Bruteprotect ist ein Plugin um die Sicherheit deines/r WordPress Blogs zu erhöhen.
Die Kernfunktion des Plugins besteht aus einer Cloud basierten Brute Force Angriffs Verhinderung. Wie genau das funktioniert wird leider nicht erklärt.
Ich konnte folgende Aussage eines der Entwickler bei WPTavern finden:
BruteProtect is sort of like Akismet, but for your WP login– we track failed logins across a large number of WordPress sites, then analyze that data to find patterns and identify attack bots. The larger our installed base, the more data we have to work with– this results in more complete protection for site owners and fewer false positives. To date, we’ve blocked over 1.3 million malicious login attempts from over 131,000 IP addresses.
Sprich, die fehlgeschlagenen Login Versuche auf den teilnehmenden Blogs werden analysiert und bewertet.
Derzeit nutzen fast 91000 Seiten das Plugin und im Juli 2014 vermeldet Bruteprotect, dass über 96 Millionen Angriffe verhindert wurden.
Neben dem Verhindern von Angriffen bietet das Plugin noch ein Monitoring, zeigt Online Zeit und Ausfälle an, kann sich um die Updates von Plugins und Themes kümmern und bietet Multisite Unterstützung.
Ihr könnt euch auf der BruteProtect Webseite einloggen und dort habt ihr einen Überblick über alle eure Seiten, von hier könnt ihr dann alle eure Seiten sehen und die Updates Remote durchführen, dass ist sehr hilfreich, wenn man keine andere Plattform nutzt um seine WordPress Installationen zu verwalten.
Nach der Übernahme von BruteProtect durch Automattic sind alle Funktionen gratis! Vermutlich wird BruteProtect in Jetpack einfließen.
Mein Fazit:
Der klare Vorteil einer solchen ‚Community‘ Lösung ist, dass ein Angreifer, sobald er als solcher identifiziert ist, auf allen teilnehmenden Seiten geblockt ist. Das hilft gegen Bot Netze und verteilte Angriffe.
Gesetzt den Fall, man hat sein Blog schon gesichert und es gibt nur eine Handvoll Benutzer, dann kann man sicherlich auf solch ein Plugin verzichten. Ein bereits geblockter Angreifer verursacht allerdings keine Last auf die Datenbank durch Anmeldeversuche.
Ein weitere Punkt ist, in wie weit die Nutzung möglicherweise in Deutschland gegen den Datenschutz verstößt, es werden ja offensichtlich IP Adressen der Besucher gesammelt und zur Analyse an BruteProtect gesendet. Ich warte hier auf eine Antwort des Herstellers.
Installation:
Nach der Installation und Aktivierung des Plugins findet ihr einen neuen Eintrag in der WordPress Seitenleiste ‚BruteProtect‘, wenn ihr diesen Auswählt landet ihr auf der Konfigurationsseite
Hier klickt ihr dann auf den Link ‚Generate your access token‘ und müsst euch im folgenden Pop Up dann anmelden oder über euren wordpress.com Account einloggen
Ihr werdet dann zu einer Seite geleitet auf der euer API Key steht – diesen kopiert ihr dann ein, die Seite wird verlinkt und ihr landet im Bruteprotect Dashboard. Dort wird euch angezeigt, dass ihr verbunden seid und wieviele Angriffe bereits geblockt wurden.
Ihr könnt dann API&Privacy Settings noch die remote Funktionen Aktivieren / Deaktivieren, je nach dem, ob ihr das nutzen wollt oder nicht.
Der hier angesprochene Malware Scan erschließt sich mir nicht so richtig, denn diese Funktion wird nirgendwo explizit erwähnt.
Im Dashboard seht ihr dann auch noch eine Liste aller installierter Plugins und Themes – von hier (oder aus dem Webdashboard) könnt ihr dann die Updates durchführen.
Multisite:
Das Plugin ist, wie gesagt, Multisite fähig, wenn ihr eine WordPress Multisite Installation nutzt, dann aktiviert ihr das Plugin in der Netzwerkverwaltung – in diesem Fall benötigt ihr für das gesamte Netzwerk lediglich einen API Key. Eine Aktivierung auf den einzelnen Blogs ist nicht nötig!
Inkompatibilitäten:
Laut den Hersteller gibt es keine Probleme mit anderen Sicherheits Plugins – einige Funktionen sind natürlich dann ggf. mehrfach vorhanden.
Update 11.09.14:
Laut Information des Herstellers wird die komplette IP Adresse des Besuchers übertragen und in der Datenbank gespeichert. Daraus könnten sich Datenschutzrechtliche Bedenken ergeben, ob daraus dann personenbezogene Daten generiert werden können kann ich nicht bewerten. SOllte man auf jeden Fall im Hinterkopf behalten, wenn man das Plugin auf seinen Seiten nutzen möchte.
