Aktualisiert am 20. April 2018
Wordfence gehört zu den ersten Sicherheitstools für WordPress, die Programmierer und die Community der User haben hier interessante Mythen über das Absichern einer WordPress Installation zusammengestellt. Quelle: wordfence.com
Was sind Brute-Force-Angriffe?
Brute-Force-Angriffe treten auf, wenn bösartige Bots die Login-Seite immer wieder attakieren, um Benutzernamen und Passwort herauszufinden, um als Administrator auf das Back-End der Website zugreifen zu können, um von dort Schaden aus anzurichten. Es gibt Maßnahmen, wie man die Login-Seite verstecken kann. Mittels Brute-Force werden z.B. Botnets erschaffen, mittels denen Konzerne erpresst werden können.
“Botnetze sind Zusammenschlüsse von Computern, die Internetdiebe mithilfe von Schadsoftware gekapert haben und über die sie dann mit geballter Rechenkraft Angriffe auf weitere Computer fahren.” Mehr dazu: Spiegel online
Wordfence beschreibt hier z.B. die Notwendigkeit von vielen Plugins, den Wp-Admin-Ordner genau dort zu erwarten, wo er standardmäßig liegt – was gegen das Verstecken spricht, wenn man es nicht professionell durchdacht und durchgeführt hat. Weiterhin würde jeder Hacker, der etwas von seinem Business versteht auch dieses Verzeichnis finden: “Schutz durch Undurchsichtigkeit” (security through obscurity) würde eher Ärger machen als Nutzen bringen.
Schließlich würde Mehrheit der Angriffe nicht die Login-Seite angreifen, die der User benutzt, sondern die XMLRPC anzugreifen, die eine Schnittstelle ist, damit der Nutzer über Apps WordPress verwalten kann – z.B. die JetPack-App, über die mehrere WordPress-Seiten verwalten werden können.
Siehe hierzu auch den Artikel von DrWeb.de – WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten