Hier werde ich euch darüber erzählen, was ich diese Webseite gebaut habe.
Die Sicherheit
Bei der Webseite, die ich 2019 gebaut habe https://www.sv-treffpunkt.org , beobachtete ich, dass sowohl auf die Loginseite wp-login, als auch auf den xmlrpc.php Endpunkt zahlreiche Zugriffe stattfanden. Mehr als es sich für so eine kleine Seite gehört. Kurzes googeln ergab, dass es sich um ein ganz normales Angriffsmuster handelt.
- Abfrage der Liste aller Benutzernamen der User über xmlrpc.php
- BruteForce Attacke über wp-login.php für die entsprechenden User
Um das zu verhindern, oder zumindest die Schwierigkeit ein wenig zu erhöhen, habe ich folgende Veränderungen vorgenommen:
- Zugriff auf xmlrpc.php verbieten, per Anpassung der .htaccess Datei. Nach ein wenig googlen habe ich https://stackoverflow.com/questions/16468098/what-is-l-in-qsa-l-in-htaccess und https://webmasters.stackexchange.com/questions/87715/htaccess-syntax-multiple-rewriteengine-on gefunden.
- man kann so viele modrewrites machen wie notwendig sind und ist nicht auf den einen angewiesen, den WordPress dynamisch überschreibt.
- htaccess benutzt regular expressions,Tools wie https://htaccess.madewithlove.be/ und https://regexr.com/ helfen da sehr.
- wp-login.php umbenennen, wofür es verschiedene Plugins gibt.
- Bei zu vielen fehlgeschlagenen Anmeldeversuchen wird die IP gesperrt. Auch dafür gibt es Plugins.