Jedem Webseitenbetreiber mit mehr als 3-4-5-6 Seiten wird es im Laufe seiner Internetlaufbahn einmal passieren. Man will sich im Verwaltungsbereich seiner Internetpräsenz einloggen und bekommt statt dem bekannten Login-Panel folgende erschreckende Nachricht:

BruteForce-Schutz aktiv / brute-force protection active

Die BruteForce-Überwachung hat aufgrund von atypisch Zugriffen den angeforderten Bereich gesperrt. Bitte versuchen Sie es später erneut.

Due to non-standard hits, the access to the requested area has been denied by the brute-force monitoring. Please try again later.

Der Schreck fegt durch die Glieder – die Erkenntnis folgt blitzschnell und auf dem Fuße: man ist soeben Opfer einer „BruteForce“ Attacke geworden!

Bei einer BruteForce Attacke wird mit aller Gewalt und in langer penibler Ausprobier-Arbeit versucht, das Passwort meines Backends maschinell zu knacken.
Ein Programm versucht im Ausschluss- und Exhaustionsverfahren hinter mein „Geheimnis“ zu kommen…

Gemein. Hinterhältig. Kriminell.

Solche Angriffe zeigen immer ein Sicherheitsproblem auf – in diesem Fall haben wir gerade gelernt: Schütze verdammt nochmal deinen Internetauftritt!

Wer also zuvor seinen Login-Bereich nicht geschützt hat (Mea Culpa – waren wir mal wieder zu gutgläubig?!? 🙁 ), sollte jetzt ca. 5min. Zeit investieren… denn mehr braucht man für einfache Sicherheit nicht.

1. Passwort verschlüsseln (lassen)!

Im Internet gibt es zahlreiche Generatoren, die Benutzername und Zugang verschlüsseln können. Einen gibt es hier: KLICK

Das Ergebnis sieht dann zum Beispiel so aus:

Benutzer; $1$LMaA[b_b$iwnNmvemBfagrAgfwn/sgis0

Dies gibt man in eine leere NotePad oder Editor-Datei ein und speichert diese unter dem Namen „.htpasswd“
[Achtung! kein „.txt“ am Ende stehen lassen!]

Die Datei wird danach in das selbe Verzeichnis unseres CMS-Systems hochgeladen.

2. Absoluter Pfad

Nun brauchen wir den absoluten Pfad zur gerade erstellten Datei…
Diesen bekommt man, indem man eine PHP-Datei (zum Beispiel mit Dreamweaver!) erstellt und mit nur einer Zeile füllt:

<?php echo dirname(__FILE__); ?>

Auch diese Datei wird im selben Verzeichnis wie unser CMS-System hochgeladen und über den Browser aufgerufen:

http://meine-internetadresse.de/phpdatei.php

Das Ergebnis, was nun im Browser angezeigt wird, wird kopiert.

/server/pfad/zu/ihrem/verzeichnis/.htpasswd

3. Anpassen der .htaccess Datei

Nun wird die .htaccess-Datei vom Webverzeichnis unserer Webseite (wo wir zuvor die neue .htpasswd hochgeladen haben) heruntergeladen und mit WordPad oder Editor geöffnet.

Hier ergänzen wir das den bereits existierenden Inhalt mit folgendem Text:

AuthName "BruteForce"
 AuthType Basic
 AuthUserFile /server/pfad/zu/ihrem/verzeichnis/.htpasswd

<FilesMatch „wp-login.php“> require valid-user </FilesMatch>

Nun wird die .htaccess Datei zunächst vom Server gelöscht und anschließend mit der ergänzten Datei ersetzt.

4. Anmelden im Backend

Wir rufen nun im Browser wieder unseren Login-Pfad zum Backend unserer Webseite auf, es erscheint ein zusätzliches Browser-Anmeldefenster.
Mit diesem authentifizieren Sie sich als der tatsächliche Benutzer der Webseite, der als einziger Zugang zum Serververzeichnis besitzt.

5. Alles wieder gut!

Wenn Ihnen dieser Blog-Eintrag geholfen hat, freuen wir uns jederzeit über Feedback.

Sollten Sie selber von einer BruteForce Attacke betroffen sein, kontaktieren Sie uns! Wir helfen Ihnen gerne.