kostenloser Webspace werbefrei: lima-city


WordPress User-ID 1 und Admin

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    funnyweb

    Kostenloser Webspace von funnyweb

    funnyweb hat kostenlosen Webspace.

    Hallo :wave:
    Es ist ja allgemein bekannt, dass WordPress-Angreifer häufig User mit der UID 1 bzw. dem Namen »Admin« angreifen, da das die Standardwerte für den Administrator sind. Selbstverständlich habe ich daher auf allen meiner Blogs die UID verändert und es existiert kein Benutzer mit dem Benutzernamen »Admin«.

    Wäre es vielleicht klug, einen solchen Benutzer (»Admin« mit User-ID »1«) mit der Rolle »Abonnent« und einem schlechten Passwort zu erstellen, um mögliche Angreifer dorthin zu locken? Oder wäre es Schwachsinn?

    Abstimmung (Nur eine Auswahl möglich)

    Gute Idee ;-)
    33,33 % (2 Stimmen)
    Erhöhtes Sicherheitsrisiko
    50 % (3 Stimmen)
    Bringt nichts, ist aber auch nicht schädlich
    16,67 % (1 Stimme)
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Es macht durchaus Sinn, einen sogenannten Honeypot zu legen, um einen potentiellen Angreifer zu beschäftigen. Allerdings musst du aufpassen, dass keiner der User Admin-Rechte hat, mit denen du die Einträge macht, sonst kommen die darüber ja ran. Ich nehme mal an, dass man bei Wordpress die nutzerliste nciht öffentlich einsechen kann, oder es unterbinden kann, dass sie eingesehen wird, oder?

    Schlechtes Passwort ist immer eine schlechte Idee, selbst für einen Honeypot... sollen die sich lieber die Zähne daran ausbeißen und dann sehen, dass der Aufwand umsonst war... AUßerdem nirgends drüber sprechen, welche Maßnahmen du ergreifst. kennt ein Angreifer deine Maßnahmen, kann er bestimmte deiner Sicherheitsmaßnahmen umgehen und Zeit sparen.

    Es ist zwar in der Open Source-Community verpönt, aber man kann Sicherheit auch durch unbekannte Maßnahmen schaffen. Da WP ein bekanntes System ist, was quelloffen ist, hast du sowieso schon das Problem, wenn jemand deine WP-Version kennt, dass er auch die bekannten Bugs nutzen kann, die anderswo aufgedeckt wurden.

    Um noch mehr Sicherheit zu schaffen, könntest du auch einzelne Module umschreiben, musst dann aber bei Updates aufpassen.

    Übrigens könntet du auch über die IP einschränken, aus welchem IP-bereich sich der Nutzer anmelden kann auf die Admin-Accounts, aber ich denke, dafür müsstest du das Modul auch umschreiben. Wenn du zum Beispiel nur über Telekom reingehst, könntest du die IP-Bereiche der Telekomm rausfildern. Wenn dann jemand versucht über Kabel-Deutschland reinzugehen, würde derjenige selbst mit Korrekten Login-Daten keine Chance haben, da rein zu kommen, womit du die Angriffsfläche nochmals minimierst.


    Hofe, meine Anregungen haben dir weiter geholfen.

    Beitrag zuletzt geändert: 28.2.2014 10:35:51 von sebulon
  4. Autor dieses Themas

    funnyweb

    Kostenloser Webspace von funnyweb

    funnyweb hat kostenlosen Webspace.

    Ja, vielen Dank. Und ja, du liegst richtig mit der Annahme, dass User nicht öffentlich eingesehen werden können, abgesehen von BuddyPress, das ich momentan nicht nutze.
  5. funnyweb schrieb:
    Hallo :wave:
    Es ist ja allgemein bekannt, dass WordPress-Angreifer häufig User mit der UID 1 bzw. dem Namen »Admin« angreifen, da das die Standardwerte für den Administrator sind.[...]


    wer heutzutage noch solch Standards setzt, braucht sich wirklich nicht wundern, wenn seine Seite mir nichts Dir nichts übernommen wird ...
  6. Hallo :wave:

    Bringt absolut nichts.

    1. Fall: Angreifer bekommt Zugriff auf "admin", der keine Rechte hat -> im schlimmsten Fall wird ein Exploit genutzt um Rechte zu erlangen
    2. Fall: Angreifer bekommt keinen Zugriff und es ändert sich nichts im Vergleich zur vorherigen Konfiguration.

