WordPress User-ID 1 und Admin
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
administrator
angreifer
aufpassen
auslese
bot
geheimdienst
golem
http
idee
komplett auslesen
lieber login
religion
schaffen
sicherheit
stichwort
unbedingt vertrauen
url
verbreiten
zertifikat
zugriff
-
Hallo
Es ist ja allgemein bekannt, dass WordPress-Angreifer häufig User mit der UID 1 bzw. dem Namen »Admin« angreifen, da das die Standardwerte für den Administrator sind. Selbstverständlich habe ich daher auf allen meiner Blogs die UID verändert und es existiert kein Benutzer mit dem Benutzernamen »Admin«.
Wäre es vielleicht klug, einen solchen Benutzer (»Admin« mit User-ID »1«) mit der Rolle »Abonnent« und einem schlechten Passwort zu erstellen, um mögliche Angreifer dorthin zu locken? Oder wäre es Schwachsinn?Abstimmung (Nur eine Auswahl möglich)
Gute Idee ;-) 33,33 % (2 Stimmen) Erhöhtes Sicherheitsrisiko 50 % (3 Stimmen) Bringt nichts, ist aber auch nicht schädlich 16,67 % (1 Stimme) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Es macht durchaus Sinn, einen sogenannten Honeypot zu legen, um einen potentiellen Angreifer zu beschäftigen. Allerdings musst du aufpassen, dass keiner der User Admin-Rechte hat, mit denen du die Einträge macht, sonst kommen die darüber ja ran. Ich nehme mal an, dass man bei Wordpress die nutzerliste nciht öffentlich einsechen kann, oder es unterbinden kann, dass sie eingesehen wird, oder?
Schlechtes Passwort ist immer eine schlechte Idee, selbst für einen Honeypot... sollen die sich lieber die Zähne daran ausbeißen und dann sehen, dass der Aufwand umsonst war... AUßerdem nirgends drüber sprechen, welche Maßnahmen du ergreifst. kennt ein Angreifer deine Maßnahmen, kann er bestimmte deiner Sicherheitsmaßnahmen umgehen und Zeit sparen.
Es ist zwar in der Open Source-Community verpönt, aber man kann Sicherheit auch durch unbekannte Maßnahmen schaffen. Da WP ein bekanntes System ist, was quelloffen ist, hast du sowieso schon das Problem, wenn jemand deine WP-Version kennt, dass er auch die bekannten Bugs nutzen kann, die anderswo aufgedeckt wurden.
Um noch mehr Sicherheit zu schaffen, könntest du auch einzelne Module umschreiben, musst dann aber bei Updates aufpassen.
Übrigens könntet du auch über die IP einschränken, aus welchem IP-bereich sich der Nutzer anmelden kann auf die Admin-Accounts, aber ich denke, dafür müsstest du das Modul auch umschreiben. Wenn du zum Beispiel nur über Telekom reingehst, könntest du die IP-Bereiche der Telekomm rausfildern. Wenn dann jemand versucht über Kabel-Deutschland reinzugehen, würde derjenige selbst mit Korrekten Login-Daten keine Chance haben, da rein zu kommen, womit du die Angriffsfläche nochmals minimierst.
Hofe, meine Anregungen haben dir weiter geholfen.
Beitrag zuletzt geändert: 28.2.2014 10:35:51 von sebulon -
Ja, vielen Dank. Und ja, du liegst richtig mit der Annahme, dass User nicht öffentlich eingesehen werden können, abgesehen von BuddyPress, das ich momentan nicht nutze.
-
funnyweb schrieb:
Hallo
Es ist ja allgemein bekannt, dass WordPress-Angreifer häufig User mit der UID 1 bzw. dem Namen »Admin« angreifen, da das die Standardwerte für den Administrator sind.[...]
wer heutzutage noch solch Standards setzt, braucht sich wirklich nicht wundern, wenn seine Seite mir nichts Dir nichts übernommen wird ... -
Hallo
Bringt absolut nichts.
