Hackere banker utrætteligt på bloggens fordør, login-siden. For at slippe for larmen har jeg fjernet adgangen og dørhammeren med .htaccess.
Mest for folk med en blog eller webside, hvor hackere ihærdigt prøver at få adgang med brute force login.

Jeg har over tid gjort forskelligt for at forhindre hackere adgang til min blogs ”maskinrum” (WordPress). Det virker også, men det irriterer mig, at de uden ophør hamrer på døren.
Jeg har derfor tilføjet en kodestump til .htaccess, som forhindrer andre IP-adresser end min egen adgang til login-siden. .htaccess er en tekstfil med instruktioner til serveren, og man kan sige, at den fungerer som websidens ”portner”.
Til at lave hele .htaccess-filen har jeg brugt det glimrende plugin Bulletproof Security.
Koden (med forklarende kommentarer i linjerne med #) ser således ud, blot er min IP-adresse ikke 65.100.50.1:
# CUSTOM CODE BRUTE FORCE LOGIN PAGE PROTECTION
# Protect wp-login.php from Brute Force Login Attacks based on IP Address
<FilesMatch “^(wp-login\.php)”>
Order Allow,Deny
# Add your Public IP Address using 2 or 3 octets so that if/when
# your IP address changes it will still be in your subnet range. If you
# have a static IP address then use all 4 octets.
# Examples: 2 octets: 65.100. 3 octets: 65.100.50. 4 octets: 65.100.50.1
Allow from 65.100.
</FilesMatch>
Da min IP-adresse ikke er statisk, har jeg kun angivet de to første tal (65.100.), som min udbyder råder over. Alle andre får en 403 fejlside serveret, hvis de prøver at tilgå loginsiden.
Skulle jeg få brug for adgang, når jeg fx er ude at rejse, kan jeg bare hente .htaccess med FTP, tilføje den midlertidige IP-adresse og uploade igen.
Andre tiltag
Jeg har over tid gjort forskelligt for at sikre bloggen mod indbrud. Det virker også, men det er meget irriterende, at man ind imellem lukkes ude, fordi der er et angreb i gang, og så er der det med båndbredden.
Jeg har installeret et plugin, Login Security Solution, som gør siden langsom, når robotter prøver forskellige passwords, og skulle det lykkes dem at bryde ind, spærres maskinrummet, så de ikke kan lave ulykker.
Men hvis jeg uforvarende prøver at logge ind, mens siden angribes, formenes jeg undertiden også adgang og skal resette mit password. Besværligt.
Jeg har tre brugernavne. Det, jeg bruger til at skrive indlæg, har begrænsede rettigheder og ingen adgang til maskinrummet.
Så har jeg to brugernavne (ikke ”admin”!) med administratorrettigheder. Dem har jeg aldrig brugt til at skrive indlæg med, så hvordan hackerne har fundet dem, er mig en gåde, men de kan sgu så meget de banditter.
De fleste brute force robotter hamrer løs med ”admin” som brugernavn, og det eneste, de opnår, er at æde løs af båndbredden.
Nogen har som nævnt fundet de rigtige brugernavne, og når de har prøvet tre gange, lukkes der ned i en time, hvor jeg altså heller ikke kan få adgang med det pågældende brugernavn.
Med meget stærke adgangskoder var siden rigtig godt sikret mod brute force login, men når hackerne alligevel prøvede, havde det nogle afledte og ret irriterende konsekvenser.
Nu håber jeg på fred og ro ved at forhindre det meste af verden i overhovedet at tilgå login-siden.
Der er andre, mulige julelege med .htaccess, men jeg kan godt lide den valgte løsning, fordi den er simpel.
/Eric
Skulle lige teste om jeg blev blokeret væk fra din login-side. Det gjorde jeg faktisk ikke. Har du disablet igen eller ligner min IP adresse måske din?
Det er samme Stofanet-maske. Jeg har ikke statisk IP-adresse og bruger derfor en maske, som beskrevet.
Aha … også en Stofanetter 😉
Tak op oplysningen. Jeg har haft stor fornøjelse af Login Sec. Sol, men lige nu synes antallet af loginforsøg behersket. Tidligere angiv jeg nogle ip-adr. i .htaccess, men det blev uoverkommeligt. Måske har jeg alligevel haft hed med at fjerne nogle forsøg. Skulle det igen blive for omfattende, er det fint at anvende din her nævnte metode.
Den side der særligt har været efterstræbt er http://overnatningtyskland.dk
Der er en vis interesse for emnet, især i sommerferieperioden, og min sidste udbetaling fra hotelsiden var lige ved at runde et 5-cifret beløb. I andre måneder er det ca. 1000 kr, så det er jeg fint tilfreds med. Måske kunne det være noget for dig med sådanne affiliatelinks på dine rejsesider?
Det enkle er ofte det bedste, og denne metode med .htaccess er uhyre enkel.
Det var da en komfortabel biindtægt, tak for tippet. Det vil jeg undersøge – jeg ved præcis, hvilken kontekst sådan en annonce ville passe ind i.
Mange tak for hjælpen! Jeg satte mig lige til at kontrollere, hvad iThemes egentlig gør ved mine Brute Force Attaccs. (iThemes er vældig godt men lidt overskueligt). Plug-inet er sat op til at udelukke uvedkommende IP-adresser efter tre forsøg, og de bliver udelukket for evigt.
Summa summarum: Jeg tror, det er i orden.
Mange tak for anvisningerne! Det ser godt ud Eric, det vil jeg også prøve, men jeg skal lige bede om lidt hjælp, hvis du har tid:
Lige for tiden får jeg mange gange besked fra mit sikkerhedplugin, iThemes, at der er hosts, der er blevet udelukket fra min WordPress side grundet for mange forsøg på login. Er det det samme som dine Brute Force Access? Vil jeg få noget ud af at følge din vejledning om .htaccss, eller retter den sig kun Brute Force?
På forhånd tak for din tid.
Dit sikkerhedsplugin sortlister åbenbart udbydere, hvorfra der kommer for mange forsøg på at logge ind. Det er okay, men det stopper aldrig.
Brute Force login-forsøg udføres typisk af robotter, der prøver det ene password efter det andet – tusindvis af gange, men de har altid en IP-adresse.
Ved at tilføje koden til .htaccess, som jeg har gjort, forventer jeg, at de end ikke kan tilgå loginsiden og prøve. Du behøver næppe ændre noget i din opsætning af sikkerheds-plugin’et – det vil bare få mindre at lave.
For at teste prøvede jeg at tilgå siden fra en anden IP-adresse (min arbejdspladscomputer) og blev pure afvist med en 403 fejlside.