Ankündigung Wichtiger Sicherheitshinweis für alle Wordpress-Administratoren

      Wichtiger Sicherheitshinweis für alle Wordpress-Administratoren

      Die bekannte und sehr beliebte Blogger-Software Wordpress verzeichnet zur Zeit laut einigen Betreibern massive Login-Versuche mit den Benutzernamen admin, demo, test und wordpress. Es handelt sich dabei um automatisierte Login-Versuche einer IP.

      Vorsichtsmaßnahmen
      Administratoren, die einer der aufgelisteten Benutzernamen immer noch als aktiven (Administrations-)Account führen, sollten einen sofortigen Passwortwechsel (im Falle eines leichten bzw. kurzen Passwortes) durchführen oder die entsprechenden Accounts löschen. Im Falle von Brute-Force-Attacken könnte der Angreifer eventuell in die Wordpress-Installation eindringen! Als weitere Vorsichtsmaßnahme und für die zukünftige Vorbeugung solcher Angriffe kann das wp-admin-Verzeichnis via .htaccess durch ein Passwort geschützt werden.

      Weiterhin kann ein Plugin in Wordpress installiert werden, welches die Login-Versuche protokolliert und bei einer entsprechenden Anzahl an gescheiterten Versuchen diese IP sperrt. Des Weiteren kann der Administrator des Blogs darüber per E-Mail informiert werden, sobald die automatische Sperrung einer IP aufgrund der überschrittenen Login-Versuche eintritt. Ich empfehle hierfür das Plugin Limit Login Attempts. Hier ein Screenshot der Einstellungen von besagtem Plugin.



      Auch auf AddiscoVideo.de werden Login-Versuche durchgeführt. Besonders an dem Benutzernamen admin und test wird viel rumprobiert. Die IP kommt überwiegend aus der Türkei. Eine gesperrte IP kommt aus Russland. Wir werden in diesem Thread weiterhin zu dieser Angelegenheit informieren. Auch über Eure Erkenntnisse dazu bzw. weiteren Informationen würde ich mich freuen. Am besten direkt unter diesen Beitrag schreiben.

      Max schrieb:

      diesmal nicht aus der Türkei oder Russland, sondern überwiegend aus Spanien kommen.

      Ich denke nicht, dass diese IPs auf einen Physischen PC zeigen, an dem ein Mensch sitzt
      ich glaube eher, dass das verschiedene Proxys sind, die der Angreifer verwendet, damit er nicht lokalisiert werden kann
      das währe ja auch ganz schön dumm vom angreifer :mrgreen:
      ¯¯
      Gruß ramon1611
      [html]<label for="statement">
      Bitte keine geflame, wie "du hast eine scheiß Meinung" oder so, denn es interessiert mich nicht.
      Meine Meinung bleibt meine Meinung!
      Wenn ihr eine andere Meinung habt, könnt ihr mir sie gerne sagen, aber geflame nervt einfach!
      </label>[/html]

      ramon1611 schrieb:

      Ich denke nicht, dass diese IPs auf einen Physischen PC zeigen, an dem ein Mensch sitzt

      Das ist auch kein Mensch, der dahinter sitzt. So viele Anfragen über den gesamten Tag und teilweise oft von der selben IP kann nur automatisiert sein. So habe ich es mehr oder weniger auch in der Meldung geschrieben:

      Max schrieb:

      Es handelt sich dabei um automatisierte Login-Versuche

      Die Sache mit den Proxies will ich nicht ausschließen. Ist meistens ja auch so. Ich habe nur die Tatsache interessant gefunden, dass Nachts die IPs aus der Türkei und Russland kamen und heute über den Tag verteilt überwiegend aus Spanien. Mal abwarten, wie lange das noch andauert. Bei einer anderen Wordpress-Installation auf dem selben Server, allerdings unter einer anderen Domain erreichbar, habe ich noch keinen einzigen Angriff registriert. Der wird vermutlich später dran sein ... ;)
      Anscheinend haben "sie" heute wieder spontan Lust bekommen ...

      bot_activity-2012-09-11.jpg

      Nachtrag 22:48 Uhr: Es sind soeben wieder einige Mails eingegangen. Scheint denen heute wirklich Spaß zu machen. Ich werde, sobald ihnen langweilig geworden ist oder jede IP in der Sperre hängt, eine kleine "Bilanz" veröffentlichen. An dieser Stelle kann ich nur erneut jedem Wordpress-Administrator die Nutzung dieses Plugins (siehe ersten Post dieses Threads) empfehlen. Abgesehen von alternativen Lösungen wie der bereits erwähnten .htaccess-Änderung ist es der einfachste und schnellste Weg über unbefugte Login-Versuche informiert zu werden.

