wp-login mit sichern mit .htpasswd

[Mr_Quick]

Hallo

Da mir Goo.le nicht das ausspuckt was ich wissen möchte, frage ich hier nach.

Da meine Webseite anscheinend in einem Botnetz verankert ist, meldet mir Limit Login Attempts das die IP xxx versucht hat sich über wp-login.php mit dem Benutzernamen "admin" usw. Zugriff auf meine Seite zu verschaffen.
Im Vorfeld genannt. Benutzer "Admin" gibt es bei mir nicht.

Durch die händische Eingabe der IP Daten in die .htaccess um die jeweiligen IPs zu sperren, war erfolgreich.
Nur kurz darauf kamen weitere Bots aus unterschiedlichen Ländern und versuchten es ebenfalls und das ohne Erfolg. Somit auch diese IPs in der ".htaccess" gesperrt.

Da ich diese Daten nicht alle in die .htaccess eintragen möchte, kam mir die Idee mit dem ".htpasswd".

Dazu habe ich folgende Daten eingetragen.

# Auth protect wp-login.php
<Files wp-login.php>
AuthName "Restricted Admin-Area"
AuthType Basic
AuthUserFile meinedomain/.htpasswd
Require valid-user
</Files>

# Deny access to important files
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
</FilesMatch>

Ich habe es mit den unterschiedlichsten Browsern auf Windows und Mac getestet, die Funktion ist gegeben.

Was ich nun nicht weiß, kann da dann trotzdem ein Bot durchkommen, oder scheitert er schon an dieser Hürde ".htpasswd".


Vielen Dank im Vorfeld

Gruß

Mr_Quick


//edit:

Wordpress liegt in aktueller Form vor

 

[netbandit]

Hallo,

ich habe die von Dir beschriebene Vorgehensweise mit LimitLoginAttempts in kombi mit htaccess schon ca 2 Jahre bei 13 WP-Portalen im Einsatz.

Vor der htaccess war die Liste der Sperrungen in LimitLoginAttempts in allen Installationen unendlich lang. Aber nun ist eigentlich Ruhe, nix mehr in der Liste. Allerdings habe ich nun um so mehr ForbiddenLogs in den Statistiken (Awstats). Aufhören werden die Angriffe auf WP-Installationen wohl nie, aber an der htaccess scheinen bislang alle zu scheitern.

Also mit der htaccess in Verbindung mit LimitLoginAttempts bist Du auf jeden Fall ein ganzes Stück weiter.

Grüße

 

[Mr_Quick]

Ich hab die .htaccess schon seit Anfang meiner Wordpress Karriere aktiv.
Nur seit geraumer Zeit, häufen sich die Login Versuche der Bots, deswegen das mit dem .htpasswd zusätzlich.

Es war früher mal so, das Sie gekommen sind und nach zig Misserfolgen gaben Sie auf, nur jetzt ist es eben schlimmer geworden.

Weißt Du ob die Bots durch die .htpasswd Abfrage durchkommen und den normalen wp-login.php weiter nutzen können?

 

[netbandit]

Meinte auch eigentlich die Passwortabfrage für die wp-login.php. Die .htaccess alleine ist ja bei WP schon mit mod_rewrite dabei. Für die Passwortabfrage wird die ja wie von Dir beschrieben erweitert und eine .htpasswd mit dem User/Passwort angelegt.

Also bislang ist noch kein Bot bis zur wp-login.php gekommen. Passwort in htaccess/htpasswd sollte natürlich auch hier nicht zu einfach und User nicht gerade "admin" sein

Grüße

 

[Mr_Quick]

Also bislang ist noch kein Bot bis zur wp-login.php gekommen. Passwort in htaccess/htpasswd sollte natürlich auch hier nicht zu einfach und User nicht gerade "admin" sein

Grüße

Keine Sorge, das Konto "Admin" wurde auf jeder Seite entfernt, denn das mag ich nicht

Es sind unterschiedliche Benutzernamen und Passwörter.

Bis jetzt hat es kein Bot mehr geschafft, juhu, endlich wieder Ruhe

Thx

Gruß

Mr_Quick

 

[lachender_engel]

Ich umgehe diese "Angriffe" in dem ich von vornherein die Loginseite umbenenne.
Also bei mir heißt die URL nicht sondern z.B. oder nur .
Dadurch kann kein Bot-Netz die Logins "erraten" da es gar nicht erst auf die Login-Seite kommt.

 

[netbandit]

Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?

Grüße

 

[Mr_Quick]

Ich umgehe diese "Angriffe" in dem ich von vornherein die Loginseite umbenenne.
Also bei mir heißt die URL nicht sondern z.B. oder nur .
Dadurch kann kein Bot-Netz die Logins "erraten" da es gar nicht erst auf die Login-Seite kommt.

Gibt es dazu eine Anleitung wo man dies mal quer lesen kann, denn dies klingt Interessant

Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?

Grüße

Das würde mich dann auch interessieren

 

[lachender_engel]

Hmmm... also ist das Verzeichnis wp-admin umbenannt, die Datei wp-login.php (die liegt ja nicht im wp-admin-verzeichnis) auch?

Wie klappt es denn mit Updates? Werden die Dateien wieder neu angelegt und Du musst diese jedes mal wieder umbenennen?

Du kannst das in Deiner Theme function.php mit Hooks umsetzen oder Dich eines Plugins bedienen. Zwei Vertreter, die auch in Kombination funktionieren, findest Du hier:
https://wordpress.org/plugins/rename-wp-login/
https://wordpress.org/plugins/custom-login-url/

Egal welchen der beiden Wege Du einsetzt, beide sind unabhängig vom Wordpress-Update.

 

[netbandit]

Ist ja klasse. Als ich das letzte Mal nach so etwas geschaut habe, gab es "noch" nichts Zufriedenstellendes. Alle scheiterten am Update.

Werde es auf jeden Fall bei einer Installation testen.

"Man wird alt wie 'ne Kuh und lernt immer noch dazu"

Danke

 

[Mr_Quick]

Du kannst das in Deiner Theme function.php mit Hooks umsetzen oder Dich eines Plugins bedienen. Zwei Vertreter, die auch in Kombination funktionieren, findest Du hier:
https://wordpress.org/plugins/rename-wp-login/
https://wordpress.org/plugins/custom-login-url/

Egal welchen der beiden Wege Du einsetzt, beide sind unabhängig vom Wordpress-Update.

Vielen Dank

Das werde ich bei meiner Testumgebung mal durchspielen.
Und im Anschluß gleich mal auf WP4.0 gehen, dann sehe ich was passiert