Letzte Woche gab es bereits WordPress Sicherheitstipps zum Thema “Sicherheitslücken über xmlrpc.php abdichten“. Wie angekündigt steht heute ein weiterer Sicherheitstipp auf der Tagesordnung: IP-Adressen per .htaccess sperren – mit Hilfe vom Limit Login Attempts Plugin, wie auch auf ganze Länder bezogen.
WordPress Limit Login Attempts Plugin
Das Limit Login Attempts Plugin ermöglicht es einem als Blogbetreiber eine maximale Anzahl von erlaubten Anmeldeversuchen festzulegen. Setzt man diese zum Beispiel auf den Wert 3 oder 5 fest und jemandem gelingt es sich nicht innerhalb diesen Versuchen anzumelden, wird seine IP-Adresse automatisch für eine vom Administator festgelegte Zeit gesperrt. Wird nach dieser Zeit erneut versucht sich von der gleichen IP-Adresse unzulässig auf dem Blog anzumelden, wird durch die zweite Sperrung die insgesamte Sperrzeit erhöht. Ebenfalls kann man Anmeldungen via Cookies berücksichtigen.
Um die Übersicht zu behalten, gibt es folgende Plugin-Einstellungen:
– IP protokollieren
– Email an den Administrator nach Sperrung
Hilft dies alles nicht und man merkt, dass sich über verschiedene IP-Adressen immer wieder versucht wird Zugang zum Blog zu verschaffen, kann man einen Schritt weitergehen und die IP-Adresse per .htaccess ganz ausschließen.
IP-Adresse per .htaccess sperren
Um eine IP-Adresse ganz von seiner Webseite auszuschließen muss man eine .htaccess Datei auf dem Server in seinem Verzeichnis angelegt haben und folgenden Befehl eingeben:
# BEGIN IP-Sperren
order allow,deny
deny from 89.123.456.78
deny from 213.12.345.67
allow from all
Diese Liste ist ein Beispiel mit zwei IP-Adressen und man kann diese nach Belieben ändern und ergänzen.
IP-Adressen ganzer Länder per .htaccess sperren
Genügt einem die Sperrung einzelner IP-Adressen nicht, sondern will ein ganzes Land oder Länder per .htaccess sperren, wird man auf dieser Internetseite fündig: countryipblocks.net.
Einfach rechts in der Spalte das gewünschte Format und drunter das Land oder die Länder auswählen und das Resultat anschließend in die .htaccess Datei kopieren. Mit diesem Ansatz kann man auch sehr einfach Länder aussperren von denen aus SPAM-Attacken ausgehen.
(Alex)
Hoi,
das ist echt komisch. Wenn ich das über WordPress installieren will, dann bekomme ich angezeigt, dass das Plugin seit 205 tagen nicht aktualisiert wurde, und nicht mit meiner Version getestet wurde.
Auf der WordPress-Plugin-Webseite steht dann wiederum das es kompatibel ist. Die Zeitangabe stimmt aber.
Hast du das im Einsatz Alex?
ganz vergessen: Danke für den Tipp!
[…] Anzahl Fehlversuche den Zugang komplett. Wie das geht und was es nocht gibt findet ihr auf offenesblog.de var uri = 'http://impde.tradedoubler.com/imp?type(img)g(16296952)a(2083923)' + new String […]
Hi Carsten
Was den Tipp angeht, gern geschehen! :)
Das Plugin habe ich, auf WP 3.3.1., im Einsatz – funktioniert wunderbar.
Wenn ich helfen kann, gib Bescheid.
Beste Grüße, Alex
Ja die Version habe ich auch. Versuche immer zeitnah meine WordPress Blogs aktuell zu halten. Ich habe es mal eingebaut. Zusammen mit den Captchas im Anmeldeformular ist das schon eine Huerde.
Anmeldeversuche ?
Das setzt voraus, daß ich als User in einrm Blog angemeldet bin ?
Ich bin trotz aller Trolle und Idioten im Internet ein Anhänger von freiem Zugang zum Blog für alle. D. h. aber nicht, daß ich alles hinnehme wenn einer Müll schreibt oder Unfug treibt.
