Brute Force Attacken erfolgreich vermeiden

500 – Internal Server Error beheben
13. November 2016
Content Delivery Network (CDN) Setup
13. November 2016

Eines der vielen Probleme, dass beim Arbeiten mit einem CMS vorkommen kann, ist ein sogenannter Brute Force Angriff. Dabei wird durch einen Bot versucht, sich in das Backend einer Internetseite einzuloggen. Die Brute Force Technik zeichnet sich dadurch aus, dass innerhalb kürzester Zeit viele unterschiedliche Passwort Kombinationen ausprobiert werden, um das richtige herauszufinden. Meist erkennt der Hoster die ungewöhnlich hohen Zugriffe auf die Login Seite und sperrt den Zugriff auf das Backend für alle Benutzer.
Im Fall von WordPress zielt der Brute Force Angriff auf die Standardseite für Logins ab, wp-login. Das Backend befindet sich bei WordPress unter der URL /wp-admin, dass trotz eines erfolgreichen Login nicht mehr erreichbar ist, sobald der Hoster den Zugriff gesperrt hat. Stattdessen findet eine Umleitung auf die IP 127.0.0.1 statt, welches für den localhost steht, also den eigenen Rechner. Ist diese Sperre erst einmal im System, lässt sich nicht mehr auf das Backend zugreifen.

Brute Force vermeiden mediaagentur in berlin

Was auf der einen Seite dem eigenen Schutz und der WordPress Seite dient, kann gleichzeitig ziemlich ärgerlich sein, wenn man als Betreiber einer Seite, nicht mehr in das Backend der eigenen Seite kommt.
Eine Möglichkeit sich davor zu schützen ist, das Verlegen der Standard Login Seite von /wp-login auf ein anderes Verzeichnis. Da es sich bei einem Brute Force Angriff nur um eine Routine handelt, die davon ausgeht das Verzeichnis unter wp-login zu finden, kann man sich durch das Ändern des Verzeichnis vor solchen Angriffen schützen.

Benötigt wird

  • FTP Zugangsdaten
  • rename wp-login.php Plugin
  • Browser Erweiterung zum Editieren von Quelltext (Firebug)

Themen

  • Schutz vor Brute Force Angriffen per rename wp-login Plugin
  • Zugriff nach 127.0.0.1 Umleitung auf das Backend wieder freigeben

Vor einem Brute Force Angriff

Einem Brute Force Angriff vorzubeugen und die Sperre des Systems zu vermeiden, ist relativ einfach. Eine der ergiebigsten Methoden ist dabei, mit Hilfe eines Plugins die Login Seite von /wp-login auf eine andere URL zu verlegen. Zum einen ist das durch das schon von uns vorgestellte Plugin WP Security & Firewall möglich oder zum anderen auch durch das Plugin, Rename wp-login.php, welches keinen anderen Zweck erfüllt außer die Login Seite zu verschieben.
Nutzt man das Plugin Rename wp-login.php findet sich nach der Installation des Plugins unter Einstellungen und Permalinks ein neuer Menüpunkt. Unter der Überschrift rename wp-login.php lässt sich jetzt jeder beliebiger Name für die neue Login Seite eingeben.

Brute Force vermeiden mediaagentur in berlin

Weitere Schritte sind nicht nötig. Ab sofort findet sich die Seite für den Login unter der neuen URL und hilft dabei, WordPress sicherer zu machen. Um in Zukunft wieder auf wp-login.php als Standard Login Seite zu wechseln, reicht es aus, das Plugin zu deaktivieren.
Zu beachten ist, dass bei cache Plugins wie WP Super Cache oder W3 Total Cache die neue Bezeichnung zu den nicht zu cachenden Seiten hinzugefügt werden sollte.

Nachdem das Backend durch den Hoster gesperrt wurde

Sollte eine Brute Force Attacke im laufenden Betrieb der Seite stattgefunden haben und der Hoster eine Sperre vor das Backend gelegt haben, gestaltet sich die Lösung ein wenig komplizierter. Versucht man sich von jetzt an in das Backend einzuloggen, erfolgt ein redirect auf die eigene IP 127.0.0.1.

Um das Problem zu beheben, muss der FTP der Seite aufgerufen und die Datei wp-login.php im root Verzeichnis in eine beliebige andere umbenannt werden, also z.B. test.php. Wichtig ist dabei nur, dass das .php als Teil des Namen bestehen bleibt.
Danach wird die neue Login Seite aufgerufen. Also Anstatt www.musterdomain.de/wp-login wird die Login Seite nun über www.musterdomain.de/test erreicht. Auf der Seite angekommen wird per Firebug oder einem anderen Editor im Browser nach dem <form> Tag gesucht und die Bezeichnung /wp-login in /test umgeschrieben.

Brute Force vermeiden mediaagentur in berlin

Über das <form> Tag wird dem Button zum Senden der Login Daten ein neues Ziel zugewiesen, jetzt nicht mehr wp-login sondern test heißt. Ohne diese Änderung findet das formular nicht die PHP Datei, auf die es sich beziehen soll.

Wenn alles nach Plan funktioniert hat, befindet man sich nun wieder im Backend der eigenen Seite. Über den FTP wird die Datei test.php wieder in ihren ursprünglichen Namen wp-login.php umbenannt. Ohne sich vorher wieder auszuloggen, kann jetzt zu den Schritten aus dem vorherigen Abschnitt übergehen und mithilfe des Plugin rename wp-login.php der Login Seite ein neuer Name gegeben werden.

Bei der Lösung handelt es sich zwar nur um einen workaround, da die Seite wp-login immer noch vom Hoster geblockt wird, was einem nun allerdings relativ egal sein kann, da man das Backend ohne diese Seite erreicht.

Fazit

Auch nach einer Brute Force Attacke und Sperrung des Backends, kann das Problem immer noch relativ schnell gelöst werden. Trotzdem sollte man mehrere Möglichkeiten der Vorbeugung in Betracht ziehen und mit einem Plugin wie WP Security & Firewall Brute Force Attacken einschränken, bevor sie überhaupt stattfinden. Ein Security Plugin sollte daher zu jeder WordPress Installation dazu gehören.

Ähnliche Einträge