Neue Webseite mit Wordpress erstellt und Ruck Zuck spammt jemand in einen Comment

  • Ich bin gerade dabei eine Landingpage fuer raspiBackup mit Wordpress zu erstellen. Bislang habe ich keine Erfahrung mit Wordpress und bin demzufolge am Rumprobieren. Kurz nachdem ich Wordpress deployed hatte bekam ich den ersten Comment zu approven. -> Trash

    Daraufhin habe ich alle Comments auf den paar Testwebseiten disabled.


    Das war vorgestern. Jetzt sieht die Seite schon ganz passabel aus und ich habe bewusst die Commentfunktion fuer einen Blogeintrag wieder enabled - und wumm - schon wieder ein Spamkommentar :mad_GREEN:


    Code
    OrgName:        OVH Hosting, Inc.
    OrgId:          HO-2
    Address:        800-1801 McGill College
    City:           Montreal
    StateProv:      QC
    PostalCode:     H3A 2N4
    Country:        CA
    RegDate:        2011-06-22
    Updated:        2017-01-28


    Beide Comments kamen aus dem College. Ich hatte schon mal einen aehnlichen Fall mit einem Studenten aus Indien der meinen ssh Server angriff. War eine nette Diskussion mit dem Dekan - aber letztendlich kam nichts bei raus. Ergo lasse ich das jetzt hier wohl auch mit dem McGill College - mal sehen. Hat Spass gemacht mit dem indischen Dekan zu kommunizieren.


    Ich habe jetzt mal Akismet enabled. Ich hoffe damit kann ich die Commentfunktion enabled lassen.


    Es ist aber erstaunlich wie schnell jemand feststellt dass es da ein Wordpress gibt wo man Spamkommentare erstellen kann. Ich denke ich werde das sowieso wieder disablen und irgendein Wordpressplugin fuer Comments installieren welches Captcha oder andere Means nutzt um solche Kommentare abzuweisen. Falls jemand ein gutes Plugin empfehlen kann - nur her damit :)


    Anyhow nutze ich ja bislang Joomla auf meiner Webseite fuer raspiBackup. Die viele Doku zu raspiBackup werde ich nicht auf Wordpress umziehen. Die Zeit das umzuziehen kann ich besser nutzen. Die Wordpressseite ist nur eine fancy Webseite die dann nur auf droege Joomla Webseiten verlinked.


    Ich bin echt impressed von Wordpress. Am liebsten wurde ich alles von Joomla umziehen :mad_GREEN:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy:

  • Hallo,


    ich hatte relativ schnell nach der Veröffentlichung einer WP-Seite, sehr viele fehlgeschlagene Logins an einem Tag. Ich konnte auch zusehen wie das am Tag immer mehr wurden. Mein Passwort ist meiner Meinung nach ziemlich gut gewählt und der Username auch. Ich habe nicht dran gedacht die Standard-WP-Login-URL zu ändern. Also meineseite.de/wp-admin. Falls du auch nicht dran gedacht hast, ich denke es ist bestimmt kein Fehler das zu ändern.


    Grüße

    Dennis

    “Ich benötige Informationen. Eine Meinung bilde ich mir selbst.”

  • Danke fuer den Hinweis. Ich habe aber diesbezueglich schon verschiedene Dinge unternommen:


    1) wp-login.php ist per .htaccess mit einem andereren Nutzer und PWD als im WP geschuetzt. D.h. ein Angreifer muss sowohl diese Credentials als auch die WP Credentials erraten bzw per brute force ermitteln


    2) Ich habe ein Plugin Login Lockdown installiert und aktiviert welches nach mehrmaligem unerfolgreichen Zugriffsversuch auf WP die IP fuer 1 Stunde aussperrt

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy: