it-swarm.com.de

Auf welche Weise können Sie sich bei Wordpress anmelden?

FYI: Dies wurde auch hier gepostet , da ich ziemlich neu auf dieser Website bin und nicht wusste, dass das Wordpress Teil existierte. Entschuldigung für die Umbuchung.

Ich versuche derzeit, die Sicherheit für eine Website zu erhöhen, auf der WordPress ausgeführt wird (separate Installation, nicht auf wordpress.org/.com). Ich habe Wordfence installiert, das alle IPs blockiert, die versuchen, einen ungültigen Benutzernamen sofort zu verwenden, was recht gut funktioniert (über 200 blockierte IPs/Tag).

Da unser ISP Hostnamen wie austeilt

www-xxx-yyy-zzz.my.isp.tld

und es gibt keine Benutzer, die sich außer mir einloggen müssen. Ich dachte, ich würde eine Möglichkeit hinzufügen, um Brute-Force-Angriffe weiter zu verhindern.

Der WP Codex enthält einen Abschnitt zum Verhindern des Zugriffs auf wp-login.php für alle, die das Formular nicht einreichen. In meinen Augen sollte dies alle Skripte loswerden, die versuchen, sich brachial durchzusetzen, wie:

www.mydomain.tld/wp-admin.php?log=admin&pwd=alex

Nun, für jeden, der das Formular einreicht, würde dies nicht funktionieren. Deshalb habe ich oben in wp-login.php einen Teil eingefügt, der nach dem Hostnamen sucht und ihn dann umleitet, wenn er nicht mit unserem ISP übereinstimmt:

<?PHP
if (strpos(gethostbyaddr($_SERVER['REMOTE_ADDR']),'my.isp.tld') == false) {
    header('Location: http://www.google.com/');
}
?>

Ich habe es überprüft und dieses Teil funktioniert auch, wenn ich versuche, über mein Handy auf wp-login.php zuzugreifen, wirft es mich zurück zu Google. Außerdem erhalte ich eine E-Mail, wenn jemand dies versucht. Bisher waren es nur 3-4 Anmeldeversuche, die ich mit dieser Methode verhindert habe.

Aus meiner Sicht habe ich mich um alles gekümmert, aber Wordfence sendet mir weiterhin Benachrichtigungen über blockierte Anmeldeversuche.

Um zu sehen, ob es hilft, habe ich der Datei . Htaccess im Hauptordner von Wordpress Folgendes hinzugefügt, was meines Erachtens der Fall sein sollte Alle Zugriffe verweigern, außer wenn Sie von meinem ISP kommen:

<Files "wp-login.php">
    order deny,allow
    allow from my.isp.tld
</Files>

Immer noch fliegen die E-Mails ein. Jetzt ist die Frage:

Gibt es eine andere Möglichkeit, wp-login.php anzurufen, um zu versuchen, sich anzumelden, was ich nicht gelernt habe? Es scheint immer noch Möglichkeiten zu geben, die nicht Teil der oben genannten Szenarien sind.

Wie in der anderen Frage kommentiert: Die IPs mit den fehlgeschlagenen Versuchen werden nicht so gefälscht, dass sie zu meinen passen.

Alle Ideen, Kommentare usw. werden sehr geschätzt.

So lange

2
MDschay

Die Antwort auf meine Frage zu anderen Anmeldemöglichkeiten wurde in der Frage von birgire gegeben.

Es stellte sich heraus, dass die Angriffe nach Deaktivierung des Remotezugriffs auf xmlrpc.php auf Null gesunken sind.

Dies kann jedoch schwerwiegende Folgen für Ihre Website haben , da sie z. jetpack und ich empfehle es daher nicht.

Wie von Mark Kaplun erwähnt, gibt es wahrscheinlich andere, schwerwiegendere Angriffe, und nach der Analyse meiner Protokolle sind diese Brute-Force-Angriffe, die ich erlebt habe, sehr einfach und haben keine Chance, wenn Sie Folgendes tun:

  • Ändern Sie den Benutzernamen des Administrators in einen anderen Namen als "admin".
  • Verwenden Sie korrekte Passwörter
0
MDschay

schrieb etwas lang und entschied sich zu löschen, weil der Tl; Dr ein gutes Passwort verwendet und aufhört, so zu tun, als wüsste er, wie man Sites sichert, Sie sind eher geneigt, die Leistung der Site (Ihren Reverse-DNS-Code) oder die Sperre zu beeinträchtigen Sie selbst verhindern dann tatsächlich einen Angriff.

Sicherheit hat mit Kontext zu tun, und im Zusammenhang mit WordPress-Brute-Force-Angriffen sind Sie wahrscheinlich am wenigsten besorgt. Dies hätte Sie nicht daran gehindert, über http://wptavern.com/wordpress-security gehackt zu werden -alert-new-zero-day-vulnerability-entdeckt-in-timthumb-script

oder http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised

oder https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-jetpack.html

Und bevor ich überhaupt zu Plugins kam, hätte ich vielleicht fragen sollen, ob Ihr Hosting sicher ist? (Ich kann den Link nicht finden und mich nicht erinnern, welche große Hosting-Firma gehackt wurde)

1
Mark Kaplun