Limitiertes Login

Login Angeregt durch die neuerliche Erwähnung des WordPress-Plugins Limit Login Attempts – das auch bei der empfohlenen Änderung des Login-Namens durchaus sinnvoll ist, um es Möchtegern-Hackern schwerer zu machen – bei Sascha und dem Kommentar von Sylvi dort hab ich mal wieder in die Statistik des Plugins reingeschaut, wo aufgezeichnet wird, wie oft welche IP-Adresse mit welchem versuchten Loginnamen ausgesperrt wurde.

Ich weiß nicht genau, seit wann ich dieses Plugin installiert habe; die erste Mail über zu viele gescheiterte Login-Versuche, die ich in meinem Archiv gefunden habe, datiert jedenfalls vom März 2011. Wie dem auch sei, meine Limit-Login-Attempts-Statistik für dieses Blog sieht so aus:

  • „Admin“ 126x (max. 12 vom selben) von 55 IP-Adressen
  • „admin“ 427x (max. 32) von 212 IPs
  • „wp_admin“ 5x von 1 IP
  • „administrator“ 1x
  • „adm“ 2x von 2 IPs, einer davon hat auch „manager“ und „test“ versucht
  • „cimddwc“ 6x von 6 IPs

Ganz schön viele – jetzt stelle man sich mal vor, wie frei Möchtegern-Login-Hacker unzählige Passwörter ausprobieren können, wenn man noch „admin“ als Loginnamen und kein Plugin wie Limit Login Attempts laufen hat…

Der mit den 32 Lockouts mit „admin“ hat’s auch mit „wieder“, „numerologie“, „maria“ und „472“ versucht – warum auch immer. Wird wohl ein Bot gewesen sein, der diese Wörter gefunden und halt diesen Herbst mal ausprobiert hat. Die IP-Adresse gehört wohl einem Server in den Niederlanden und hat sich nun einen Eintrag in meiner .htaccess1 verdient, damit er sich gar nicht mehr bemühen muss…

Tja, und dann war da noch ein Texaner, der hat’s damit versucht:

Hawementynota

Offenbar kein gültiges Wort. Ob der sich im Blog geirrt hat und sich eigentlich bei sich einloggen wollte, wo er dies als Loginnamen hat? Oder warum sollte ein Hacker sowas versuchen?

  1. order allow,deny
    deny from 5.39.218.136

    …ggf. weitere…
    allow from all []

6 Kommentare

  1. jL

    Der Texaner hat den Namen sicherlich geträumt oder in seiner Kristallkugel gefunden.

    Ich habe das Plugin auch wieder aktiviert, wobei es mich beim ersten Einsatz (vor ein bis zwei Jahren) irgendwann immer selber ausgesperrt hat und dann habe ich es deaktiviert. Hoffentlich passiert das jetzt nicht mehr, denn es gab schon wieder unzählige admin-Versuche.

  2. t

    hi,
    momentan (glaube nach dem WordPress 3.5 Update) hagelt es bei meinem BLog und der Homepage auch an login versuchen.
    Ich begrüße die jetzt mit der htpasswd-Abfrage und einem freundichen „F. you hackers“…
    Manche haben echt nix besseres zu tun :-)

    • c

      Auch ’ne nette Methode. :)
      (Wobei es mich wundern würde, wenn das am Update liegt und nicht einfach zeitlicher Zufall ist.)

      • t

        keine Ahnung, auf jedenfall war es gestern echt heftig. und diese Versuche waren nur bei den Blogs, die ich auf 3.5 aktualisiert habe. Es ist ja jetzt das XML-RPC immer aktiv. Vielleicht daher?

Schreibe einen Kommentar an thomas

Alle Angaben sind freiwillig. Die E-Mail-Adresse wird nicht veröffentlicht oder weitergegeben.

  • Moderation: Wer zum ersten Mal kommentiert, dessen Kommentar muss manuell von mir freigeschaltet werden.
  • Benimm dich! Keine Beleidigungen, keine rechtswidrigen Inhalte u.s.w.! Sollte eigentlich selbst­verständlich sein, oder...?
  • Webseite: Nichts gegen Blogs mit Werbung, aber rein kommerzielle Links sind unerwünscht und werden gelöscht. Reine Spam-Kommentare natürlich auch.
  • Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <sub> <sup> <big> <small> <u>