Antworten auf deine Fragen:
Neues Thema erstellen

Einloggversuche trotz Schutz per .htaccess

fraudiebels

give and take

Guten Tag allerseits,

ich habe bei einer Wordpressinstallation den Adminbereich per .htaccess folgendermaßen geschützt:

# Auth protect wp-login.php
<Files wp-login.php>
AuthName "Restricted Admin-Area"
AuthType Basic
AuthUserFile /home/www/xxxxx.de/.htpasswd
Require valid-user
</Files>

# Deny access to important files
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
</FilesMatch>

Ich habe zwecks Frühwarnung auch noch das Plugin „Limit Login Attempts“ installiert und bekam heute 2 Emails über Sperrungen wg. ungültiger Anmeldeversuche.

Im access_log finde ich zu den entsprechenden IPs solche Einträge:

- - [12/Jul/2015:12:30:26 +0200] "POST /xmlrpc.php HTTP/1.0" 200 402 "-" "-" www.xxxxx.de

Bedeutet das, dass man mit diesen xmlrpc Abfragen den Schutz auf Serverebene aushebeln kann?

Für Aufschlauung wär ich sehr dankbar!
 

tr4ze

Mod | Forum

Teammitglied
PSD Beta Team
Jein, das ist kein Einlogversuch.
xmlrpc.php ist die Datei die Aufgerufen wird. Die ist für deinen Feed und einige Ajax Sachen verantwortlich und ist standardmäßig von außen zu erreichen. Sie antwortet auch brav mit 200. Da der Request aber von einem unautorisierten Nutzer kommt gibts die 402 gleich hinterher.
Kein Problem also... bis jetzt!!!!!!
Wenn das allerdings ein Bruteforce Angriff ist wird irgendwann statt einer 402 da eine 200 stehen, und dann ist die Ka..e am dampfen.

HIer stehen genauere Infos und auch Gegenmaßnahmen -> https://www.saotn.org/huge-increase-wordpress-xmlrpc-php-post-requests/
 

fraudiebels

give and take

@tr4ze @netbandit - vielen Dank für eure Infos!

Es ist kein Bruteforce Angriff - einzelne Versuche alle paar Stunden mit Nutzername „admin“ (den es natürlich nicht gibt ;) - Passwort ist auch lang und komplex)

Trotzdem habe ich jetzt über wp-config die xmlrpc-Schnittstelle abgeschaltet.
 

Mr_Quick

Ich bin so - wie Ich bin

@tr4ze @netbandit - vielen Dank für eure Infos!

Es ist kein Bruteforce Angriff - einzelne Versuche alle paar Stunden mit Nutzername „admin“ (den es natürlich nicht gibt ;) - Passwort ist auch lang und komplex)

Trotzdem habe ich jetzt über wp-config die xmlrpc-Schnittstelle abgeschaltet.


Kommen bei dir immer noch Anmeldeversuche durch?
So lese ich dieses nämlich.

Wenn deine .htaccess richtig geschrieben ist, dann müsste der Angreifer/Spambot schon an der ersten Hürde scheitern (AuthName "Restricted Admin-Area")

Bei mir kommt erst ein Anmeldefenster, wenn ich dort die richtigen Daten eintrage, komme ich erst zum tatsächlichen Login meiner Homepage.

Gruß

Mr_Quick
 

tr4ze

Mod | Forum

Teammitglied
PSD Beta Team
Wenn deine .htaccess richtig geschrieben ist, dann müsste der Angreifer/Spambot schon an der ersten Hürde scheitern (AuthName "Restricted Admin-Area")
Na wieso denn das?
Die .htaccess dort oben schützt genau 3 Dateien, mehr nicht.
Die xmlrpc.php gehört nicht dazu, was in der Standardkonfig wohl von den Entwicklern auch so gewollt ist. Schließlich handelt es sich hier um eine Schnittstelle(Web-API) die mit der Aussenwelt kommunizieren soll(Its not a bug, its a feature).
Da ist ein Zugriff von aussen nichts ungewöhnliches.
Problematisch wirds wenn besonders viele (DDOS, wo in einem früheren WP Security Update schon gegengesteuert wurde. ) Anfragen kommen.
Oder versucht wird verschiedene User/Passwort Kombinationen durchzuprobieren.
Wer nur Useraccounts mit starkem Passwort und Usernamen verwendet braucht sich da nicht wirklich sorgen zu machen. Die Chance gehackt zu werden geht gegen Null.

Wen es trotzdem nervt, nimmt man halt die betreffende Datei mit in die .htaccess auf.
Beispielsweise in die AuthName "Restricted Admin-Area", was allerdings auch zu Komforteinbußen führen kann.

Besser währe es über Recent/Fail2ban ein kleines IDS auf dem Server selber zu Konfigurieren. Dafür brauchts aber Rootrechte oder einen netten Hoster der das macht.

Aber wie gesagt, wer sein System UptoDate hat, starke Kombinationen aus Usernamen und Passwort verwendet sollte sich nicht allzugroße Sorgen machen und das ganze als ganz normales Hintergrundrauschen abhaken.
 

fraudiebels

give and take

@Mr_Quick - nein, über wp-login.php kommt nix mehr durch, da ist die erste Authentifizierung wirksam vor.

Nur - wie ich schon schrieb - protokolliert das bei mir auch installiert Plugin "Limit Login Attempts" trotzdem ungültige Anmeldeversuche und macht IP-Sperrungen.

Beim Blick in die Logfiles erwiesen sich diese Anmeldeversuche als Versuche über die xmlrpc.php.

Allerdings mache ich mir inzwischen tatsächlich nicht mehr viele Gedanken - mein System ist nämlich UpToDate und das Passwort ist echt stark :)

Außerdem ist nach dem Eintrag in die wp-config.php eh Ruhe.
 

Mr_Quick

Ich bin so - wie Ich bin

In diesem Falle habe ich deinen Text anfangs falsch verstanden bzw. interpretiert.

@tr4ze

Vielen Dank für die ausführliche Erläuterung.
Wenn ich aber diese Schnittstelle blockiere, kann man z.B.: nicht mehr bloggen oder dergleichen

@fraudiebels

Bei mir läuft ebenfalls das "Limit Login Attempts" , aber über diese Schnittstelle ist bis jetzt nichts aufgelistet worden


Mein System ist ebenfalls auf aktuellem Stand
 

tr4ze

Mod | Forum

Teammitglied
PSD Beta Team
Vielen Dank für die ausführliche Erläuterung.
Wenn ich aber diese Schnittstelle blockiere, kann man z.B.: nicht mehr bloggen oder dergleichen
Bloggen sollte man schon noch können, nur halt nicht mehr per XML-RPC.
Am besten mal bei Wikipedia lesen was XML-RPC ist.
wird es kurz im Wordpress Kontext erklärt.

Wordpress selber braucht die Schnittstelle nicht, und wer seine Inhalte über das normale Backend im Browser pflegt kann das einfach abschalten.

Packt man die Schnittstelle allerdings in eine .htaccess (wie oben beschrieben) fragt der Server jedesmal nach einer Autorisierung, im schlimmsten Fall kommt keine Verbindung zu stande.
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
118.635
Beiträge
1.538.449
Mitglieder
67.556
Neuestes Mitglied
Ggirl
Oben