Ein System zu besitzen bedeutet, es zu verstehen. Während die meisten Webseiten-Betreiber blind auf „Security-Plugins“ vertrauen, schauen wir bei NeoBild direkt in die Log-Files.
Die Entdeckung
Bei einer routinemäßigen Analyse der Apache-Access-Logs mittels DuckDB in meiner lokalen Termux-Umgebung fiel eine IP-Range besonders auf: 45.130.203.x. Innerhalb kürzester Zeit versuchte dieser Akteur, sensible Pfade wie /wp-includes/ und /ALFA_DATA/ abzugrasen.
Die Analyse mit DuckDB
Anstatt riesige Textdateien manuell zu durchsuchen, nutze ich SQL-Abfragen direkt auf dem Smartphone. DuckDB erlaubt es mir, gepackte .gz-Logs in Millisekunden auszuwerten. Das Ergebnis war eindeutig: Ein klassischer automatisierter Scanner auf der Suche nach bekannten Schwachstellen.
Die Abwehr: Die Fake-404-Falle
Anstatt den Bot nur zu blockieren, leiten wir ihn nun via .htaccess auf eine spezielle fake404.html um. Diese Seite enthält ein kleines JavaScript-Snippet, das den Bot künstlich für 3 Sekunden ausbremst.
Das Ergebnis: 1. Der Bot verschwendet seine Ressourcen.
2. Mein WordPress-Core wird gar nicht erst belastet.
3. Die digitale Souveränität bleibt gewahrt – ohne externe Cloud-Firewalls.
Echte Sicherheit braucht keine teuren Abos, nur die richtigen Werkzeuge und ein wenig Neugier.