Ich hatte so etwas schon vor Jahren, und der Artikel dazu ist einer der erfolgreichsten seit Blog-Bestehen. Ich war gestern aus meinem Blog ausgesperrt. Da bekommt man einen zu viel, wenn man das sieht. Ich bin mir nicht sicher, wie das passieren konnte, habe aber ein paar Theorien, die ich hier gern diskutieren möchte. Denn mit großen Abständen ist das hier wiederholt passiert. Und ich habe keine Lust, dass das immer wieder passiert. Also schauen wir mal.
Was war passiert?
BruteForce-Schutz aktiv / brute-force protection active
Die BruteForce-Überwachung hat aufgrund von atypisch Zugriffen den angeforderten Bereich gesperrt. Bitte versuchen Sie es später erneut.
Due to non-standard hits, the access to the requested area has been denied by the brute-force monitoring. Please try again later.
Tja, da stehst du da wie Max in der Sonne und kratzt dir am Hinterkopf. Mir ist dieser Fehler gestern passiert, als ich mich von meinem Blog abmelden wollte. Nun ja, es gibt ja glücklicherweise einen reichhaltigen Fundus, den ich da beackern kann, und also bin ich auf meinen eigenen Artikel gestoßen. Das ist dieser hier vom September 2013. Ich habe den abgearbeitet und war dann relativ schnell fertig. Meine Fragen wurden aber dennoch nicht damit beantwortet. Diese sind:
- Wie konnte das wieder passieren?
- Können Änderungen am Blog daran schuld sein?
- Können Änderungen am verwendeten Computer daran schuld sein?
Da ich nicht weiterkam und ehrlich gesagt etwas verunsichert bin, habe ich mal herum gefragt, aber noch nichts sinnvolles zurück bekommen. Daher breite ich mal hier meine Gedanken aus. Vielleicht komme ich so für mich selbst weiter. Ich denke nämlich ernsthaft, dass hier im Blog drei Dinge dafür verantwortlich waren, dass genau das passiert ist. Auf die komme ich im Einzelnen zu sprechen.
Wie konnte das passieren?
Das Problem ist ja, dass das Dashboard gesperrt wurde, weil zu viele Anmeldeversuche vorhanden waren. Das wurde mir ja vor der Implementierung meiner obigen Lösung zum Verhängnis. Ich hatte da einen Login-Schutz hier im Blog. Und irgendwie kam es da zu dieser Sperrung. Wie gesagt, lösen konnte ich das mit der Lösung, eine Datei namens „.htpasswd“ zu erstellen und die „.htaccess“ anzupassen. Das ist alles oben in dem verlinkten Artikel beschrieben.
Jetzt ist es so, dass ich in den letzten Tagen vom Sicherheitsaspekt her hier im Blog Änderungen vorgenommen habe. Und ich kann mir sehr gut vorstellen, dass das Resultat dieser Änderungen das Problem verursacht haben. Schauen Sie einfach mal, was ich mir da so überlegt habe.
Änderungen am Blog
Ich habe hier im Blog zwei Änderungen vorgenommen. Die stellt kein Besucher fest. Aber ich als Einziger mit Anmeldedaten. Folgendes habe ich gemacht:
- Ich habe das Plugin WordFence in Betrieb genommen. Ich versprach mir davon gewaltige Verbesserungen in Sachen Sicherheit.
- Da sie nicht mehr nötig war, habe ich meine obige Lösung zurückgebaut. Die sollte durch WordFence mit übernommen werden.
Soweit mein Gedanke. Und wenn ich mir die Funktionalitäten von WordFence so anschaue, dann ist da sicherlich der Gedanke richtig. Allerdings habe ich so ein ganz blödes Gefühl, dass WordFence eben doch problematisch auf Shared Webhosting arbeitet. Ich hatte entsprechendes gelesen. Aber eben auch gegenteiliges. Die Meinungen gehen da weit auseinander. Die Einen behaupten, dass das Plugin ab Virtual Server aufwärts genutzt werden soll. Die Anderen behaupten, dass es reichlich egal ist. Meine Meinung ist, dass WordFence nicht sauber auf Shared Webhosting läuft.
Sonstige Änderungen?
Der Sicherheitsgedanke nimmt derzeit viel Hirn in Anspruch. Und also habe ich einen Passwort-Manager eingeführt. Wer hier im Blog blättert, findet den Artikel zu LastPass. Ich kann mir sehr gut vorstellen, dass die Anmeldedaten vielleicht doppelt geschickt werden und deshalb WordPress – also die Routine WP-Security, soweit ich weiß – von einer Brute-Force Attacke ausging. Ja, es wirkt wie um die Ecke gedacht, aber wer als Blogger so etwas erlebt hat, denkt sich so etwas.
Allerdings glaube ich nicht, dass die Wahrscheinlichkeit sehr hoch ist, dass vom Passwort-Manager aus eine Brute-Force Attacke ausging. Wenn doch, würde das auf einen Schlag alle Passwort-Manager ruinieren. Und das kann ich mir nun nicht ernsthaft vorstellen. Dann schon eher, dass eine Netzwerkstörung oder derartiges vorlag, wodurch IP-Pakete planlos umher kreiselten und dadurch WordPress von einer Attacke ausging.
Was bedeutet das jetzt?
Es war sicherlich Zufall, was da gestern passiert ist. Aber am Ende bedeutet das, dass man die Sicherheit von WordPress nie als unwichtig betrachten sollte. Am Ende hilft es nichts, ich lasse meinen manuell eingebauten Brute-Force Schutz aktiv und hoffe, dass erstmal nichts weiter passiert. Ein automatisierter Umzug meines Blog – zum Beispiel zu einem anderen Anbieter – kommt so natürlich nicht infrage. Das konnte ich schon mal feststellen. Nun ja, damit kann ich leben. Aber die Sicherheit meines Blogs ist mir dann doch entschieden wichtiger.