Verdächtige Benutzerregistrierung (WP)
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
adresse
angriff
bot
definieren
einstellung
entsprechenden bugs
installation
jemand
login
machen
plattform
problem
registrieren
registrierter abonnent
rolle
standard
uhr
unbefugt zutritt
url
verschaffen
-
Hallo
Auf einer neuen WordPress-Installation, mit der ich gerade eine Webseite aufbauen möchte, hat sich heute um 8:50 Uhr jemand unter dem Namen »naeb8« registiert. Die Seite ist nicht einmal unter einer TLD erreichbar, sondern nur unter einer .tk-Subregistrieren">domain. Google listet wohl kaum solche Adressen auf.
Daher erscheint es mir sehr merkwürdig, dass sich jemand (unter so einem Namen) registriert. Ich bin mir nicht sicher, aber es könnte bestimmt sein, dass das kein Mensch war – zumindest keiner mit guten Absichten.
Laut WP hat der User zwar nur die Rolle eines Abonnenten – aber könnte trotzdem ein Sicherheitsrisiko bestehen? Oder mache ich mir unnötig Sorgen?Abstimmung (Mehrfachauswahl möglich)
Vermutlich ist es ein neugieriger Internetsurfer 12,5 % (3 Stimmen) Warum bist du auch so blöd und lässt schon im Testmodus jeden Benutzer sich registrieren?! 29,17 % (7 Stimmen) bestimmt harmlos 12,5 % (3 Stimmen) könnte ein Bot-Angriff sein 20,83 % (5 Stimmen) potenzielle Angreifer haben keine (bzw. nur geringe) Chance 12,5 % (3 Stimmen) Pass auf! 12,5 % (3 Stimmen) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Google listet ganz hinten auch solche seiten auf.
Bei bestimmte suchbegrife kann eine solche Seite aber weiter vorne stehen vorallem wen die Seite neu ist.
Das es ein bot angriff oder sonst irgendwas ist ist sehr unwahrscheinlich da nur ein account registriert wurde
Beitrag zuletzt geändert: 27.2.2014 19:53:31 von hpage -
Hallo
funnyweb schrieb:
Auf einer neuen WordPress-Installation, mit der ich gerade eine Webseite aufbauen möchte, hat sich heute um 8:50 Uhr jemand unter dem Namen »naeb8« registiert. Die Seite ist nicht einmal unter einer TLD erreichbar, sondern nur unter einer .tk-Subdomain.
Wenn du eine IP-Adresse von dem hast, überprüfe die mal bei stopforumspam. Wenn sie aus Asien oder von einem Hoster ist, ist es zu 99,999% spam. ;)
mfg
Beitrag zuletzt geändert: 27.2.2014 21:27:48 von voloya -
Wenn das WP so eingestellt ist, daß neue Artikel automatisch an die Blogfeeds gemeldet werde, ist es nicht verwunderlich, daß die Spammer den Blog schnell gefunden haben. Eine deutlichere Einladung kann man nicht verteilen. :D
hpage schrieb:
Das es ein bot angriff oder sonst irgendwas ist ist sehr unwahrscheinlich
Ja, nee, ist klar. Mal wieder ein gewohnt qualifizierter Fachbeitrag von hpage.
Kein Botnet und auch sonst nichts. Ergo ein Mirakulum.
Ich gehe von einer automatisierten Registrierung aus, da es für einen menschlichen User nicht die Mühe und den Aufwand wert wäre, sich bei einem gänzlich unbekannten Blog anzumelden.
Mit derartigem Spam muß man als WP-Nutzer einfach leben. Alle Maßnahmen, die derartiges verhindernkönnten, hinken immer der Kreativität der Spammer nach.
Ein besonderes Risiko für deinen Blog sehe ich durch diese Anmeldung nicht. Sofern nur die Rolle des Abonnenten freigeschaltet ist, ist es unwahrscheinlich, daß dieser Nutzer Schlimmes anrichten kann.
