Massive Angriffswelle auf WordPress-Instanzen!

wordpress-fadenkreuz-290x163
Wie es scheint, greift derzeit mal wieder ein weltweites Botnet WordPress- und Joomla-Installationen an und versucht sich mit dem Nutzernamen «admin» ins BackEnd einzuloggen. Im Eiltempo wird dabei ein entsprechender Katalog aus tausenden Login-Einträgen abgearbeitet. Auf diesem Weg wird versucht, das richtige Passwort heraus zu finden. Die betroffenen Seiten stellen in dieser Zeit eine massiv erhöhte Anzahl an Login-Versuchen – sogenannten «Brute Force Attacken» – fest.

Gelingt es diesen Bots, in eine Installation einzudringen, können die Angreifer ein ungleich mächtigeres und schnelleres Botnet aufbauen, um damit schliesslich wirklich grosse Seiten anzugreifen. Angriffe auf Bankenseiten, haben dieses Vorgehen ja bereits aufgezeigt. Da serverseitig installierte Botnets zuverlässiger sind, als infizierte PCs, liessen sich so wirkungsvollere Attacken fahren.

So schützt du dein WordPress vor Angriffen

Die Informationen, wie man sein WordPress effektiv gegen Angriffe schützt, sind eigentlich weit verbreitet. Trotzdem kann es an dieser Stelle nicht schaden, einige Basics nochmals zu beschreiben:

– Als erstes solltest du den Nutzernamen «admin» vermeiden, resp. von deiner Installation verbannen. WordPress richtet diesen per Default ein und so ist es ein leichtes, Angriffe auf diesen Nutzer zu starten. Dieser Blog beschreibt, wie du den Admin-Nutzer los wirst.

– Dein Passwort sollte sicher sein. Das bedeutet, dass du Eigennamen, persönliche Informationen, einzelne Wörter oder Zahlenfolgen vermeiden solltest. Das Passwort sollte sich aus Zahlen, Sonderzeichen, Gross- und Kleinbuchstaben zusammen setzen. Dabei gilt, je länger, desto besser.

– In meinem Fall hat sich aber auch das Plugin «Limit Login Attempts» bewährt. Zum einen werde ich bei jedem Angriff darüber informiert, dass sich ein Unbefugter Zugang zum BackEnd verschaffen will, zum andern habe ich die Möglichkeit, nach einer definierten Anzahl an falschen Logins, IP-Nummern zu sperren.

– Eine weitere, effektive Möglichkeit, sein BackEnd zu schützen, ist ein Master-Passwort über die Datei .htaccess einzurichten. So wird den Angreifern schon der Zugriff auf das Login-Formular von WordPress verwehrt. Wie das funktioniert, seht ihr in diesem Beitrag. Diese Massnahme entlastet auch den Server, so dass die Ladezeiten deiner Seite nicht in die Höhe getrieben werden.

– Wem dies alles noch nicht reicht, kann ganzen Ländern den Zugriff auf die Page verbieten. Dazu kannst du dir auf dieser Seite beispielsweise sämtliche IP-Adressen der entsprechen Länder heraus picken und diese in deine .htaccess-Datei einfügen. So sollte anschliessend dafür gesorgt sein, dass aus den entsprechenden Ländern keine Attacken mehr gefahren werden können. Dazu lohnt sich initial ein «whois» über den Terminal abzufeuern, um erst einmal heraus zu finden, welche Länder gerade davon betroffen sind. Aktuell scheint es sich um Japan, Türkei und Asien zu handeln.

In 10 Schritten den WordPress-Admin-Bereich schützen.