Kaufe nie die Mühle im Sack

Verteidigung ist die beste Verteidigung

2021-11-07 von Torsten in Kategorie In Mühlen wohl fühlen

Die Sackmühle, die auf dem WordPress-Fork ClassicPress läuft, wurde wochenlang angegriffen, von diversen IP-Adressen aus. Da muss also ein Botnetz am Werk gewesen sein. Ein Check mit einem IP Tracker zeigte, dass die IP-Adressen zu diversen Webhostern gehörten, deutschen und ausländischen.

Es wurde versucht, mit verschiedenen Benutzernamen einzudringen, meistens so was wie admin, demo, test usw. Na ja, so einen leichtsinnig gewählten Benutzernamen habe ich freilich nicht, ferner verwende ich ein praktisch nicht zu erratendes Passwort, und darüber hinaus bin ich gegen Brute-Force-Attacken durch das Sicherheits-Plugin All In One WP Security geschützt. Trotzdem nerven solche Angriffe.

Die Login-Datei war geschützt, hierzu gibt es auch etliche Anleitungen im Netz zu finden, zum Beispiel die folgenden:
Wie du den WordPress Login schützen kannst
wp-login.php mit .htpasswd schützen
Darüber hinaus ist sogar der komplette Admin-Bereich geschützt, also das Verzeichnis wp-admin, und zwar durch einen Passwortschutz auf Webserver-Ebene.

Nichts hat etwas genützt, und in meiner Verzweiflung überlegte ich schon, von WordPress (genauer: ClassicPress) auf das datenbanklose FlatPress umzusteigen. Das wäre mit wahrscheinlich nicht unerheblichem Aufwand verbunden gewesen, und ich hätte auch auf ein paar Funktionalitäten und Annehmlichkeiten von ClassicPress verzichten müssen.

Logos WordPress, ClassicPress, FlatPress

Nun hat sich das Problem aber zwischenzeitlich gelöst, da ich nach erneuter langer Recherche herausgefunden hatte, warum trotz Zugangssperre per .htpasswd immer noch Login-Versuche zum Administrations-Bereich hatten stattfinden können. Es lag nämlich an der Datei xml-rpc.php, zu der ich Zugriffe wohl nicht korrekt, oder jedenfalls erfolglos, gesperrt hatte. Hierüber wird eine Schnittstelle zur Verfügung gestellt, die es erlaubt, sich von entfernten Maschinen ins System einzuloggen oder Blogbeiträge per E-Mail zu verfassen, also nicht direkt über die Weboberfläche – und das stellt ein riesiges Sicherheitsrisiko dar. Nachdem ich kurzerhand diese Datei gelöscht hatte, da ich die Funktionalität überhaupt nicht benötige, hörten die Einbruchsversuche schlagartig auf.

Um einen Wechsel des CMS bin ich also herum gekommen. FlatPress gefällt mir sehr gut, keine Frage. Aber so ein Umzug hätte mich, wie gesagt, eine Menge Zeit gekostet. Außerdem, wie heißt es so schön: Never change a running system, zu Deutsch: Ändere niemals ein funktionierendes System.

Und darüber hinaus habe ich gelernt: Wenn ein Gegenangriff nicht möglich ist, ist halt Verteidigung die beste Verteidigung.

Schreib eine Antwort oder einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mit Absenden deines Kommentars erklärst du dich mit der Speicherung deiner Daten einverstanden, siehe https://www.sackmuehle.de/datenschutz/. Deine Daten werden nur benötigt, um dich gegebenenfalls kontaktieren zu können. Sie werden weder an Dritte weitergegeben noch zu Werbezwecken missbraucht. Deine E-Mail-Adresse wird nicht veröffentlicht.