-
Hm, ich kenn mich mit WordPress jetzt nicht so aus, aber kann man als registrierter Abonnent bei WordPressFunktionen nutzen, die potenziell die Möglichkeit eröffnen, die Plattform zu übernehmen bei entsprechenden Bugs? joomla hatte unlängst zum Beispiel das problem mit dem Bild-Uploader, dass man sich darüber unbefugt zutritt in die geschützten Bereiche verschaffen kann... Vielleicht will jemand deine Plattform kapern und unter deinem Namen als Spammer für Ungarische Kreditkartenbetrüger fungieren... aber solange du eh noch keine INhalte oder popularität hast würde ich dir folgendes raten: lass den Typen drauf und protokolliere mit, wann der was macht, also login-vorgänge, Get/Post-Parameter und dann siehst du ja, was der vorhat. Falls wordpress das nicht unterstützt, musst du das einbauen. bei Joomla oder Drupal geht das recht einfach, wie es bei WP aussieht, weiß ich nicht.
besser ist, man kann die Gefahr einschätzen, solange nix passiert, als dass man dann bei einem gut laufenden Blog die böse Überraschung überlebt. -
sebulon schrieb:
Man erhält eigentlich keine weiteren Berechtigungen (nur »read«, die jeder nicht registrierte auch hat) und zusätzlich die Möglichkeit, sich eben zu registrieren und seine eigenen Daten anzupassen. Außerdem bekommt man z. B. bei bbPress die Möglichkeit, Forumsbeiträge zu schreiben u. s. w.
Hm, ich kenn mich mit WordPress jetzt nicht so aus, aber kann man als registrierter Abonnent bei WordPressFunktionen nutzen, die potenziell die Möglichkeit eröffnen, die Plattform zu übernehmenbei entsprechenden Bugs?
bzw. entsprechenden Plugins. Ich nutze derzeit bbPress, Better WP Security, CubePoints, Polylang, WP-Pro-Quiz und WP QuickLaTeX. Aber ich glaube nicht, dass diese solche Sicherheitslücken aufweisen.
joomla hatte unlängst zum Beispiel das problem mit dem Bild-Uploader, dass man sich darüber unbefugt zutritt in die geschützten Bereiche verschaffen kann...
Bei WP ist der Mediendateienuploader erst ab der Rolle »Autor« verfügbar.Vielleicht will jemand deine Plattform kapern und unter deinem Namen als Spammer für Ungarische Kreditkartenbetrüger fungieren... aber solange du eh noch keine INhalte oder popularität hast würde ich dir folgendes raten: lass den Typen drauf und protokolliere mit, wann der was macht, also login-vorgänge, Get/Post-Parameter und dann siehst du ja, was der vorhat. Falls wordpress das nicht unterstützt, musst du das einbauen. bei Joomla oder Drupal geht das recht einfach, wie es bei WP aussieht, weiß ich nicht.
Gute Idee, kennt jemand ein Plugin dafür? -
Plugin kenne ich jetzt keins, aber es wären auch nur 10 Zeilen zu schreiben, Ich wüsste jetzt ohne Dokumentation zu lesen nur nciht, wie man das als Plugin für WordPress schreibt. Es kann auch sein, dass eine entsprechende Protokollfunktion bereits eingebaut ist, man nur das Loglevel anpassen muss.
Aber Achtung: sobald du damit Produktiv gehen willst, musst du die Loglevel wieder senken, weil derartige Datensammlung mit dem Datenschutzgesetz kollidiert... deswegen machen bevor du Leute drauf hast. und in die Nutzungsbestimmungen reinschreiben, dass du dir den Analyseschritt vorbehälst, um Unregelmäßigkeiten zu beobachten... und passwort rausfiltern bei login, sonst kann das noch zu anderen Problemen führen... -
Solange eine WP-Seite aufgebaut wird, sollte sich keiner registrieren können, umso weniger Streß und Arbeit hast Du.
Also einfach in den Standard-Einstellungen definieren, daß sich keiner registrieren kann ... -
domaindroid schrieb:
Ja, mittlerweile habe ich das auch schon so eingestellt.
Solange eine WP-Seite aufgebaut wird, sollte sich keiner registrieren können, umso weniger Streß und Arbeit hast Du.
Also einfach in den Standard-Einstellungen definieren, daß sich keiner registrieren kann ... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage