WordPress-Installationen unter weltweiter Brute-Force-Attacke

Brute-Force-Attacke auf WordPress

Picture of WordPress login attempts March – April 2013Ein Botnetz bestehend aus ca. 90.000 Zombies versucht zur Zeit sich Zugang zu WordPress-Installationen zu verschaffen. Das Botnetz versucht das Passwort des Standard-Administrators  mit dem Benutzername “admin” über einen simplen Wörterbuch-Angriff herauszufinden. Damit wird  versucht eine Backdoor zu installieren, um auf ein viel größeres Botnetz zugreifen zu können.

 

Wie kann ich mich vor solchen Attacken schützen?

Eine Wörterbuch-Attacke stellt für jedes Login ein Problem dar. Das ist also nicht unbedingt ein Problem mit WordPress.

Q: Was hilft dagegen? A: Verwenden Sie ein sicheres Passwort!

Ein sicheres Passwort ist die erste Pflicht, um öffentlich zugängliche Logins abzusichern. Ihr Passwort sollte aus mindestens acht Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen bestehen.

Standard-Administrator “admin” ersetzen

Damit man nicht Ziel einer Wörterbuch-Attacke auf bekannte Benutzernamen wird, setzt man am Besten einen neuen Administrator und löscht den Standard-Administrator “admin”. Dazu geht man folgendermaßen vor:

Bild- WordPress: neuen Admin-Benutzer anlegen

  • Als “admin” in das Backend einloggen.
  • Auf “Users” und dann auf “Add New” klicken.
  • Nun kann man einen neuen Benutzer anlegen. Beachten Sie dabei, dass Sie eine andere E-Mail-Adresse als beim “admin” brauchen und die Rolle auf “Administrator” setzen.
  • Als neues Passwort  mindestens acht Zeichen mit Groß- und Kleinschreibung, Zahlen und am Besten auch Sonderzeichen verwenden.
  • Beim Speichern fragt WordPress, ob Sie die bisherigen Beiträge von “admin” übernehmen wollen. Was in den allermeisten Fällen zutreffen sollte.
  • Nun loggen Sie sich aus und loggen sich mit dem eben neu angelegten Benutzer ein.
  • Jetzt können Sie den Standard-Administrator “admin” löschen.
  • Zur Sicherheit überprüfen Sie, ob Ihnen unbekannte Benutzer angelegt worden sind und löschen Sie diese gegebenfalls.

Den WordPress-Login-Bereich schützen

Den Login von WordPress kann man auch über ein weiteres Passwort schützen. Damit wird die Hürde zum Wörterbuch-Angriff noch etwas höher. Dazu müssen Sie im Root-Verzeichnis eine Datei .htaccess zum Aktivieren der Basic Authentication anlegen und die Datei wp-login.php schützen. Details dazu finden Sie hier.

Weitere Tipps zum Absichern Ihrer WordPress-Installation finden Sie auf t3n.de.

Cloudservice nutzen

Gegen solche Angriffe helfen Cloud-Services, die gegen DDoS- und Brute-Force-Angriffe ausgeklügelte Rate-Limiter haben. myracloud bietet einen solchen umfassenden Schutz. Sich wiederholende Vorgänge werden von dem Cloud-Service erkannt und die Absender der Angriffe ausgesperrt.

This entry was posted in Myra Security and tagged , , . Bookmark the permalink.