Abwehrmodus: Automatische Verstärkung der Verteidigung bei koordinierten Angriffen
Verteilte Brute-Force-Angriffe sind so konzipiert, dass sie die Schwellenwerte pro IP-Adresse nicht überschreiten: viele Adressen, jeweils nur wenige Versuche. Der „Hardening Mode“ ReportedIP ist die Antwort auf dieses koordinierte Angriffsmuster bei WordPress – sobald er die Bildung eines Botnetzes erkennt, verschärft er für eine Stunde alle Schwellenwerte netzwerkweit.
In diesem Leitfaden wird der Trigger erläutert, welche Änderungen während eines Hardening-Fensters wirksam werden und wie man dieses steuert.
Was ist ReportedIP ?
ReportedIP ist ein umfassendes WordPress-Sicherheits-Plugin: 12 Angriffssensoren, vier 2FA-Methoden, progressive Sperrung und opt-in-basierte Community-Bedrohungsdaten. Der Hardening-Modus ist Teil des Professional-Tarifs. Der vollständige Funktionsumfang ReportedIP zeigt, wo es zum Einsatz kommt.
Der Auslöser: 3 IP-Adressen, 20 Fehler, eine Minute
Der in Version 2.0.8 hinzugefügte „Hardening-Modus“ wird aktiviert, sobald der Sensor für koordinierte Angriffe etwas entdeckt ≥ 3 verschiedene IP-Adressen produzierend ≥ 20 fehlgeschlagene Anmeldeversuche innerhalb einer Minute. Der Echtzeit-Trigger wird direkt in wp_login_failed mit einer Entprellzeit von 60 Sekunden, sodass die Reaktionszeit unter einer Minute liegt. Ein stündlicher Cron-Lauf dient als Sicherheitsnetz für den Fall, dass der Echtzeit-Pfad verpasst wird.
Was zieht sich während eines Aushärtungsfensters zusammen
- Der Schwellenwert für fehlgeschlagene Anmeldeversuche wird von 5/15 Minuten auf 2/5 Minuten gesenkt.
- Der Schwellenwert für die Reputationssperre sinkt von 75 % auf 60 %, sodass nun auch IP-Adressen gesperrt werden, die von der Community als grenzwertig gemeldet wurden.
- Das Zeitfenster beträgt standardmäßig 60 Minuten und kann auf einen Wert zwischen 5 und 360 Minuten eingestellt werden.
Dies hat zur Folge, dass ein verteilter Brute-Force-Angriff mitten im Ablauf gestoppt wird, anstatt unter den Schwellenwert pro IP-Adresse zu rutschen. Sobald das Zeitfenster abgelaufen ist, kehren die Schwellenwerte automatisch auf ihre konfigurierten Standardwerte zurück.
Transparenz und Kontrolle
Aktive Absicherungsvorgänge werden als roter Knoten in der WordPress-Adminleiste mit einem Countdown und einem Verwaltungslink angezeigt, und jede während des Zeitfensters erfasste Protokolleintragung wird mit einem „Hardening“-Badge gekennzeichnet. Die Ereignisse hardening_mode_activated (Schweregrad: hoch) und hardening_mode_deactivated (Schweregrad: niedrig) Zeichne jede Aktivierung und den Auslöser auf – Admin, CLI oder natürliches Ablaufen. Über die Shell, wp reportedip hardening status|activate|deactivate steuert es direkt an.
Einrichtung (Professional-Tarif)
Öffnen Sie die Registerkarte „Einstellungen → Absicherungsmodus“, schalten Sie den Hauptschalter um und legen Sie die Dauer fest. Die Unterfelder sind optisch deaktiviert, solange der Hauptschalter ausgeschaltet ist. In den Tarifen „Free“ und „Contributor“ wird auf dieser Registerkarte eine explizite Upsell-Karte angezeigt; die Erkennung koordinierter Angriffe selbst hängt davon ab, dass das Community-Netzwerk aktiv ist, da der Reputationsschwellenwert Teil der verschärften Sicherheitsmaßnahmen ist.
Verwandte Anleitungen
- Die schrittweise Blockleiter-Härtung mündet in
- Die 12 Sensoren, die das koordinierte Muster erfassen
- Community-Netzwerk und die Reputationsschwelle
Einzelheiten zur Konfiguration finden Sie in der Dokumentation zum WordPress-Plugin. Sehen Sie sich die vollständigen AnleitungenReportedIP an oder lesen Sie die Anleitung zur Absicherung auf GitHub.