Antworten auf deine Fragen:
Neues Thema erstellen

wp-login mit sichern mit .htpasswd

Mr_Quick

Ich bin so - wie Ich bin

Hallo

Da mir Goo.le nicht das ausspuckt was ich wissen möchte, frage ich hier nach.

Da meine Webseite anscheinend in einem Botnetz verankert ist, meldet mir Limit Login Attempts das die IP xxx versucht hat sich über wp-login.php mit dem Benutzernamen "admin" usw. Zugriff auf meine Seite zu verschaffen.
Im Vorfeld genannt. Benutzer "Admin" gibt es bei mir nicht.

Durch die händische Eingabe der IP Daten in die .htaccess um die jeweiligen IPs zu sperren, war erfolgreich.
Nur kurz darauf kamen weitere Bots aus unterschiedlichen Ländern und versuchten es ebenfalls und das ohne Erfolg. Somit auch diese IPs in der ".htaccess" gesperrt.

Da ich diese Daten nicht alle in die .htaccess eintragen möchte, kam mir die Idee mit dem ".htpasswd".

Dazu habe ich folgende Daten eingetragen.

PHP:
# Auth protect wp-login.php
<Files wp-login.php>
AuthName "Restricted Admin-Area"
AuthType Basic
AuthUserFile meinedomain/.htpasswd
Require valid-user
</Files>

# Deny access to important files
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
</FilesMatch>

Ich habe es mit den unterschiedlichsten Browsern auf Windows und Mac getestet, die Funktion ist gegeben.

Was ich nun nicht weiß, kann da dann trotzdem ein Bot durchkommen, oder scheitert er schon an dieser Hürde ".htpasswd".


Vielen Dank im Vorfeld

Gruß

Mr_Quick


//edit:

Wordpress liegt in aktueller Form vor
 

netbandit

Aktives Mitglied

Hallo,

ich habe die von Dir beschriebene Vorgehensweise mit LimitLoginAttempts in kombi mit htaccess schon ca 2 Jahre bei 13 WP-Portalen im Einsatz.

Vor der htaccess war die Liste der Sperrungen in LimitLoginAttempts in allen Installationen unendlich lang. Aber nun ist eigentlich Ruhe, nix mehr in der Liste. Allerdings habe ich nun um so mehr ForbiddenLogs in den Statistiken (Awstats). Aufhören werden die Angriffe auf WP-Installationen wohl nie, aber an der htaccess scheinen bislang alle zu scheitern.

Also mit der htaccess in Verbindung mit LimitLoginAttempts bist Du auf jeden Fall ein ganzes Stück weiter.

Grüße :)
 

Mr_Quick

Ich bin so - wie Ich bin

Ich hab die .htaccess schon seit Anfang meiner Wordpress Karriere ;) aktiv.
Nur seit geraumer Zeit, häufen sich die Login Versuche der Bots, deswegen das mit dem .htpasswd zusätzlich.

Es war früher mal so, das Sie gekommen sind und nach zig Misserfolgen gaben Sie auf, nur jetzt ist es eben schlimmer geworden.

Weißt Du ob die Bots durch die .htpasswd Abfrage durchkommen und den normalen wp-login.php weiter nutzen können?
 

netbandit

Aktives Mitglied

Meinte auch eigentlich die Passwortabfrage für die wp-login.php. Die .htaccess alleine ist ja bei WP schon mit mod_rewrite dabei. Für die Passwortabfrage wird die ja wie von Dir beschrieben erweitert und eine .htpasswd mit dem User/Passwort angelegt.

Also bislang ist noch kein Bot bis zur wp-login.php gekommen. Passwort in htaccess/htpasswd sollte natürlich auch hier nicht zu einfach und User nicht gerade "admin" sein

Grüße :)
 
Zuletzt bearbeitet:

Mr_Quick

Ich bin so - wie Ich bin

Also bislang ist noch kein Bot bis zur wp-login.php gekommen. Passwort in htaccess/htpasswd sollte natürlich auch hier nicht zu einfach und User nicht gerade "admin" sein

Grüße :)


Keine Sorge, das Konto "Admin" wurde auf jeder Seite entfernt, denn das mag ich nicht ;)

Es sind unterschiedliche Benutzernamen und Passwörter.

Bis jetzt hat es kein Bot mehr geschafft, juhu, endlich wieder Ruhe

Thx

Gruß

Mr_Quick
 

lachender_engel

Aktives Mitglied

Ich umgehe diese "Angriffe" in dem ich von vornherein die Loginseite umbenenne.
Also bei mir heißt die URL nicht sondern z.B. oder nur .
Dadurch kann kein Bot-Netz die Logins "erraten" da es gar nicht erst auf die Login-Seite kommt.
 

netbandit

Aktives Mitglied

Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?

Grüße :)
 

Mr_Quick

Ich bin so - wie Ich bin

Ich umgehe diese "Angriffe" in dem ich von vornherein die Loginseite umbenenne.
Also bei mir heißt die URL nicht sondern z.B. oder nur .
Dadurch kann kein Bot-Netz die Logins "erraten" da es gar nicht erst auf die Login-Seite kommt.

Gibt es dazu eine Anleitung wo man dies mal quer lesen kann, denn dies klingt Interessant


Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?

Grüße :)


Das würde mich dann auch interessieren
 

lachender_engel

Aktives Mitglied

Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?
Du kannst das in Deiner Theme function.php mit Hooks umsetzen oder Dich eines Plugins bedienen. Zwei Vertreter, die auch in Kombination funktionieren, findest Du hier:
https://wordpress.org/plugins/rename-wp-login/
https://wordpress.org/plugins/custom-login-url/

Egal welchen der beiden Wege Du einsetzt, beide sind unabhängig vom Wordpress-Update.
 

netbandit

Aktives Mitglied

Ist ja klasse. Als ich das letzte Mal nach so etwas geschaut habe, gab es "noch" nichts Zufriedenstellendes. Alle scheiterten am Update.

Werde es auf jeden Fall bei einer Installation testen.

"Man wird alt wie 'ne Kuh und lernt immer noch dazu"

Danke :)
 

Mr_Quick

Ich bin so - wie Ich bin

Du kannst das in Deiner Theme function.php mit Hooks umsetzen oder Dich eines Plugins bedienen. Zwei Vertreter, die auch in Kombination funktionieren, findest Du hier:
https://wordpress.org/plugins/rename-wp-login/
https://wordpress.org/plugins/custom-login-url/

Egal welchen der beiden Wege Du einsetzt, beide sind unabhängig vom Wordpress-Update.


Vielen Dank

Das werde ich bei meiner Testumgebung mal durchspielen.
Und im Anschluß gleich mal auf WP4.0 gehen, dann sehe ich was passiert
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Statistik des Forums

Themen
118.614
Beiträge
1.538.351
Mitglieder
67.525
Neuestes Mitglied
mgtaucher
Oben