Großflächige Brute-Force-Attacken auf WordPress-Seiten

- Tipps zur Sicherheit -

Vor kurzem gab es eine der größten Brute-Force-Attacken auf WordPress-Seiten, die jemals beobachtet wurde. In diesem Artikel gehe ich näher darauf ein und gebe dir ein paar Tipps an die Hand, wie du schnell deine WordPress-Seite zumindest vor automatisierten Attacken etwas absichern kannst.

Jetzt lesen

Vor einigen Tagen gab die Security-Firma WordFence bekannt, dass es einen großflächigen Angriff auf WordPress-Seiten rund um die Welt gab. Zum Einsatz kam die Brute-Force-Methode, die darauf basiert, dass der Angreifer die Benutzernamen-Passwort-Kombination erraten will.

Aus Erfahrung (gepaart mit den Logfiles von Limit Login Attempts) kann ich sagen, dass die meisten Brute-Force-Attacken auf den Benutzernamen „admin“ laufen. Deshalb sollte man gleich zu Beginn den Benutzernamen ändern, um dem automatischen Angriff nicht bereits durch die Verwendung dieses Namens die Tür halb zu öffnen.

Nicht die größte Attacke bislang

Der Angriff vor wenigen Tagen sei allerdings nicht der bislang größte Angriff auf WordPress-Seiten gewesen. So seien die Angriffe achtmal häufiger als normal, allerdings im Vergleich zum Januar nur halb so viele.

Mittlerweile sind die Angriffe wieder auf ein normales Niveau zurückgegangen, dennoch sollte man sich spätestens jetzt ein paar Gedanken zu seiner eigenen WordPress-Installation machen.

WordPress-Standards in Thema Sicherheit

Nachfolgend ein paar kleine Tipps, die bei jeder WordPress-Seite beachtet werden sollten:

  1. Benutzername „admin“ ändern
  2. Starkes Passwort verwenden (eine Liste nicht zu verwendender Passwörter findet ihr hier)
  3. Antispam-Plugin benutzen (z.B. Antispam Bee)
  4. Tabellenpräfix „wp_“ ändern
  5. Limit Login Attempts verwenden
  6. Regelmäßige Backups machen (z.B. mit BackupWordPress)
  7. Regelmäßige Sicherheitschecks machen (z.B. über Sucuri.net)
  8. WordPress updaten

Sicher kann man vor Hackerangriffen nie sein. Hacks der letzten Monate zeigen, dass selbst Größen wie Adobe nicht davon verschont bleiben. Wer es aber automatischen Bots schwerer machen will in das eigene System einzudringen, kann das bereits mit wenigen kleinen Handgriffen machen um sich aus der Masse der „Standard-WordPress-Installationen“ abzuheben.

Autor: Denis Brediceanu
Autor: Denis Brediceanu
Online Marketing Berater, WordPress Webentwickler und Gründer von WPcorner.de aus Leidenschaft. Ich helfe gerne Menschen, im Internet mit ihrer Idee Fuß zu fassen. Die Technik sollte niemandem im Weg stehen, seine Träume zu verwirklichen!