Gen4 VPS & Dedicated Server
Gen3 VPS & Dedicated Server

GoDaddy Hilfe

Wir haben die Seite für Sie so gut wie möglich übersetzt. Sie können sie sich aber auch auf Englisch ansehen.

Häufige WordPress-Angriffe

Es gibt zwei Dateien, die üblicherweise für WordPress-Brute-Force-Angriffe verwendet werden: xmlrpc.php und wp-login.php. In diesem Artikel erfahren Sie, wie Sie Hinweise auf einen Angriff finden.

Angriffe auf xmlrpc.php

Was ist XML-RPC?

XML-RPC (xmlrpc.php) ermöglicht Remote-Updates für WordPress von anderen Anwendungen. Dies ist bei aktuellen Versionen von WordPress nicht mehr erforderlich. Wenn Sie diese Option aktivieren, bleibt Ihre Website vunerable. Es ist üblich, Brute-Force-Angriffe mit dieser Datei zu finden.

Woran erkenne ich, dass ich angegriffen werde?

Wenn Sie innerhalb kurzer Zeit mehrere Zugriffsversuche von der gleichen IP-Adresse finden, deutet dies möglicherweise auf einen Angriff hin.

Im folgenden Beispiel hat IP 12.34.56.789 mehrmals versucht, auf die Seite xmlrpc.php zuzugreifen ( 10 / Sep / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML wie Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, wie Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, wie Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, wie Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Angriffe auf wp-login.php (wp-admin).

Angreifer verwenden häufig Bots, die Dutzende, wenn nicht Hunderte von Verbindungen gleichzeitig versuchen, Zugriff auf Ihr wp-admin-Panel zu erhalten.

Woran erkenne ich, dass ich angegriffen werde?

Wenn Sie innerhalb kurzer Zeit mehrere Zugriffsversuche von der gleichen IP-Adresse finden, deutet dies möglicherweise auf einen Angriff hin. Autorisierte Benutzer, die sich ihr Passwort nicht mehr merken können, zeigen in der Regel zwischen den Versuchen einige Minuten an.

Im folgenden Beispiel hat IP 12.34.56.789 mehrmals versucht, auf die Seite wp-login.php zuzugreifen ( 10 / Sep / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, wie Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML wie Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, wie Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Nächste Schritte

  • Überprüfen Sie die Eigentümerschaft der IP mithilfe einer Whois-Suche. Wenn die IP aus China stammt und Sie keine Kunden / Besucher aus China haben, ist die IP möglicherweise bösartig. Wenn die IP-Adresse beispielsweise zu Cloudflare gehört, ist es unwahrscheinlich, dass sie bösartig ist.
  • Blocken Sie den Angriff ab.