WP-Plugin Limit Login Attempts: Einbruchsversuche auf TmoWizard’s Castle!

Last Updated on 12 Jahren by TmoWizard

Liebe Bloggerinnen und Blogger,

kennt ihr das WP-Plugin „Limit Login Attepmts“? Ich kann es euch nur empfehlen, um euren WordPress-Blog zumindest ein Stückchen sicherer zu machen! Ich habe es seit einiger Zeit installiert, folgendes (und noch ein bißchen mehr, siehe weiter unten im Text) wurde damit bisher erreicht:

• 96 Sperrungen von insgesamt
• 72 verschiedenen IP-Adressen.
• 15 unterschiedliche Namen die sich wie folgt aufteilen:
• 1 – 1 IP mit 1 Sperrung (wer ist denn so bescheuert? Paßwort auch 1, oder was?)
• admin – 16 IP-Adressen mit 21 Sperrungen
• Admin – 30 IP-Adressen mit 45 Sperrungen!!!
• deEFmzynqtl – 1 IP mit 1 Sperrung
• Fevpbazsi – 1 IP mit 1 Sperrung
• Gainsboro – 1 IP mit 1 Sperrung
• kuanpbvwb – 1 IP mit 1 Sperrung
• nibiakyabece – 1 IP mit 1 Sperrung
• Photomaster – 1 IP mit 1 Sperrung
• Prevost – 1 IP mit 1 Sperrung
• rountycockouh & seellJoroJarp – 1 IP mit jeweils 1 Sperrung innerhalb von ca. 30 Minuten!
• stephenprater – 1 IP mit 1 Sperrung
• tmowizard – 13 IP-Adressen mit insgesamt 16 Sperrungen! (so nicht ;-)  )
• TmoWizard – 2 IP-Adressen mit je 1 Sperrung! (so einfach geht das nicht, siehe gleich weiter unten im Text! :mrgreen: )
• WastKerwews – 1 IP mit 1 Sperrung

Man sieht also, daß da schon so einiges zusammen kommt. Da ist sogar einer auf meinen Nutzernamen „TmoWizard“ gekommen, mit welchem ich ja hier meine Artikel veröffentliche. (Der Zweite war ich selbst, da hat die Tastatur „gesponnt“!  )  Dieser Benutzer hat aber zwei große Nachteile für solche Spinner:

1. Ein Paßwort mit ~ 20 Stellen, bestehend aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen!
2. Der ist gar kein Administrator, der darf hier nur seine Artikel schreiben, korrigieren, nach den Kommentaren sehen und diese wenn notwendig moderieren (SPAM!)!

Ich habe ja geschrieben, daß das nicht so einfach geht! Es gibt hier natürlich schon einen „Administrator“, schließlich muß das Blog ja immer wieder mal gewartet und auf den neuesten Stand gebracht werden. Allerdings kennt außer mir keiner dessen Phantasienamen oder sein Paßwort, das wäre ja noch schöner! :mrgreen:

 

Auch kleine Blogs sind große Angriffsziele!

Nun ist es ja so, daß mein Castle nicht unbedingt zu den bekanntesten Blogs gehört. Trotzdem finde ich das schon eine ganze Menge, was dort an Sperrungen zusammen gekommen ist. Nun ist es aber so, daß die IPs mit nur einer Sperrung nach maximal 9999 Minuten bzw. 166,65 Stunden (mehr kann man nicht einstellen) wieder frei gegeben werden. Es gab also wesentlich mehr solcher Versuche, da stand sogar schon über 100 mal der „admin“ in der Liste und den „Administrator“ selbst gab es ebenfalls mehrmals!

Leute, seid doch nicht so phantasielos! Ihr solltet bedenken, daß ich nun schon seit fast 7 Jahren blogge und auch sonst mein Handwerk am Computer relativ gut gelernt habe. Immerhin wurschtle ich bereits seit 1983 mit diesen Kisten herum, das sind 30 Jahre! Na ihr kleinen Hackerchen, hatten eure Eltern euch damals überhaupt schon „gebohrt“?

 

Sichert eure Blogs!

Ich empfehle dringend jedem von euch, daß ihr eure Blogs absichert. Dazu gehören allerdings nicht nur entsprechende Plugins, sondern diese wie auch das ganze System müßen immer auf dem neuesten Stand gehalten werden und das regelmäßige Backup für Notfälle darf man auch nie vergessen! Jede Software hat ihre Lücken, die immer wieder geschlossen werden. Mit Plugins kann man jedoch sehr viel erreichen, wie man an den gesperrten IP-Adressen erkennen kann. Im eben verlinkten Artikel habe ich meine 7 wichtigsten WordPress-Plugins zum Thema Sicherheit aufgelistet, schaut sie euch mal an!

 

Mein Fazit:

Ein kurzer Artikel zu einem großen Thema! Doch trotz der Kürze habe ich aufzeigen können, wie selbst ein einziges Plugin und ein nicht vorhandener „Admin“ ein WordPress-Blog sicherer machen kann. Mit den von mir im meinem verlinkten Artikel stehenden Plugins ist so ziemlich jeder Bereich gedeckt, welcher eventuell ein Risiko darstellen könnte. Gerade „Limit Login Attempts“ ist meiner Meinung nach jedoch das Plugin, welches den meisten Schaden verhindern kann!

100% Sicherheit im Blog gibt es nicht, das sollte jedem von uns klar sein. Man kann es aber mit so Kleinigkeiten wie eben einem Plugin dazu beitragen, daß man es einem Angreifer so schwer wie nur möglich macht. Als langjähriger Blogger weiß ich sehr gut, welche Arbeit ein eigenes Blog macht. Gerade deshalb ist es wichtig, daß ein anderer diese unsere Arbeit nicht oder eben nur äußerst schwer zerstören kann!

Eine wichtige Die wichtigste Rolle spielt dabei, daß ihr auf keinen Fall einen Admin namens „admin“, „Admin“ oder auch „Administrator“ habt! Das wäre nämlich ungefähr so, wie wenn ihr einem Einbrecher einen Schlüssel von einer Tür mit zwei Schlössern gebt. Das erste Schloß (Admin) kann er gleich selbst aufsperren, für das Zweite (Paßwort) braucht halt ein bißchen länger!

Die zweitwichtigste Rolle spielt dann eben euer Paßwort, das auf keinen Fall zu einfach sein darf! Der Name eurer Katze oder so geht mal gar nicht, denn den kennt sowieso jeder.  :mrgreen: Das Paßwort sollte mindestens 8 Zeichen lang sein und aus Klein-, Großbuchstaben, Zahlen und Sonderzeichen bestehen. Jedes weitere Zeichen erhöht die Sicherheit rapide, so daß ein Knacken des Selben immer schwerer bis unmöglich wird. Meines hat wie bereits weiter oben erwähnt ungefähr 20 Zeichen (Es können auch mehr oder weniger sein, das wird hier nicht verraten! ;-) ), das bereitet auch einem Supercomputer ziemliche Kopfschmerzen! :mrgreen:

 

Nun wünsche ich euch allen noch einen schönen Tag!

Sonnige Grüße aus der sonnigen Prunkhalle von TmoWizard’s Castle zu Augsburg

Euer Zauberadmin (NEIN, das ist auch nicht der richtige Name!  :mrgreen: )

Mike, TmoWizard

WP-Plugin Limit Login Attempts: Einbruchsversuche auf TmoWizard’s Castle! von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.