[Berlin]
Vor Monaten ein Hacker-Angriff auf eine meiner Seiten, die auf WordPress basiert: Der Angriff wurde geblockt – der erste Schreck folglich nicht ganz so groß, gibt es doch diverse Sicherheits-Plugins.
Nur gingen die Angriffe munter weiter. Der Login ist doch versteckt, wie kann das sein? Aber selbst da machte ich mir keine Gedanken. Auch der war mehrfach abgesichert. Einzig jeden Tag die Info über gut 100 gescheiterte Login-Versuche zu erhalten nervte. Ich setzte die Login-Möglichkeiten auf 1 herunter und sperrte somit jeden Server, über den ein Angriff kam, über längere Zeit aus. Aber die Welt ist groß und es gibt scheinbar ziemlich viele Server, bei denen sich ein Hacker bedienen kann. Also setzte ich eine IP-Sperre. Die Angriffe gingen zurück und ich nahm an, nun gehen meinem ungebetenen Besucher die Server aus. Weit gefehlt, nach einer Weile ging es wieder los.
Altlast XML-RPC
Die Lösung hieß XML-RPC (Extensible Markup Language Remote Procedure Call) oder besser die Abschaltung dieses Moduls. Denn dabei handelt es sich um ein Remote-Modul aus alten Tagen von WordPress. Es ist veraltet und wird kaum noch benötigt, weil es bereits Alternativen gibt. Allerdings will WordPress gerne abwärtskompatibel sein und so verblieb das Modul, welches nun mehr oder weniger ein Sicherheitsrisiko im System darstellt. Wie ich recherchiert habe, kann über dieses Modul mehr als ein Login-Versuch gestartet werden, was es für Hacker-Angriffe interessant macht.
Wie werde ich XML-RPC los?
Es gibt diverse Code-Schnipsel, die ins System eingefügt werden können. Allerdings gibt es auch wesentlich komfortablere Plugin-Lösungen. In meinem Fall war es „Remove XML-RPC“. Ich konnte bisher keine weiteren Angriffe auf meine Seite feststellen. Von einem Löschen der Datei wird allgemein abgeraten, da sie immer noch Teil von WordPress ist und vermutlich beim nächsten Update eh wieder dabei ist.
Hinweis/Haftung:
Der Artikel basiert auf eigenen Erfahrungen. Die Nennung des Plugins ist unverbindlich, es wird keine Haftung übernommen.