In den vergangenen Tagen gab es immer mehr Meldungen über Brute Force Attacken auf WordPress-Systeme, auch die Sicherheitssysteme, auf den von mir verwalteten Seiten, zeigen erhöhte Login-Versuche mit dem „Admin“ Benutzer. Bots versuchen bei WordPress-Webseiten die Passwörter mittels Wörterbuch und bekannten, viel genutzten, Kennwörter zu erraten. Als Benutzername wird in der Regel auf „admin“ zurückgegriffen, der Standard WordPress-Administrator Account.
Der Angriff werde von einem Botnetz durchgeführt, berichtet Matthew Prince, Chef des Content Delivery Networks Cloudflare, im Unternehmensblog. Per Brute Force werde versucht, die Passwörter für den Nutzer Admin auszulesen: Es würden lange Listen von möglichen Passwörter ausprobiert, um in eine WordPress-Installation einzudringen. Das Botnetz umfasse mehrere zehntausend IP-Adressen. (Golem.de)
Brute Force Attacken sind in der Regel relativ einfach abzuwehren, gerade in WordPress ist die Sache mit ein paar Kniffen schnell erledigt. In dieser kurzen To-Do Liste möchte ich euch Tipps zur Absicherung eures WordPress-Systems geben:
Sichere Kennwörter verwenden
Das oberste Gebot gilt nicht nur für die Nutzung von WordPress, sondern generell für alle Online-Dienste: Verwendet immer sichere Kennwört. „Hallo“ oder „1234“ zählen definitiv nicht dazu, haltet euch eher an zufällig generierte Kennwörter, die dann z.B. mittels eines Tools, wie 1Password, abgespeichert werden.
So ein sicheres Kennwort könnte dann z.B. so aussehen: b33gkBDQ:vN2p,EE[CEg
Auf diese Weise wird es dem Angreifer schon fast unmöglich gemacht, dass Kennwort in einer realistischen Zeit zu „erraten“.
Admin Nutzer in WordPress nicht verwenden oder entfernen
Seit der WordPress Version 3.0 lässt sich der Benutzername „admin“ in der Installationsroutine entsprechend ändern. Eine nachträgliche Änderung ist über WordPress selber nicht möglich, er kann aber über die Datenbank angepasst werden.
Öffnet hierzu über phpMyAdmin eure WordPress Datenbank und sucht dort die Tabelle „wp_users“, dort solltet ihr euch den Eintrag mit der „ID“ 1 genauer ansehen, hier sollte im Feld „user_login“ der Name „admin“ stehen. Diesen müsst ihr jetzt über phpMyAdmin ändern, dass war es schon.
Login-Versuche einschränken mit Limit Login Attempts
Das WordPress Plugin „Limit Login Attempts“ schütz euren WordPress Login vor zu vielen ungültigen Logins. Es funktioniert relativ simpel, es sperrt einfach die entsprechende IP-Adressen, die sich mehrmals falsch anmelden, die entsprechenden Sperrzeiten und Login-Versuche lassen sich einfach konfigurieren.
Da das Botnetzwerk in dieser Angriffsserie mehr als 90,000 IP Adressen umfasst, ist ein alleiniger Schutz über Limit Login Attempts nicht ausreichend.
WordPress richtig absichern
WordPress ist von Haus aus ein sehr sicheres System, durch den offenen Quellcode werden Sicherheitslücken allerdings relativ schnell bekannt und auch aktiv ausgenutzt. Der erste Aspekt der Sicherheit sollte also ein zeitnahes Update-Verhalten sein. Selbiges gilt natürlich nicht nur für das WordPress-Kern-System, sondern auch für entsprechende Plug-Ins.
Neben den wichtigen Updates gibt es noch einige weitere Plug-Ins und Schritte, die ihr durchführen könnt, um die Sicherheit eures WordPress-Systems zu verbessern. Die wesentlichen Punkte möchte ich euch in diesem Video-Training vorstellen:
Podcast Info:
Titel: WordPress richtig absichern
Autor: Pascal Bajorat
Länge: 12 Min
Dateigröße: 64 MB
Du möchtest noch mehr über WordPress erfahren und lernen? Dann schau dir doch einmal mein beiden WordPress-Video-Training an. Diese behandeln die verschiedensten Themen rund um WordPress praxisnah und gut verständlich, wie z.B. Theme-Erstellung, MultiSite / Blognetzwerk, eigene Plugins, Custom-Post-Types, Suchmaschinenoptimierung, WordPress Security, Woocommerce und vieles mehr: WordPress-Video-Training Vol. 1 & WordPress-Video-Training Vol. 2 von Pascal Bajorat
Bild: fotolia.com – © vege
Schlagworte zu diesem Artikel: Content, Plugins, Podcast, Sicherheit, WordPress
Nie kann man wissen, ob man sicher ist. Ständig wird alles mögliche gehackt, wirklich gruselig! Interessanter Beitrag!
Zum Thema Passwortsicherheit gab es mal einen sehr aufschlussreichen Beitrag beim Nerd-Comic XKCD: http://xkcd.com/936/
Demnach ist „MeineTanteTrudewohntinBuxtehude“ nicht nur sicherer als „3e2j4:f6u!5f“, sondern auch leichter zu merken.