Kommentare zu: Angriff auf mein Blog

Von: Susanne

Susanne — Mon, 04 Feb 2013 21:06:07 +0000

Als Antwort auf Sascha.

Lieber Sascha,
den Artikel habe ich bereits gesehen, der Test hat ergeben, dass mein Theme diese Archivfunktion nicht unterstützt. Da ich ungern in der htaccess herumpfusche, möchte ich diesen Schutz lieber nicht anwenden. Ich habe viel zu viel Angst, etwas kaputt zu machen. Ich habe eine andere Sicherung eingezogen und hoffe mal, es funktioniert.
LG, Susanne

Von: Sascha

Sascha — Mon, 04 Feb 2013 18:08:24 +0000

Ein weiteres Problem ist, dass auf deinem Blog dein Username, mit dem du dich einloggst, für jeden einsehbar ist. Einige Hacker lesen diesen Namen inzwischen aus und versuchen es dann direkt damit, statt mit dem falschen Login-Namen admin. Ich hab da neulich mal drüber berichtet, wie man diese Lücke schließen kann:

http://gesichtet.net/2012/12/gefahrenquelle-schliessen-wordpress-benutzername-fuer-jeden-einsehbar/

Thomas hat seinen Schutz noch weiter ausgebaut und nutzt neben „Limit Login Attempts“ auch noch zusätzlich den Schutz via htaccess:

http://www.nicht-spurlos.de/login-attempt-schutz-reicht-nicht-mehr-aus/4538/

Daran sollten sich die Hacker für die nächste Zeit erst einmal kräftig die Zähne ausbeißen ;)

Von: Jörn

Jörn — Mon, 04 Feb 2013 17:46:25 +0000

Vielen Dank für diesen wichtigen Sicherheitshinweis!

Von: Rewolve44

Rewolve44 — Mon, 04 Feb 2013 15:19:40 +0000

Ja ich bin auch froh das ich Limit Login Attempts habe, diese Angriffe sind zeitweise schon sehr extrem. Ich habe zusätzlich noch einen extrem langes Passwort mit Zahlen und Sonderzeichen gesetzt, damit fühle ich mich doch ziemlich sicher.

Lg,
Rewolve44

Von: Marcus

Marcus — Mon, 04 Feb 2013 14:42:17 +0000

Das Problem habe ich leider auch seit einiger Zeit. Ich hatte dann versucht, mittels .htaccess die Zugriffe auf das Backend auf IP-Adressen aus dem Bereich meines Providers zu beschränken. Das hat auch prima funktioniert. Leider ist dann auch der Zugriff auf passwortgeschützte Beiträge auch nur noch aus dem IP-Bereich meines Providers möglich.

Da ich seit kurzem einen passwortgeschützten Beitrag habe, muste ich das Verfahren erstmal wieder deaktivieren. Schon bekomme ich wieder mehrere Mails täglich von „Limit Login Attemps“.