3g gesperrt und später eine Benachrichtigung per E-Mail erhalten. Wäre dies nicht der Fall, wäre diese ganze Theorie fraglich. Tun Sie sich selbst einen Gefallen und deaktivieren Sie jetzt xmlrpc! Es sei denn, Sie verwenden es tatsächlich und Sie werden nicht ständig von türkischen IP-Adressen angegriffen.

2
ido