Großflächige Brute-Force-Attacken auf WordPress-Seiten

- Tipps zur Sicherheit -

Vor kurzem gab es eine der größten Brute-Force-Attacken auf WordPress-Seiten, die jemals beobachtet wurde. In diesem Artikel gehe ich näher darauf ein und gebe dir ein paar Tipps an die Hand, wie du schnell deine WordPress-Seite zumindest vor automatisierten Attacken etwas absichern kannst.

Jetzt lesen

Vor einigen Tagen gab die Security-Firma WordFence bekannt, dass es einen großflächigen Angriff auf WordPress-Seiten rund um die Welt gab. Zum Einsatz kam die Brute-Force-Methode, die darauf basiert, dass der Angreifer die Benutzernamen-Passwort-Kombination erraten will.

Aus Erfahrung (gepaart mit den Logfiles von Limit Login Attempts) kann ich sagen, dass die meisten Brute-Force-Attacken auf den Benutzernamen „admin“ laufen. Deshalb sollte man gleich zu Beginn den Benutzernamen ändern, um dem automatischen Angriff nicht bereits durch die Verwendung dieses Namens die Tür halb zu öffnen.

Nicht die größte Attacke bislang

Der Angriff vor wenigen Tagen sei allerdings nicht der bislang größte Angriff auf WordPress-Seiten gewesen. So seien die Angriffe achtmal häufiger als normal, allerdings im Vergleich zum Januar nur halb so viele.

Mittlerweile sind die Angriffe wieder auf ein normales Niveau zurückgegangen, dennoch sollte man sich spätestens jetzt ein paar Gedanken zu seiner eigenen WordPress-Installation machen.

WordPress-Standards in Thema Sicherheit

Nachfolgend ein paar kleine Tipps, die bei jeder WordPress-Seite beachtet werden sollten:

  1. Benutzername „admin“ ändern
  2. Starkes Passwort verwenden (eine Liste nicht zu verwendender Passwörter findet ihr hier)
  3. Antispam-Plugin benutzen (z.B. Antispam Bee)
  4. Tabellenpräfix „wp_“ ändern
  5. Limit Login Attempts verwenden
  6. Regelmäßige Backups machen (z.B. mit BackupWordPress)
  7. Regelmäßige Sicherheitschecks machen (z.B. über Sucuri.net)
  8. WordPress updaten

Sicher kann man vor Hackerangriffen nie sein. Hacks der letzten Monate zeigen, dass selbst Größen wie Adobe nicht davon verschont bleiben. Wer es aber automatischen Bots schwerer machen will in das eigene System einzudringen, kann das bereits mit wenigen kleinen Handgriffen machen um sich aus der Masse der „Standard-WordPress-Installationen“ abzuheben.

Autor: Denis Brediceanu
Denis Brediceanu
Digital Brand Strategist und Gründer von WPcorner und Lunatale aus Leidenschaft. Mit WPcorner möchte ich kleinen Unternehmen, Startups und Solopreneuren dabei helfen ihre eigene Website zu erstellen und zu vermarkten.