1. Fall: Angreifer bekommt Zugriff auf "admin", der keine Rechte hat -> im schlimmsten Fall wird ein Exploit genutzt um Rechte zu erlangen
2. Fall: Angreifer bekommt keinen Zugriff und es ändert sich nichts im Vergleich zur vorherigen Konfiguration.
Dann vielleicht lieber Login nur über SSL erlauben, vielleicht kommen einige Bots damit nicht zurecht (v.a. wenn es ein selbst signiertes Zertifikat ist) und nebenbei kann die liebe NSA dein Passwort nicht am nächsten Internetknoten mitschneiten.
mfg -
voloya schrieb:
Gute Idee, vielleicht kaufe ich mir mal ein Zertifikat. Aber ganz gewiss nicht wegen der NSA, 1. weil die nichts Schlimmes damit anstellen darf, 2. weil meine Homepage völlig transparent sein darf. Da der 1. Grund eher auf andere Kriminelle zutrifft, sollte man diese eher als »Feind« ansehen als die NSA, die zwar äußerst kritisch zu betrachten ist, aber keinen Schaden auf der Homepage anrichten wird.
[…] Dann vielleicht lieber Login nur über SSL erlauben, vielleicht kommen einige Bots damit nicht zurecht (v.a. wenn es ein selbst signiertes Zertifikat ist) und nebenbei kann die liebe NSA dein Passwort nicht am nächsten Internetknoten mitschneiten. […]
Beitrag zuletzt geändert: 2.3.2014 10:05:55 von funnyweb -
voloya schrieb:
Natürlich kann man auf so etwas nicht unbedingt vertrauen, aber es wäre sehr dumm von einem Geheimdienst, illegale Inhalte, Massenmails oder Ähnliches über einen privaten Webspace zu verbreiten.
[…]
funnyweb schrieb:
Aber ganz gewiss nicht wegen der NSA, 1. weil die nichts Schlimmes damit anstellen darf, 2. weil meine Homepage völlig transparent sein darf.
Stimmt, schließlich durfte der Staat 1930 mit dem Bekenntnis zu einer Religion auch nichts Schlimmes anstellen. […] -
Hallo
funnyweb schrieb:
Natürlich kann man auf so etwas nicht unbedingt vertrauen, aber es wäre sehr dumm von einem Geheimdienst, illegale Inhalte, Massenmails oder Ähnliches über einen privaten Webspace zu verbreiten.
Also bitte, wieso sollte ein Geheimdienst so etwas seltsames tun?
Es wird hauptsächlich darauf hinauslaufen, dass unverschlüsselte Passwörter am nächsten Internetknoten rausgefiltert und in irgendwelchen Datenbanken schlummern werden - man weiß ja nie wann man sie mal braucht.
Es geht außerdem nicht um einen zwingend bevorstehenden Missbrauch, sondern darum, dass es möglich ist.
mfg -
Mal ganz davon abgesehen, dass aktuelle SSL Zertifikate sich unter bestimmten Bedingungen komplett auslesen lassen (Stichwort: heartbleed, Golem: Keys auslesen mit OpenSSL), ist ein SSL Zertifikat eine gute Idee!
Gegen einen Honeypot ist generell nichts einzuwenden, aber dieser sollte dann keine wichtigen Daten enthalten. Man will ja auch sehen, was nach dem Einbruch noch passiert, wie oft erfolgreich eingebrochen wird und was das Ziel dessen ist.
Warum ist es gefährlich ein schwaches PW auf den Lock-Account zu haben? Ganz einfach: es gibt auch Bugs dessen Ausnutzung nur funktionieren, wenn du bereits eingeloggt bist, nennt sich dann Rechteerhöhung. Würd ich mich nur ungern aussetzen. -
blackfog schrieb:
Mal ganz davon abgesehen, dass aktuelle SSL Zertifikate sich unter bestimmten Bedingungen komplett auslesen lassen (Stichwort: heartbleed, Golem: Keys auslesen mit OpenSSL), ist ein SSL Zertifikat eine gute Idee!
Für diese Sicherheitslücke gibt es bereits einen Patch bei den meisten Betriebssystemen. (Ich habe meinen Server gerade aktualisiert ...)
Es wird wenig bringen, einen Honeypot mir dem Usernamen "Admin" zu erstellen, da der Bot dann diesen Account versucht zu nutzen und das bloß RAM des Servers verbraucht.
Generell geben auch Bots auf, wenn sie keine Schwachstelle finden.
Das Beste ist, die Bots auszusperren! (Verbraucht weniger RAM als ein Honeypot und ist sicherer.)
Dafür eignen sich Dienste wie "Project Honey Pot" (projecthoneypot.org - es gibt ein WordPress Plugin) oder "BotScout" (botscout.com). -
Vielen Dank für die Tipps, ich werde kurzzeitig den Honeypot weiterführen und nach einiger Zeit löschen, um seine Wirkung zu testen.
Beitrag zuletzt geändert: 24.4.2014 15:21:48 von funnyweb -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage