Unerwünschte Anmeldeversuche
Websites werden immer wieder gehackt. Dies betrifft nicht nur die Internetpräsenzen großer Firmen, sondern leider auch solche von Privatpersonen und Weblogs. Erst kürzlich gab es Berichte, dass eine kritische Sicherheitslücke in der Kommentarfunktion von WordPress Millionen von Blogs bedroht. Dazu kommen täglich Versuche, Kommentar- und Link-Spam zu platzieren, sowie unerwünschte Anmeldeversuche. Doch es gibt Mittel und Wege, sich dagegen zu schützen!
Wer kennt das nicht als E-Mail-Nutzer: täglich Spam im Postfach! Aber auch wer ein Weblog betreibt, kennt das: oft schlecht verfasste Kommentare, die nur ein Ziel haben, nämlich Werbung und Links auf kommerzielle Seiten im WWW zu platzieren. Dies ist zwar höchst ärgerlich, aber noch relativ ungefährlich. Es sei denn, man folgt einem solchen Verweis und gerät dabei auf Seiten mit schädlichen Inhalten. Viele haben dagegen Vorkehrungen in Form von Spam-Filtern oder Plug-ins (Erweiterungen) getroffen, die Spam-Mails oder -Kommentare in einen virtuellen Papierkorb befördern oder gar nicht erst zur Veröffentlichung freigeben.
Schlimmer wird es, wenn gleich versucht wird, ganze Websites oder Weblogs zu hacken. Dies betrifft nicht nur die Internetpräsenzen großer Firmen, sondern leider auch solche von Privatpersonen. Kürzlich schreckten mehrere Meldungen über eine kritische Sicherheitslücke in der Kommentarfunktion von WordPress, mit der die Kontrolle über die Administratorenrechte übernommen werden kann, und über das „Spiegeln“ und Umleiten ganzer Inhalte auf eine andere Top-Level-Domain besonders die Betreiber von Blogs.
Zudem versuchen immer wieder Leute, sich in das Weblog anzumelden, um danach Inhalte einzustellen, zu verändern oder gar zu löschen. Wer in seinem Content-Management-System entsprechende Plug-ins wie etwa Limit Login Attempts einsetzt, erfährt dadurch, wie viele unerwünschte Anmeldeversuche es gab, und kann diese temporär sperren.
Hilfsmittel gegen unerwünschte Anmeldeversuche
Viele Bedroher, denn um solche handelt es sich, geben jedoch nicht auf, bleiben hartnäckig und versuchen immer wieder, sich erneut anzumelden. Hiergegen hilft nur, sich die IP-Adressen (IP: Internetprotokoll, im Folgenden kurz IP genannt), die aus vier Zahlenblöcken bestehen, zu notieren, sich eine .htaccess-Datei zu erstellen bzw. die vorhandene zu bearbeiten, diese IPs mit dem Vermerk „Order deny“ in diese einzutragen. Schließlich lädt man diese Datei (wieder) auf den Server hoch. Versucht jemand mit einer dieser IPs sich erneut anzumelden oder nur auch die entsprechende Website aufzurufen, erhält er künftig die Fehlermeldung 403 mit dem Hinweis, dass der Zugriff verweigert wurde. Eine genaue Anleitung zum Erstellen bzw. Bearbeiten einer .htaccess-Datei gibt der Autor auf Anfrage in Form eines freundlichen Kommentars gern, solche finden sich allerdings auch im WWW!
Stattdessen hier eine Liste der vom Autor bislang gesperrten IPs und wie ein solcher Eintrag in die .htaccess aussehen kann:
Order deny,allow
Deny from 37.57.200.107
Deny from 64.34.173.227
Deny from 80.54.28.35
Deny from 91.207.7.54
Deny from 103.9.100.191
Deny from 118.172.56.193
Deny from 119.6.144.70
Deny from 141.85.227.117
Deny from 144.76.219.151
Deny from 170.130.179.132
Deny from 177.0.157.151
Deny from 178.47.129.46
Deny from 183.223.82.165
Deny from 212.13.97.196
Deny from 212.82.217.9
Unerwünschte Anmeldeversuche? Seitdem der Autor diese IPs gesperrt hat, blieb er seit nun inzwischen mehreren Wochen von solchen verschont! Sorgen können allerdings die hier früher häufigen, inzwischen spärlicher werdenden Versuche machen, mittels der Erweiterung CKEditor (bis 2009 FCKeditor) auf die Inhalte zuzugreifen. Wem aber der WordPress-interne Editor völlig ausreicht und daher diese Erweiterung nicht installiert hat, darf sehr hoffen, dass solche Versuche auch in Zukunft scheitern werden, zumal häufig nicht das Content-Management-System selbst für Sicherheitslücken verantwortlich ist, sondern (nicht aktualisierte) Erweiterungen!
Es gibt auch Plugins, die die Login-Seite umbenennen. Das hilft eigentlich ziemlich gut gegen Eindringlinge.
Und zusätzlich kann man über die .htaccess-Datei den Zugang zum Login nur für den IP-Adressbereich freischalten, den man vom eigenen Internet-Service-Provider zugeteilt bekommt. Das geht so:
# — Adminbereich absichern —
Order Deny,Allow
Deny from all
Allow from xx.xxx.
Die Kreuzchen symbolisieren die ersten beiden Blöcke deines Adressbereichs.
Danke, auch eine Idee! Dazu müsste ich die Seiten-URI der Anmeldung in die .htaccess-Datei einbauen.
Habe übrigens inzwischen durch meine Logfile-Analysen herausbekommen, dass die Angriffe mittels dieses Editors gar nicht meinen Notizen hier gelten, sondern meinem eigenen Internetauftritt, was ich durchaus interessant finde!
Pingback:Spam von der eigenen E-Mail-Adresse – Ronalds Notizen
Pingback:Osterglocken? Osterläuten? – Ronalds Notizen