Wie ich ja bereits vor kurzem mitteilte, laufen bei mir in letzter Zeit ziemlich viele seltsame 404 Seiten auf. Diesbezüglich habe ich die Tage bei Cywhale einen sehr interessanten Artikel gefunden Sicherheit / WordPress absichern und gegen bekannte Angreifer einige Dinge auf meinem Blog implementiert. Unter anderem hat der bekannte libwww-perl* User Agent, der auch schon zahlreiche Angriffe gegen den WordPress Coreblock gestartet hatte, bei mir in letzter Zeit sein Unwesen getrieben.
Klar wäre es weitaus schlimmer, wenn dieser bekannte Angreifer eine Sicherheitslücke bei mir gefunden hätte und statt laufender 404 Seiten von meinem Blog die Rückmeldung 200 erhalten hätte. Aber trotzdem muss ich ihn deswegen nicht weiter sein Unwesen treiben lassen, auch wenn derzeit noch keine Gefahr besteht, dass er mir etwas anhängt, einfügt, implementiert oder was auch immer er gerade so vor hat.
Aussperren ist da die Devise und Cywhale zeigt wie es geht. Ein paar der im Artikel genannten Sicherheitstipps für die htaccess habe ich vor Kurzem implementiert.
Der Artikel von Cywhale ist so umfangreich und interessant, dass ich an dieser Stelle einfach nur darauf verweisen möchte. Wer für seine WordPress Applikation mehr Sicherheit wünscht, wer sich gegen bekannte Angreifer absichern möchte, dem sei dieser Artikel auf jedem Fall zu empfehlen. Ich denke es stört auch überhaupt nicht, dass dieser Artikel bereits vor über einem Jahr gepostet wurde, die Problematik Sicherheitslücken und Angreifer ist immer wieder aktuell.
Bezüglich der bösen Bots die in meinem Blog ihr Unwesen getrieben habe und nichts anderes veranstalten wollten als hunderte bis tausende 404 Seiten zu produzieren, habe ich aber eine etwas abgeänderte Lösung in meiner htaccess implementiert, die ich auf den User Agent Seiten gefunden habe. Mein entsprechender Eintrag in der htaccess, der die User Agents libwww-perl, Java und auch meinen besonderes aktiven Freund, den betaBot aussperrt, sieht wie folgt aus:
# böse Bots sperren
SetEnvIfNoCase user-agent "libwww-perl.*" bad_bot=1
SetEnvIfNoCase user-agent "Java/1.*" bad_bot=1
SetEnvIfNoCase user-agent "betaBot" bad_bot=1
<FilesMatch “(.*)”>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</FilesMatch>
Seitdem ich diese htaccess scharf geschalten habe, waren diese User Agent nicht mehr gesehen. Joachim stellt in seinem Artikel Bots und Spammer den Zugriff auf die eigene Webseite verweigern noch ein paar weitere Möglichkeiten vor, wie diesen Angreifern über die htaccess das Garaus bereitet werden kann. Von einer IP bzw. auch einer IP-Range Sperre rate ich aber ab, da hier schnell auch mal ganz andere User als nur der Angreifer gesperrt werden können. Abgesehen davon nutzen die “wirklich Bösen” wahrscheinlich eh eine gefakte IP, womit die IP Sperrung ins Leere läuft. User Agent Sperren, wie bei mir oben oder bei Joachim beschrieben sind die bessere Wahl.