Die Methoden mit der htacces kenne ich natürlich. Aber wenn ich eine IP aussperre, sperre ich damit auch normale User. Denn die Adressen werden ja dynamisch vergeben und so kann es sein, daß heute ein Störenfried die IP hat und morgen ein netter, normaler User.
Captcha verwende ich natürlich auch, weil der Spam überhand nahm. Zwar wurde er erstmal nicht veröffentlicht, aber ich war dauernd am Nachgucken und Löschen und konnte dabei nicht ausschließen, daß mal ein erwünschter Kommentar der aus irgendwelchen Gründe nicht sofort veröffentlicht wurde auch gelöscht wurde.
Mit dem Captcha ist dieser Kommmentarspam um 99,8% zurückgegangen…
Ähm Gucky,
stellst du deinen Lesern den Admin Bereich zur Verfügung? So verstehe ich zumindest deinen Kommentar.
Denn das meinte Alex nicht, er wollte mit seinem Artikel darauf Aufmerksam machen wie du deinen Admin Bereich schützen kannst damit keiner dein Admin Passwort knacken kann.
Grüße Chris
Oh ähm sorry danke Alex für den Plugin Hinweiß
Ein Plugin auf das man auf keinen Fall verzichten sollte. Ich habe es seit über 2 Jahren ein. Wie oft versucht wird das Passwort zu knacken hätte ich zuerst auch nicht geglaubt, jetzt sehe ich es am Protokoll das mitgeschrieben wird. Und darauf warten bis tatsächlich jemand einen Treffer landet…. ne nicht wirklich.
Ich kann das Plugin nur empfehlen!
Hi Gucky, Chris und Thomas
– Gucky, man muss ja nicht in einem Blog angemeldet sein um auf die wp-login.php zu kommen.
Es geht um die Versuche, die auf einer WP Seite auf eben diese Seite gehen und sich dort mit Login-Namen und Passwörtern versuchen.
Und damit man es ihnen nicht zu einfach macht, kann man die Anmeldeversuche dank diesem Login auf eine bestimmte Anzahl reduzieren.
Würde ich auf einen blog/wp-login.php gehen, dann könnte ich mich dort mit Anmeldeversuchen probieren bis ich es vielleicht knacke.
Dank diesem Plugin hier wird dies unterbunden, der User wird dann automatisch blockiert und man sieht die IP-Adresse und kann die notfalls sperren, wenn gewünscht. Ich zum Beispiel hatte am Wochenende 3 Versuche aus Spanien, die von 3 verschiedenen IPs aus gestartet wurden.|
Und was das Sperren von IPs angeht, da kamen mir schon IPs aus Australien, Türkei, Russland, Polen unter… die kann ich getrost sperren denke ich. Bei deutsprachigen IPs wäre ich sicherlich vorsichtiger.
– Chris, danke für’s einspringen mit deinem Kommentar und gern geschehen, was das Plugin angeht. Es ist erschreckend, wieviele versuchen sich bei einem unerlaubt anzumelden. Drücke dir die Daumen, dass dein Blog dieses Mal sicherer aufgestellt ist als beim letzten Mal! :(
– Thomas, ja, das Plugin will ich auch nicht mehr missen. Habe es nun ein paar wenige Monate im Einsatz, vielleicht 3… und es gab schon über 30 fehlgeschlagene Login-Versuche. Traurig, aber gottseidank bislang alles gut abgewehrt. Den Weg über das Sperren per .htaccess wählst du allerdings nicht? Vor ein paar Wochen hatte ich gleich 3x die gleiche IP-Adresse, die es an zwei Tagen insgesamt 9x versucht hatte, mit unterschiedlichen Benutzernamen. Wahnsinn!
Wünsche allen ein sicheres Blog, angenehmen Start in die Woche,
Alex
@Alex: Pauschal sperren über .htaccess mach ich nicht… nicht sofort. Allerdings habe ich mein Plugin auch erheblich schärfer eingestellt. Der erste Fehlversuch wird mit einer Sperre von 4 Wochen statt 60 Minuten belegt. Beim zweiten Versuch wird dies um weitere 6 Monate verlängert.
Sollte die gleiche IP nach 6 Monaten nochmals auftauchen sperre ich sie dauerhaft via .htaccess. Dieser Fall kam in zwei Jahren genau einmal vor.
