Nach dem Umstieg von Movable Type auf WordPress sah ich mich mit einem neuen Phänomen konfrontiert: Täglich Hunderte von Einbruchsversuchen.
Gegen Brute Force Attacken kann man sich mit Plugins leidlich schützen, die Anmeldeversuche blockieren. Das hilft wenig gegen verteilte Angriffe, die nur einen Versuch von einer IP machen, um dann den nächsten Bot einzuschalten. Man setzt einfach mal die Anzahl der Retries auf null, um diese Bots zu zählen. Es sind Hunderte, wenn nicht Tausende.
Meine nächste Maßnahme waren IP-Blocks. Alles von Google, Amazon und Microsoft, dazu weniger bekannte Hoster. Erst wenn man beinahe das gesamte IPv4-Internet gesperrt hat, kommen die Attacken nur noch aus dem IPv6-Netz und machen sich die Tatsache zunutze, dass temporäre Adressen sehr schnell zu ändern sind.
Abgestellt habe ich diese ganzen Angriffe mit einem einfachen Eintrag in .htaccess:
# Block WordPress xmlrpc.php requests
<files xmlrpc.php>
order deny,allow
deny from all
</files>
Kein XMLRPC, und schon ist Ruhe.