Foto: Scrabble-Text "STUPID"
Foto von Pixabay

Die Dummen bleiben über

Vor 7 Wochen wurde die Website schoefl.info gehackt. Wie sich die Dinge seither entwickelt haben.

In der Rückschau scheinen die getroffenen Sicherheitsmaßnahmen ausreichend:

  • ein, zwei Standard-Security-Plugins
  • nicht benötigte WordPress-Features deaktivieren

Wenn es ein Profi darauf anlegt, dann bleibt die Website sicher nach wie vor hackbar. Aber die Profis legen es anscheinend nicht darauf an. Die wenden sich offensichtlich lieber noch weniger geschützten Zielen zu. Jedenfalls ist seit der Implementierung der verschiedenen Sicherheitsinstanzen die Zahl der Hackerattacken eklatant gesunken. Gelegentlich verirrt sich noch ein ernsthafter Angriff in die Statistik. Doch im Grunde sind nur die dummen Bots bzw. Hacker übrig geblieben. Und das Gefährdungspotenzial dieser Hacker war bis jetzt sehr gering.

Screenshot WordPress Plugin IP Geo Block
Statistik WordPress Plugin IP Geo Block

Dumme Hacker?

Ja, die gibt es. Bei einem „richtigen“ Angriff steigt sofort der Puls. Man hofft, dass bei diesen URL-Anhängen voller Scripts und Variablen nur ja nichts passiert ist. Die immer gleichen Requests der dummen Hacker ringen einem hingegen höchstens ein gelangweiltes „nicht schon wieder“ ab.

Wordfence gibt bei geblockten Aufrufen keine Fehlermeldung 403 (Forbidden) aus, sondern einen Fehler 503 (Service Temporarily Unavailable). Hacker wissen das. Wer es nicht weiß, könnte mit ein wenig Hausverstand von einem „sauberen“ Browser aus einfach überprüfen, ob tatsächlich ein Serverproblem (5xx) vorliegt.

Da gibt es einen, der aufgrund seiner zahlreichen Bad Requests schon seit über einem Monat permanent geblockt ist und seither keine einzige Seite mehr mit dem Statuscode 200 OK gesehen hat. Trotzdem kommt er Tag für Tag immer wieder mit seinen Aufrufen der Login-Seite (/wp-login.php), mit seinen Versuchen, Userrnamen herauszufinden (/?author=1) und etlichen anderen üblichen Hacker-Requests.

Ich weiß, dieser Typ ist genau so ein verabscheuungswürdiger Verbrecher wie alle anderen Hacker. Aber irgendwann nimmt dann doch das Mitleid überhand und ich mache mir die Mühe, ihm mit einem Eintrag in der htaccess und einem Error 403 die Einschätzung seiner Situation etwas zu Erleichtern. Das Ergebnis: Es kommen genau die gleichen Bad Requests nach den gleichen Zugriffsmustern mit identischen Headerinformationen, nur halt mit einer neuen IP-Adresse. Ein gutes Dutzend IP-Adressen hat er so schon aufgebraucht.

Und wenn /?author=1 geblockt wird, dann versucht er es eine Minute später mit /?author=2 usw. Ich glaube, /?author=70 war sein bisheriger Rekord. Und wenn es keine Variationsmöglichkeit gibt wie bei den Usernamen, dann wird eben die soeben schon geblockte Anfrage noch dreimal identisch wiederholt. Zwischen all den cleveren Hackern, die möglichst unauffällig agieren, stechen solche Angriffe natürlich sofort hervor. Was für eine Zeitverschwendung? Was für ein trauriges Leben?