Das schont zum einen die Länge der .htaccess, zum anderen die Übersichtlichkeit der Datei.
Hi Thomas
Ja, da geht es bei dir doch etwas strikter vor.
Habe ich mich bislang noch nicht getraut da ich an den Fall dachte:
Was wenn mir vor lauter Passwörter das richtige nicht mehr einfällt
und ich mich somit selbst ein paar Tage/Wochen sperren sollte?! :D
Aber ich werde es mir überlegen, dank dir! :)
Gruß in den Norden, Alex
@Alex: Auch diesen Fall – selbst ausgesperrt – hatte ich einmal. Router neu starten, neue IP beziehen und schon klappt es wieder ;-)
Über das strikte Vorgehen kannst Du ja noch nachdenken, ich fahre damit perfekt.
Erneutes Hallo an den guten Thomas! :)
Ja, mit dem Router, da hast du Recht.
Bislang hielt ich es so:
erste Sperre 60min, um dem Eindringling einfach zu zeigen: nix da!
Und wenn er hartnäckig bleibt, die Sperre um 24 Stunden zu verlängern.
Aber du hast schon recht, man muss strikter vorgehen.
Vor allem wenn man sieht, wieviele Versuche da tatsächlich pro Woche stattfinden – fast schon erschütternd.
Danke dir jedenfalls für dein Input, werde die Sicherheitsstufe sicherlich hochschrauben!
Gruß, Alex
Ich habe in den letzten Tagen, trotz Captcha, 10 Loginversuche mit unter dem Namen: Admin erhalten. 5 IPs sind gesperrt worden. Das Plugin verhindert auf jedenfall das Brute-Forcing von Logins.
Ich habe es auch extrem streng eingestellt. 2 Loginversuche und 2h ist die IP gesperrt. Da ich einen PasswordManager nutze, 1Password, fuer mich kein Problem.
[…] vom OffenenBlog hatte Ende letzter Woche darüber berichtet Hacker per .htaccess auszusperren. Generell auch eine Variante das Backend von WordPress “abzudichten”. Allerdings bläht […]
Habe es vorhin schon bei Thomas geschrieben. Meiner Meinung nach ist die Sperrung (über die htaccess oder das Plugin WP-Ban) nicht bei wirklich vielen notwendig. Bei meinen ganzen WordPress Installationen sind das ingesamt jeweils 2 bis 3 die immer wieder kommen mit der gleichen IP (übrigens überall die gleichen), der Rest der Konsorten wechselt eh dauernd die IP.
Ich nutze das Plugin WP-Ban um die “Konsorten” zu sperren. Dort sieht man in der Statistik auch schön, wie oft die es wieder versuchen und kann das somit auch monitoren und ggf. IPs wieder raus nehmen aus der Sperre, wenn der Spuk über Wochen oder Monate aufgehört hatte. In das Plugin trage ich aber nur die ein, die mindestens 3x über Limit Login-Attempts gesperrt wurden.
Und, wie ich auch schon bei Thomas geschrieben habe, in diesem Zusammenhang ist es in meinen Augen unerlässlich, dass der username “admin” direkt in der Datenbank überschrieben wird. Dies ist der username, den die meisten “Hackversuche” benutzen und wenn der vorhanden ist, dann haben sie schon mal die halbe Miete.
Hi Stefan
Willkommen auf offenesblog.de und danke für deine Meinung zum Thema Sperren, .htaccess und Co.
Ich muss mir auch noch überlegen, wie ich das mit der .htaccess weiterführen werde, denn so
geht es sicherlich nicht auf Dauer gut, wenn man schon nach 2-3 Monaten unzählige da “eingesperrt” hat.
Die, die es jedoch immer wieder versuchen, denen kann man ruhig mal mit der Verbannung vor den Latz hauen! :D
Hatte ich vor ein paar Wochen gleich mehrmals Versuche aus der Türkei, ereilt mich momentan das gleiche
mit Spanien. Einige Login-versuche und nach dem verbannen auf meine .htaccess kommt er einfach mit einer anderen
IP aus Spanien daher.
