Zu meiner großen Überraschung bekam ich heut Abend eine E-Mail mit folgendem Inhalt:

3 ungültige Anmeldeversuche (1 Sperrung(en)) von IP: 72.233.119.245
Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: username

Ich benutze für meine WordPress-Installationen grundsätzlich das Plugin Limit Login Attempts, dass nach drei missglückten Anmeldeversuchen die IP des sich Einloggenden für eine bestimmte Zeit sperrt. Daher hätte ich mich erst einmal nicht groß wundern müssen, denn solche Versuche sich mit Standard-Nutzernamen-Passwort-Kombinationen einzuloggen und das Blog zu kapern sind nicht unbedingt selten.

Nein, was mich zum wundern brachte war der Umstand dass ich nach der großen Angriffswelle gegen WordPress-Installation im Frühjahr dieses Jahres einen zusätzlichen .htaccess-Schutz für mein Backend eingerichtet hatte. Daher stellte ich mir leicht nervös die Frage: Hatte jemand meine Login-Daten abgegriffen und machte sich nun daran, auch die WordPress-Loginmaske zu knacken?
Nach einer kurzen Suche dann aber die erlösende Antwort: Nein, falscher Alarm. Der Loginversuch von der IP 72.233.119.245 stammt im etwas weiteren Sinne von WordPress selbst. Dahinter steckt nämlich ein Crawler von Automattic, also der Firma die hinter WordPress steckt.

Nichtsdestotrotz kam mir das Spanisch vor: Wieso sollte sich ein Crawler mit dem Benutzernamen username bei mir einloggen wollen? Etwas aufschlussreicher war dann ein Thread in einem der WordPress-Supportforen. Dort meldeten sich auf die Frage eines Users, was es mit diesem Crawler auf sich hat, Automattic- bzw. WordPress-Entwickler zu Wort und erklärten, dass dies wohl die Server des Jetpack-Plugins sind, die mit meiner Seite kommunizieren:

When you combine how most XML-RPC endpoints work with how WordPress handles authentication, though, it turns out that, even though Jetpack uses it’s own OAuth-based authentication, we still have to send a username and password with the request. The Jetpack plugin tells WordPress to completely ignore that username and password, but we still have to send it to get things in WordPress working correctly.

Michael Adams (mdawaffe)

Kein Grund zur Beunruhigung also: Mein .htaccess-Schutz ist nicht ausgehebelt worden.