*Kopfschüttel* Nachdem vor ein paaar Wochen (ich berichtete) jemand meine Webseite 'live' gespiegelt hatte, was ich aber schnell abstellen konnte, versucht man jetzt auf brutalerem Wege, meine Webseite zu 'knacken'.
Seit gut einer Woche sehe ich Versuche, ein Login auf meiner WordPress-Installation zu erhalten. Dumm nur (für die Angreifer), dass ich über derartige Versuche unterrichtet werde, wenn
- ein Benutzername verwendet wird, der nicht ein registrierter Bnutzer ist
- Mehrere Versuche hintereinander, ein falsches Passwort einzugeben, entdeckt werden
- unnatürlich viele Seitenaufrufe in kürzester Zeit von der gleichen IP-Adresse kommen.
Einmal abgesehen davon, dass meine Installation die IP-Adressen sofort für mehrere Stunden blockiert, ist natürlich selbstverständlich, dass ich die mneisten dieser IP-Adressen (im zweiten Fall auf jeden Fall) längere Zeit auf eine unbefristete Blockliste setze. Meine Installation prüft natürlich immer noch, wie viele Kontaktversuche von der Adresse ankommen, und irgendwann – wenn die letzten versuche lange genug zurück liegen, also nicht schon am nächsten Tag – werde ich die IP-Adressen auch wieder frei geben.
Und ntürlich habe ich auch den WP-typischen Admin-Zugang mit dem Benutzernamen admin auf einen anderen Loginnamen umgeändert. Welchen? Das verrate ich natürlich nicht. Weitere Namen, die schon versucht wurden, sind zum Beispiel Roachware, jibjabst (SRSLY? WTF?), feed, The Roach, admin123, www, alo (ehem. Redakteur) …
Sollte in der Zwischzenzeit die IP-Adresse jemand anderem zugewiesen werden (dynamischer Zuweisung zum Dank) und man meine Seite deshalb nicht mehr sehen können: ein Hinweis wäre nett, dann kann ich den Block schneller wieder lösen.