Ist halt wirklich nicht einfach, aber ich habe jetzt schon einmal die automatische Sperrzeit erhöht.
Ich bleibe am Ball, Ihr sicherlich auch und dann hoffen wir auf eine ruhige, spam- und hackfreie Zukunft,
Alex
@Alex: Probier doch einfach mal das Plugin aus bzw. kuck es Dir an: http://wordpress.org/extend/plugins/wp-ban/
Das einzige was ich hier grundsätzlich an den Standard-Einstellungen ändere ist die “Banned Message”, dieses Feld lösche ich komplett, so dass die “gebannten” einzig und alleine eine weiße Seite erhalten. Sollte man doch mal ein menschliches Wesen erreichen, könnte eine Message wie “Hau ab Du …” :mrgreen: höchstens noch Wut und Ärger erzeugen. Wer weiß auf was für Ideen man so jemanden bringt…
Erneutes Hallo an Stefan
Danke dir für den Link zum WP Ban, ich werde es mir mal die Tage oder übers Wochenende anschauen.
Und mit der weißen Seite hast du sicherlich Recht. Man sollte böse Buben nicht auch noch provozieren! ;)
Beste Grüße, Alex
– Das war soeben der 1600. Kommentar auf offenesblog.de –
Das Plugin sieht gut aus. Allerdings komme ich bisher noch ohne aus. Und solange mein Login nicht in der Versuchs-Liste auftaucht, brauche ich mir auch keine Sorgen machen.
Wer viele Einbruchsversuche registriert, der sollte sich solche Maßnahmen in Erwägung ziehen.
Ach so war das gemeint. Was ich sagte behält trotzdem seine Gültigkeit.
Natürlich kann man mit der Begrenzung der Anmeldeveruche das “Hacken” unterbinden bzw. minimieren.
Früher bei den Mailboxen hatten wir das immer so dass nach 3 (oder beliebig vielen) Anmeldeversuchen der Zugang erstmal für den laufenden Tag gesperrt wurde. (Mailbox hat in diesem Falle nix mit E-Mail zu tun)
Eigentlich habe ich mich immer gewundert, wieso bei WP sowas nicht eingebaut war.
Ich mag es nur nicht, wenn ich “tausend” Plugins laufen haben muß um solchen Spammer-Idioten den Zugang zu verbieten.
Das schon erwähnte Captcha sperrt auch den Zugang zum Admin-Bereich für Robots. Die sind nämlich nicht in der Lage, die Rechenaufgabe zu lösen. :mrgreen:
Denn die Lösung derselben wird auch beim Zugang zum Adminbereich gefodert.
Mein Blog ist nicht Fort Knox. Trotzdem hat natürlich in meinem Adminbereich keiner was zu suchen den ich da nicht haben möchte. Und DAS ist erstmal keiner.
Und so versuche ich, die mißliebigen Störenfriede abzuweisen, aber nicht zuviel Sicherheitsmaßnahmen einzubauen um die Benutzerfreundlichkeit nicht zu gefährden. Eine leichte Rechenaufgabe kann jeder lösen. Ich würde auch lieber auf die Sicherungsmaßnahmen verzichten. Aber ich habe keine Lust, für eine Sache die mir Spaß machen soll, mehr “Arbeit” auf mich zu nehmen als nötig.
Gucky,
mehr Sicherheit bringt viele unbequeme Dinge für den Nutzer. Zu viel Freiheit holt dir sofort die Hacker ins System. Ein gutes Mittel ist da Gold wert. Deine Lösung mit der Rechenaufgabe finde ich gut.
mfgcb
Ich werde vermutlich nächste Woche einen Artikel online stellen, mit dem einen die “Einbruchsversuche” die man über Limit Login Attempts wahrnimmt (fast) egal sein können! :)
[…] verstärkt versuchen euren Blog zu kapern? Mein Limit Login Attempts Plugin (mehr dazu auch im offenen Blog) meldet sich per Mail zwar alle Tage wieder – aber in dieser Woche ist es so viel wie schon […]
Hallo!
Eine gute Möglichkeit potentielle Spammer gleich zu Beginn den Zugang zu verwehren, oder das Ausspionieren zu verhindern, bietet ip-bannliste.de, ein Projekt das aus Bot-Trap und Stopforumspam entstanden ist. Kampf den Spambots…!
