Das immer mal wieder irgendwelche Bots bei meinen Blogs vorbeischauen und versuchen, das Admin-Paßwort zu knacken, ist schon fast zur Normalität geworden.
Bisher wurde da bei immer stur eine fertige Liste in Höchstgeschwindigkeit durchgerattert.
Heute ist mir eine neue Taktik aufgefallen, die einiges versucht besser zu machen. Die probierten Passwörter (bei putzlowitsch.de) sehen nun so aus (kleiner Ausschnitt):
obsttellers, nachbearbeitet, chinesischen, eren, heidelbeeren, buch, gamma, eintrag, utzlow, unten, lich, jahr, synchronschwimmerinnen, wann, sommersonnenweden, hingegen, etwa, sternschnuppen, filmprojektor, witsch, hoffe, improvisiert, fehlt, damit, mittlerweile, praktisch, augustobwohl, utzlowit, blaue, bildern, tzlowi, gute, hinzugef, gepa, kanuslalom, nzen, lecker, ganze, erwischt, siehe, berschritten, aktuelles, flugbahn, hren, versuche, owit, bildbearbeitung, hand, bereich, halt, bringt, wirklich, marathon, dieser, einfach, zusammen, letzten
Irgendwie kamen mir die Sachen bekannt vor. Und richtig, es sind Wörter, die auf meiner Seite vorkommen.
Obstteller, Heidelbeeren, Sommersonnenwende, Sternschnuppen – alles Begriffe, die in meinen Blogartikeln auftauchnen. Es gibt auch ein paar selsame Wörter wie z.B. berschritten, hinzugef oder nzen. Da scheint der Bot nicht mit den Umlauten zurechtzukommen, denn das soll wohl überschritten, hinzugefügt bzw. Münzen heißen.
Auch interessant ist die Variation bzw. Zerlegung von Putzlowitsch, die in diesen Wortfetzen zu finden ist: utzlow, witsch, utzlowit, tzlowi, omit.
Der Bot hält wahrscheinlich den Seitentitel bzw. die h1-Überschrift oder den in jedem Beitrag auftauchenden Autornamen für besonders relevant und erfolgversprechend.
Nun werden also Inhalte des Blogs selbst als Passwörter probiert und variiert. Und, auch das ist neu, zwischen den Versuchen werden mehrere Minuten Pause eingelegt. Somit geht der Bot möglichen Abwehrmaßnahmen aus dem Weg, die nach einer Anzahl von Fehlversuchen in einem kurzen Zeitraum weitere Versuche blockieren.
Eine neue Qualität bei den Passwort-Krack-Versuchen, würde ich sagen.
Meine Empfehlung daher: Als Passwort nie etwas verwenden, das irgendwie auf der Seite steht bzw. anders herum, das Passwort niemals in einem Artikel auf der Seite veröffentlichen.
Interessante Einblicke :) Ich hatte mal einen Artikel zu WordPress sicherer machen geschrieben -> http://www.igor-ermentraut.de/...wordpress-sicherer-machen.html
Tipp Nr. 4 könnte dabei für alle Leser dieses Artikel sehr nützlich sein. Wenn dann noch irgendeine neue Adresse z.B. /wsrhf statt /wp-login.php für das Login-Formular gewählt wird, dann werden die Bots „keine“ Chance haben.
Hoffe, es hilft einigen etwas weiter :)
…und vor allem den Admin-Login nicht „Admin“ nennen, denn der login-Name dürfte ja (hoffentlich) auch nicht auf der Seite rumliegen :-)
Tja die Bots entwickelns sich halt auch weiter. Die Seiteninhalte durchzutesten sit gar keine so dumme Idee.
Und danke Igor für dne Artikel. Der Tip mit dem wp-login sollte vielen Bots die Arbeit sehr schwer machen.
Von „Erinnere dich an mich“ sollte man auch die Finger lassen, aber das ist sowieso klar.
Wow, werden ja immer „cleverer“ die Kerlchen.
Hier sind auch noch einige Tipps von Adrian, damit der Blog wirklich sicher wird:
http://www.seo4wp.de/wordpress-sicherheit-5-tipps/
Bis jetzt wurde bei mir noch nie das Admin-Passwort geknackt, aber es ist schon interessant wie es immer wieder neue Methoden gibt, Dinge zu Haken. Ich denke in Zukunft muss man hier noch mehr aufpassen.
Also ich habe mir extra ein starkes Adminpasswort ausgesucht, dass kein Bot durch irgendwelche Ausprobiererei herausfinden kann. In der Vergangenheit gab es ja schon immer mal Probleme mit zu lеiсhen Passwörtern.