    Dann vielleicht lieber Login nur über SSL erlauben, vielleicht kommen einige Bots damit nicht zurecht (v.a. wenn es ein selbst signiertes Zertifikat ist) und nebenbei kann die liebe NSA dein Passwort nicht am nächsten Internetknoten mitschneiten.

    mfg :wave:
  7. Autor dieses Themas

    funnyweb

    Kostenloser Webspace von funnyweb

    funnyweb hat kostenlosen Webspace.

    voloya schrieb:
    […] Dann vielleicht lieber Login nur über SSL erlauben, vielleicht kommen einige Bots damit nicht zurecht (v.a. wenn es ein selbst signiertes Zertifikat ist) und nebenbei kann die liebe NSA dein Passwort nicht am nächsten Internetknoten mitschneiten. […]
    Gute Idee, vielleicht kaufe ich mir mal ein Zertifikat. Aber ganz gewiss nicht wegen der NSA, 1. weil die nichts Schlimmes damit anstellen darf, 2. weil meine Homepage völlig transparent sein darf. Da der 1. Grund eher auf andere Kriminelle zutrifft, sollte man diese eher als »Feind« ansehen als die NSA, die zwar äußerst kritisch zu betrachten ist, aber keinen Schaden auf der Homepage anrichten wird.

    Beitrag zuletzt geändert: 2.3.2014 10:05:55 von funnyweb
  8. Hallo :wave:

    funnyweb schrieb:
    Aber ganz gewiss nicht wegen der NSA, 1. weil die nichts Schlimmes damit anstellen darf, 2. weil meine Homepage völlig transparent sein darf.


    Stimmt, schließlich durfte der Staat 1930 mit dem Bekenntnis zu einer Religion auch nichts Schlimmes anstellen.

    mfg :wave:
  9. Autor dieses Themas

    funnyweb

    Kostenloser Webspace von funnyweb

    funnyweb hat kostenlosen Webspace.

    voloya schrieb:
    […]
    funnyweb schrieb:
    Aber ganz gewiss nicht wegen der NSA, 1. weil die nichts Schlimmes damit anstellen darf, 2. weil meine Homepage völlig transparent sein darf.


    Stimmt, schließlich durfte der Staat 1930 mit dem Bekenntnis zu einer Religion auch nichts Schlimmes anstellen. […]
    Natürlich kann man auf so etwas nicht unbedingt vertrauen, aber es wäre sehr dumm von einem Geheimdienst, illegale Inhalte, Massenmails oder Ähnliches über einen privaten Webspace zu verbreiten.
  10. Hallo :wave:

    funnyweb schrieb:
    Natürlich kann man auf so etwas nicht unbedingt vertrauen, aber es wäre sehr dumm von einem Geheimdienst, illegale Inhalte, Massenmails oder Ähnliches über einen privaten Webspace zu verbreiten.


    Also bitte, wieso sollte ein Geheimdienst so etwas seltsames tun?

    Es wird hauptsächlich darauf hinauslaufen, dass unverschlüsselte Passwörter am nächsten Internetknoten rausgefiltert und in irgendwelchen Datenbanken schlummern werden - man weiß ja nie wann man sie mal braucht.

    Es geht außerdem nicht um einen zwingend bevorstehenden Missbrauch, sondern darum, dass es möglich ist.

    mfg :wave:
  11. Mal ganz davon abgesehen, dass aktuelle SSL Zertifikate sich unter bestimmten Bedingungen komplett auslesen lassen (Stichwort: heartbleed, Golem: Keys auslesen mit OpenSSL), ist ein SSL Zertifikat eine gute Idee!

    Gegen einen Honeypot ist generell nichts einzuwenden, aber dieser sollte dann keine wichtigen Daten enthalten. Man will ja auch sehen, was nach dem Einbruch noch passiert, wie oft erfolgreich eingebrochen wird und was das Ziel dessen ist.

    Warum ist es gefährlich ein schwaches PW auf den Lock-Account zu haben? Ganz einfach: es gibt auch Bugs dessen Ausnutzung nur funktionieren, wenn du bereits eingeloggt bist, nennt sich dann Rechteerhöhung. Würd ich mich nur ungern aussetzen.
  12. blackfog schrieb:
    Mal ganz davon abgesehen, dass aktuelle SSL Zertifikate sich unter bestimmten Bedingungen komplett auslesen lassen (Stichwort: heartbleed, Golem: Keys auslesen mit OpenSSL), ist ein SSL Zertifikat eine gute Idee!

    Für diese Sicherheitslücke gibt es bereits einen Patch bei den meisten Betriebssystemen. (Ich habe meinen Server gerade aktualisiert ...)

    Es wird wenig bringen, einen Honeypot mir dem Usernamen "Admin" zu erstellen, da der Bot dann diesen Account versucht zu nutzen und das bloß RAM des Servers verbraucht.

    Generell geben auch Bots auf, wenn sie keine Schwachstelle finden.

    Das Beste ist, die Bots auszusperren! (Verbraucht weniger RAM als ein Honeypot und ist sicherer.)

    Dafür eignen sich Dienste wie "Project Honey Pot" (projecthoneypot.org - es gibt ein WordPress Plugin) oder "BotScout" (botscout.com).
  13. Autor dieses Themas

    funnyweb

    Kostenloser Webspace von funnyweb

    funnyweb hat kostenlosen Webspace.

    Vielen Dank für die Tipps, ich werde kurzzeitig den Honeypot weiterführen und nach einiger Zeit löschen, um seine Wirkung zu testen.

    Beitrag zuletzt geändert: 24.4.2014 15:21:48 von funnyweb
  14. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!