[…] ein Plugin kostenfrei zum Download. Einen Erfahrungsbericht dazu gibt es beispielweise bei rohinie, offenesblog und […]
Hi Alex,
Guter Artikel! Ich habe Limit Login Attempts seit gestern (29.6.2013) im Einsatz, ziemlich streng eingestellt (EIN Versuch) und schon 45 IP Adressen gesperrt.
Gesucht habe ich, weil ich festgestellt habe, dass täglich bis zu mehrere hundert Aufrufe der wp-login.php stattfanden.
Mit Limit Login Attempts nun habe ich sogar den Beweis, dass die alle versuchen den Benutzername Admin zu knacken.(während ich das hier schrieb kamen schon wieder zwei neue dazu :-) )
Gruss, Olli
Hi Shoto und olli
Herzlich Willkommen auf offenesblog.de – es freut mich, dass Euch der Artikel gefallen hat.
– Shoto, tut mir Leid für die verspätete Antwort, aber Danke dir für deinen Hinweis mit der Bannliste.
– olli, Danke für deinen Kommentar. Habe neulich noch einen weiteren Artikel publiziert, der Limit Login Attempts quasi überflüssig macht. https://www.offenesblog.de/2013/06/wordpress-login-mit-google-authenticator-plugin-sicher-machen/ Seitdem habe ich keinerlei Einbruchsversuche mehr zu vermelden. Lasse es dennoch im Hintergrund weiterlaufen, sicher ist sicher.
Wäre es ok für dich, wenn ich deinen Kommentar stehen lassen würde – aber die IP Auflistung rausnehme? Danke.
Euch beiden einen spambotfreien Dienstag!
Hi Alex,
Natürlich, nimm raus :-)
Ich habe mittlerweile noch ein anderes Plugin gefunden, es heisst Wordfence und macht einen ganz guten Eindruck…
Ich bins momentan mal am Testen, werde Dir dann Berichten.
Gruss, Olli
Hi olli
Wordfence habe oder hatte ich auch mal getestet. Ging aber wohl leider irgendwie unter, daher würde ich mich über einen kleinen Bericht deinerseits freuen.
Deine IP-Liste ist raus, der Kommentar aber noch drin! :)
Angenehmen Wochenstart!
Wordfence hat bei mir zumindest momentan nicht viel zu Tun :-)
Da ich infolge der anhaltenden Attacken meine gesamte WP-Installation verändert habe.
Ich habe des weiteren ein kleines Script eingebaut, welches die direktzugriffe auf eine Heikle Datei registriert und in der Folge die IP des Angreifers direkt in die .htaccess einträgt. Seither habe ich (noch) so ziemlich Ruhe!
Nun jedoch zum Thema Wordfence:
Wordfence bietet einen Systemscan bei welchem die Dateien immer gegen sich selber verglichen werden.
Als ich zum Beispiel eine php Datei includierte mit dem Eintrag: require_once(”);
Zeigte es mir die Seite sofort als verändert an.
Es Zeigt sogar an was genau verändert wurde und macht einem somit die Entscheidung zu Ignorieren oder “Stepback” relativ einfach.
Des weiteren bietet es eine gute Statistik an, in welcher “Menschen” Bots, und vieles mehr sauber Aufgelistet werden.
Über Sperrlisten kann man einzelne IP’s oder ganze Bereiche/Länder sperren und auch eine “automatische Sperre” welche misslungene Loginversuche speichert kann bequem Konfiguriert werden.
Das Plugin gibt es in der Free edition oder als Paid Member Version.
Ich persönlich nutze die Free Version und kann sie eigentlich jedem Empfehlen!
Gruss, Olli
Hi olli
Na wenn Wordfence nicht viel zu tun hat, ist das ja schon einmal ein gutes Zeichen. Ich wünsche dir auch weiterhin viel Ruhe.
Die Free Version hatte auch ich mal installiert, mir fehlte jedoch bislang die Muße es auch ordentlich zu testen.
Angenehmen Dienstag!
Seit einem Jahr verwende ich ebenfalls das Limit-Login und es wurden bisher ca.2.500 IP-Adressen gesperrt. Heute waren es genau 323. Obwohl ich die restrektievste Einstellung gewählt habe (9999 Minuten) und (9999 Stunden)bei der ersten Anmeldung, werden bei einigen IPs 3 Anmeldeversuche mit verschiedenen Namen registriert.
Frage: Gibt es ein Plugin, das diese IPs dauerhaft sperren kann? Gibt es ein Plugin, das bestimmte Länder aussperren kann?
Ergänzung: Plugins, die keine Probleme bereiten, die oft verwendet werden und aus seriöser Quelle stammen. Danke im voraus.
Hallo Jagdblut
Willkommen auf offenesblog.de. Na nach deinen Zahlen hier ist ja einiges los bei dir auf dem Blog, was die limited Logins angeht. Ob es ein Plugin gibt, welches IPs oder bestimmte Länder dauerhaft aussperren kann, das weiß ich nicht. Es gibt aber eben die erwähnte Möglichkeit über die .htaccess.
Drücke dir die Daumen, dass du dein Problem in den Griff bekommst.
Alles Gute und angenehmen Start in die Woche.
@Jagdblut-DE: So ein Plugin gibt es schon, es heißt Wordfence (http://www.wordfence.com/). Sowas hat aber auch einen kleinen Nachteil. Die Filterung beansprucht nämlich auch sehr stark die Performance, je länger diverse Sper- und Filterlisten werden. Ausprobieren kannst Du es natürlich.
Danke für die Hinweise.
Die Anmeldeversuche haben spürbar nachgelassen.
Zwar wird die login-Seite weiter von den Computern mit den gesperrten IPs besucht aber anmelden geht nicht mehr. Dumme Anmelderobotter ebend.
Hallo Jagdblut,
Ich habe meinen gesamten Blog in ein Unterverzeichnis verschoben und dann eine “Bot trap” Script etwas verändert, in wp-login.php umbenannt und ins rootverzeichnis gelegt.
somit werden nun alle Bots welche diese Datei direkt aufrufen, direkt in der .htaccess aufgelistet und dauerhaft gesperrt…
Dies hat mir schonmal sehr viel Ruhe bereitet.
Ausserdem habe ich Ländersperrlisten erstellt, sodass zum Beispiel Iranische IP’s direkt gesperrt sind.
Falls Erwünscht, kann ich hier auch Links posten :-)
Hallo Olli,
das ist etwas für Experten. Ich bin aber auf diesem Gebiet keiner.
Aber wenn Du weitere, hilfreiche Links zu diesem Thema einstellen kannst, dann mache es doch einfach. Gerade vor dem Hintergund, das andere Leser daraus einen Nutzen ziehen können.
Hier mal ein Link auf die Schnelle :-)
https://www.countryipblocks.net/country_selection.php
Wähle alle Länder aus denen Du sicher keine Besucher hast (Zum Beispiel China usw…)
Dann setze den Radiobutton unten auf .htaccess Deny
Kopiere alles nun in Deine .htaccess rein (ausser natürlich was schon drinnen ist :-) )
Nun sind diese Länder grösstenteils schon gesperrt!
Hi Thomas und olli
Danke Euch beiden, dass Ihr dem Herrn Jagdblut geholfen habt.
Falls ich noch helfen kann, einfach Bescheid geben.
Beste Grüße!
@ Alex: bitte, gern geschehen :-)
@ Jagdblut: Unter http://danielwebb.us/software/bot-trap/
findest Du das Script. Editiere es, (etwas Englischkentnisse vorausgesetzt)
Benenne es als wp-login.php und lege es ins root (Basisverzeichnis) deines Servers (ACHTUNG! NICHT ins Verzeichnis in welchem sich der Blog befindet!!!)
Von da an werden alle “dummen” Bots, welche Deine Seite zu Entern versuchen direkt in die .htaccess eingetragen und Du bekommst für jeden Eintrag eine Mail (wenn gewünscht :-) )
Gruss, Olli
[…] vom OffenenBlog hatte Ende letzter Woche darüber berichtet Hacker per .htaccess auszusperren. Generell auch eine Variante das Backend von WordPress „abzudichten“. Allerdings bläht sich […]