Nun heute auch bei mir, bei meinem unbedeutenden kleinen Blog gab es heute den ersten von mir bemerkten Ausfall wegen zu vieler Zugriffe auf die Seite.
Wer hätte das gedacht?
Da nützt es wenig, wenn man den Blog eigentlich abgesichert hat und aber doch so viele Zugriffe statt fanden, dass er nicht erreichbar war. Obwohl, bei Apache-Servern braucht es da manchmal nicht besonders viele gleichzeitige Zugriffe. Vielleicht sollte ich angesichts der gehäuften Hacking Angriffe auf WordPress-Blogs in letzter Zeit, auf ligthtpd oder nginx umsetzen? Dann liefe vielleicht wenigstens der Blog noch, während sich die Angriffe abmühen, das Passwort heraus zu finden. Aber so wichtig ist mein Blog auch nicht, als dass es auffallen würde, wenn er mal für ein paar Stunden nicht erreichbar wäre.
Doch heute habe ich sie mal life erwischt beim Brute-Forcen. Dank eines Plugins das häufigere ungültige Anmeldeversuche sperrt und protokolliert, bekam ich seit gestern Abend schon wieder häufiger Mail-Nachrichten über diese ungültigen Anmeldeversuche. Und als ich mal nachschauen wollte, ob der Blog noch läuft, konnte er tatsächlich nicht mehr erreicht werden weil er oder der Web-Server meines Hosters überlastet war. Es betraf aber nur die HTTP Web-Ausgabe, denn die Datenbank und der Webspace per FTP waren noch erreichbar.
Also machte ich einfach mal den Laden dicht, indem ich eine index.html hoch ludt und die Verzeichnisse des Blogs umbenannten und die User in der Datenbank verändert hatte.
Dann liefen zwar immer noch die Anfragen an wp-admin ein aber das Verzeichnis gab es dann nicht mehr, und 404 lässt sich vom Server schneller ausgeben als dass WordPress zuerst prüft, ob es den User gibt und ob das Passwort stimmt und ob es einer der vielen Hackingversuche wäre. Ausserdem hatte ich gerade nicht mehr Zeit, schließlich ist Wochenende (…und das wissen die Angreifer auch).
Trotzdem, so hatte ich für eine Zeit lang meine Ruhe und Angriffe liefen völlig nutzlos ins Nirvana.
Natürlich ist es von Vorteil, wenn man nicht mehr den Standardnamen „admin“ als Benutzer hat, aber sicher darf man sich dessen trotzdem nicht sein, denn in der Protokoll-Liste stehen noch einige andere Namen mit denen versucht wird, in WordPress einzudringen. Und man weiß ja, steter Tropfen höhlt den Stein und selbst wenn man einen Login-Blocker drin hat, so gibt es je IP immer einige Anmeldeversuche bis gesperrt wird. Man möchte ja selbst nicht für Stunden oder Tage ausgesperrt werden, nur weil man sich mal vertippt hat (und das geht schneller als man denkt).
Wie in manchen Berichten zu lesen war, hatten die Angreifer am letzten Wochenende bis zu 90.000 verschiedene IPs mit denen sie angreifen konnten. Multipliziert man dann die erlaubten Versuche damit, ergibt sich ein ordentliches Sümmchen an Usernamen und Passwörtern in kurzer Zeit, die die Hacker-Maschine (ja, Maschine, denn da hockt kein Hacker hintendran sondern da läuft eine Software) ausprobieren kann bevor sie alle gesperrt wurden. Es ist wie Lotto spielen, irgendwann könnte ein Treffer dabei sein, auch wenn es unwahrscheinlich ist.
Man probiert es eben mit Gewalt und Masse, darum Brute Force.
Solange man nicht wirklich gehackt wurde, ist es eher unterhaltsam anzusehen aber auf die Dauer kann das auch nerven. Denn was ist, wenn die Angriffe immer mehr werden? Es kämen ja durch Erfolge beim Hacken immer neue IPs dazu und es würde sich wie ein Schneeball-System entwickeln bis gar nichts mehr geht?
Mal sehen wie sich das weiter entwickelt.
Jedenfalls ist nichts mit Freude über die hohe Besucherzahl (eigentlich nur viele Zugriffe von wenigen Besuchern) und die Liste der vergeblichen Anmeldeversuche wird immer länger.Denn wirklich stoppen kann ich die Brute-Force Angriffe mit all den mir zur Verfügung stehenden Mitteln nicht. Das ist wie eine Lawine und die HTTP 500 und 503 Meldungen häufen sich.
Aber eine gewisse Sichtbarkeit muss mein Blog dennoch im Internet haben, sonst wäre da nicht so viele Angriffe drauf. Muss ich mich nun geehrt fühlen, angesichts der Aufmerksamkeit?
Schaun wer mal.
Hier noch ein paar Links, wen’s interessiert, zur weiteren Information:
http://blog.sucuri.net/2013/04/the-wordpress-brute-force-attack-timeline.html
http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/
http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/