      Nachtrag 2: Insgesamt waren es 41 Meldungen.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Max“ () aus folgendem Grund: Nachtrag eingefügt

      HTML-Quellcode

      1. <p name="statement">
      2. <h2>Wordpress - Meine Meinung</h2>
      3. Wordpress ist doch auch totaler kack^^
      4. lernt etwas HTML, CSS und vllt. auch PHP (alles nicht sehr schwer, wenn man denken kann und auch nur etwas
      5. Englisch kann) und macht euch eure eigene Homepage mit euren eigenen Sicherheitsvorkehrungen
      6. so müsst ihr euch nicht auf die Kompetenz von den Entwicklern von Wordpress verlassen
      7. und vor allem könnt ihr selbst entscheiden, was genau mit dem Angreifer passiert
      8. ob er ausgesperrt wird, ob er als gemeldet wird, etc.
      9. </p>
      ¯¯
      Gruß ramon1611
      [html]<label for="statement">
      Bitte keine geflame, wie "du hast eine scheiß Meinung" oder so, denn es interessiert mich nicht.
      Meine Meinung bleibt meine Meinung!
      Wenn ihr eine andere Meinung habt, könnt ihr mir sie gerne sagen, aber geflame nervt einfach!
      </label>[/html]
      Wieso hast Du den Dein ... "Statement" als Code dargestellt?

      Bzgl. Deiner Aussage: Wenn Du die Zeit fürs programmieren eines CMS hast - gerne. Leider haben das aber die Wenigsten. Was die Sicherheit angeht - ich denke, da muss ich nicht viel dazu sagen. Für einen einzelnen ist es so gut wie unmöglich, die Lücken in seinem System zu schließen.
      passt besser zur signatur

      also meine website ist ein kleines CMS (noch nicht ganz fertig, aba schon sehr umfngreich) und das hab ich komplett selber geschrieben
      also möglich isses :thumbsup:
      ¯¯
      Gruß ramon1611
      [html]<label for="statement">
      Bitte keine geflame, wie "du hast eine scheiß Meinung" oder so, denn es interessiert mich nicht.
      Meine Meinung bleibt meine Meinung!
      Wenn ihr eine andere Meinung habt, könnt ihr mir sie gerne sagen, aber geflame nervt einfach!
      </label>[/html]

      ramon1611 schrieb:

      also möglich isses :thumbsup:

      Ich habe auch nie behauptet, dass es unmöglich sei, ein eigenes CMS zu schreiben. Ich habe nur angemerkt, dass die Zeit, die man dafür aufwenden muss, nicht viele Leute haben - vor allem nicht die Berufstätigen (evtl. nach der Arbeit, aber auch dann nur in Ausnahmefällen). Trotzdem will ich hier noch einmal den Punkt Sicherheit ansprechen. Dein CMS (auch, wenn es irgendwann "fertig" sein sollte, ist/wird um einiges unsicherer (sein) als das von bspw. Wordpress - da bin ich mir zu 99,9% sicher. Warum? Weil Du als einzelne Person oder Deine Leute, die an dem CMS schreiben, nie wirklich alle Sicherheitslücken stopfen können (vor allem, wenn man bspw. wegen dem Beruf eingeschränkt ist und nicht das entsprechende Fachwissen in diesem Bereich hat) - bei Wordpress mag das auch der Fall sein, allerdings wird da der Fehler/die Lücke viel schneller bemerkt und bereinigt. Ich will damit nicht sagen, dass Dein CMS schlecht ist, aber im Bereich Sicherheit ... naja, da scheitern die Meisten (Funktionalität, Workflow, etc. ist wieder was anderes) ...

      Als Schüler sieht man viele Dinge etwas anders. Schwer zu glauben, weiß ich :rolleyes: . Ich hätte mir vor einigen Jahren auch nicht geglaubt, wenn ich das gelesen hätte. Ich hatte (und habe eigentlich immer noch) den Traum eines eigenen CMS vor mir; nur wann das fertig wird ist fraglich - vor allem, ob ich das überhaupt irgendwo im Falle der Fertigstellung verwenden werde (siehe Sicherheit). Naja, so viel mal dazu.
      okay
      verstehe

      wenn du lust hast, kannst du mir vllt. etwas mit an meinen helfen, wenn du Lust dazu hast
      ¯¯
      Gruß ramon1611
      [html]<label for="statement">
      Bitte keine geflame, wie "du hast eine scheiß Meinung" oder so, denn es interessiert mich nicht.
      Meine Meinung bleibt meine Meinung!
      Wenn ihr eine andere Meinung habt, könnt ihr mir sie gerne sagen, aber geflame nervt einfach!
      </label>[/html]

      Auf keinen Fall machen!

      Jamest007 schrieb:

      Wäre es eigentlich schlau Nutzer mit den Namen admin und test mit einfachen passwörtern zu erstellen, diesen aber kinerlei rechte zu geben, damit der bot meint die seite ist abgehakt ?

      Nein, das wäre absolut nicht schlau. Man könnte es zwar schon so einrichten, dass dieser Account dann "Abonnent" innerhalb von Wordpress ist, allerdings hat er dann einen direkten Zugang ins System - wenn auch mit eingeschränkten Rechten. Wer weiß, was der Bot in dem Fall sonst noch alles anstellen könnte. Würde ich auf keinen Fall machen!
      Wir registrieren bereits seit knapp zwei Wochen eine sehr erhöhte Abfrage der Loginseite. Bereits über 300 verschiedene IPs wurden bereits durch Limit Login Attempts gesperrt. Angaben zufolge sind vermutlich über 90.000 IPs in den Angriff involviert!

      Nun steht wohl fest, dass ein Bot-Netz weltweit Wordpress & Joomla-Installationen angreift: heise.de/newsticker/meldung/Bo…nen-weltweit-1841419.html


      :!: An der Stelle nochmals der Hinweis an alle Administratoren einer Wordpress- bzw. Joomla-Instanz, die Schutzmaßnahmen zu kontrollieren. :!: