. .

Kategorie: WordPress RSS-Feed für diese Kategorie

0

WordPress: Brute-Force-Attacken: Admin-Interface per ModRewrite-Engine verbieten

WordPress: Brute-Force-Attacken: Admin-Interface per ModRewrite-Engine verbieten

Laut diesem heise online Artikel fanden seit einigen Monaten vermehrt Brute-Force-Attacken auf WordPress-Installationen statt. Anscheinend um dadurch einen etwas größer angelegten Distributed Denial of Service-Angriff (DDoS) durchführen zu können. Da ich vor einiger Zeit leider auch feststellen musste, dass Brute-Force-Attacken auf die eigene WordPress-Installation durchgeführt wurden, entschloss ich mich, das Admin-Interface per ModRewrite-Engine zu verbieten. Im Wurzelverzeichnis der WordPress-Installation befindet sich bereits unter Umständen eine .htaccess-Datei. Wenn nicht, diese einfach anlegen. (Selbstverständlich kann auch der <VirtualHost>-Bereich in der Apache-Config direkt angepasst werden – usw.) Um den Zugriff auf das Admin-Interface zu verweigern, reichen am Anfang der .htaccess-Datei folgende Zeilen zur

, ,
0

Plugin: mechanic-visitor-counter v.1.8

Da sysalyser.de dringend nach fünf Jahren ein neues Layout benötigte, habe ich mich zur leichteren Handhabe dafür entschieden, ein vorgefertigtes Tool zur Datenverwaltung zu verwenden. Somit bin ich bei WordPress gelandet und habe dabei auch das Plugin „mechanic-visitor-counter“ installiert. Hier ist mir allerdings aufgefallen, dass die Art des Loggings nicht meinen Vorstellungen entsprach. Wiederkehrende Benutzer werden zwar nach Tagen getrennt, aber nicht nach IP, da die IP-Adresse der primäre Schlüssel der dahinterliegenden mySQL-Tabelle ist (nachzuvollziehen bei Standard-Installation der Version 1.8 in der originalen Datei [DocumentRoot]/wp-content/plugins/mechanic-visitor-counter/wp-statsmechanic.php). Daher ist ein mehrfaches Ablegen der IP-Adresse in der Tabelle nicht möglich. Das bedeutet, dass