WordPress: Trotz htaccess-Schutz Zugriff auf den Login-Bereich von WordPress

In den letzten Wochen hatte ich vermehrt Zugriff auf mein WordPress Backend Login. Trotz eingebautem htaccess Schutz für den „wp-login Bereich“ verzeichnete das Plugin Limit-Login Zugriffsversuche auf meine Login Bereich.

Ein Blick in das Access-Log hat mir geholfen die verursachende Datei zu identifizieren.

host-static-109-185-xxx-xx.moldtelecom.md - 
[22/Jul/2014:08:50:15 +0200] 
"POST /xmlrpc.php HTTP/1.1" 200 208 "-" "wp-android/2.4.5"

Die Ursache liegt an der XML-RPC-Schnittstelle in den letzten Wochen scheint es auf diese Schnittstelle Angriffe von diversen Bots in meinem Fall aus (host-static-109-185-xxx-xx.moldtelecom.md) zu geben.

Wenn man die Funktionalität der XML-RPC-Schnittstelle nicht braucht, kann man einfach Zugriff auf diese Datei per .htaccess blocken.
Das hat bei mir geholfen.

Nachfolgend ein Ausschnitt meiner .htaccess Datei

 # secure wpconfig.php
<Files wp-config.php>
    Order Deny,Allow
    Deny from all
</files> 

# secure xmlrpc.php
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>


# this files should *not* be readable via apache!
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
    Order Deny,Allow
    Deny from all
</FilesMatch>

# Secure access to wp-login.php
<Files wp-login.php>
    AuthName "Admin-Login"
    AuthType Basic
    AuthUserFile /kleofasz.de/.htpasswd
    require valid-user
</Files>

Vielen Dank an Quelle:

Dieser Beitrag wurde unter WordPress veröffentlicht. Setze ein Lesezeichen auf den Permalink.