Podcast, WordPress

Angriffe auf Admin-Konten von WordPress-Systemen

WordPress Entwickler und Webdesigner

Angriffe auf Admin-Konten von WordPress-Systemen

In den vergangenen Tagen gab es immer mehr Meldungen über Brute Force Attacken auf WordPress-Systeme, auch die Sicherheitssysteme, auf den von mir verwalteten Seiten, zeigen erhöhte Login-Versuche mit dem „Admin“ Benutzer. Bots versuchen bei WordPress-Webseiten die Passwörter mittels Wörterbuch und bekannten, viel genutzten, Kennwörter zu erraten. Als Benutzername wird in der Regel auf „admin“ zurückgegriffen, der Standard WordPress-Administrator Account.

Anzeige:




Der Angriff werde von einem Botnetz durchgeführt, berichtet Matthew Prince, Chef des Content Delivery Networks Cloudflare, im Unternehmensblog. Per Brute Force werde versucht, die Passwörter für den Nutzer Admin auszulesen: Es würden lange Listen von möglichen Passwörter ausprobiert, um in eine WordPress-Installation einzudringen. Das Botnetz umfasse mehrere zehntausend IP-Adressen. (Golem.de)

Brute Force Attacken sind in der Regel relativ einfach abzuwehren, gerade in WordPress ist die Sache mit ein paar Kniffen schnell erledigt. In dieser kurzen To-Do Liste möchte ich euch Tipps zur Absicherung eures WordPress-Systems geben:

Sichere Kennwörter verwenden

Das oberste Gebot gilt nicht nur für die Nutzung von WordPress, sondern generell für alle Online-Dienste: Verwendet immer sichere Kennwört. „Hallo“ oder „1234“ zählen definitiv nicht dazu, haltet euch eher an zufällig generierte Kennwörter, die dann z.B. mittels eines Tools, wie 1Password, abgespeichert werden.

So ein sicheres Kennwort könnte dann z.B. so aussehen: b33gkBDQ:vN2p,EE[CEg

Auf diese Weise wird es dem Angreifer schon fast unmöglich gemacht, dass Kennwort in einer realistischen Zeit zu „erraten“.

Admin Nutzer in WordPress nicht verwenden oder entfernen

Seit der WordPress Version 3.0 lässt sich der Benutzername „admin“ in der Installationsroutine entsprechend ändern. Eine nachträgliche Änderung ist über WordPress selber nicht möglich, er kann aber über die Datenbank angepasst werden.

Öffnet hierzu über phpMyAdmin eure WordPress Datenbank und sucht dort die Tabelle „wp_users“, dort solltet ihr euch den Eintrag mit der „ID“ 1 genauer ansehen, hier sollte im Feld „user_login“ der Name „admin“ stehen. Diesen müsst ihr jetzt über phpMyAdmin ändern, dass war es schon.

Login-Versuche einschränken mit Limit Login Attempts

Das WordPress Plugin „Limit Login Attempts“ schütz euren WordPress Login vor zu vielen ungültigen Logins. Es funktioniert relativ simpel, es sperrt einfach die entsprechende IP-Adressen, die sich mehrmals falsch anmelden, die entsprechenden Sperrzeiten und Login-Versuche lassen sich einfach konfigurieren.

Da das Botnetzwerk in dieser Angriffsserie mehr als 90,000 IP Adressen umfasst, ist ein alleiniger Schutz über Limit Login Attempts nicht ausreichend.

WordPress richtig absichern

WordPress ist von Haus aus ein sehr sicheres System, durch den offenen Quellcode werden Sicherheitslücken allerdings relativ schnell bekannt und auch aktiv ausgenutzt. Der erste Aspekt der Sicherheit sollte also ein zeitnahes Update-Verhalten sein. Selbiges gilt natürlich nicht nur für das WordPress-Kern-System, sondern auch für entsprechende Plug-Ins.

Neben den wichtigen Updates gibt es noch einige weitere Plug-Ins und Schritte, die ihr durchführen könnt, um die Sicherheit eures WordPress-Systems zu verbessern. Die wesentlichen Punkte möchte ich euch in diesem Video-Training vorstellen:

Podcast Info:
Titel: WordPress richtig absichern
Autor: Pascal Bajorat
Länge: 12 Min
Dateigröße: 64 MB


Auf Vimeo ansehen

Du möchtest noch mehr über WordPress erfahren und lernen? Dann schau dir doch einmal mein beiden WordPress-Video-Training an. Diese behandeln die verschiedensten Themen rund um WordPress praxisnah und gut verständlich, wie z.B. Theme-Erstellung, MultiSite / Blognetzwerk, eigene Plugins, Custom-Post-Types, Suchmaschinenoptimierung, WordPress Security, Woocommerce und vieles mehr: WordPress-Video-Training Vol. 1 & WordPress-Video-Training Vol. 2 von Pascal Bajorat

Bild: fotolia.com – © vege

Schlagworte zu diesem Artikel: , , , ,

Veröffentlicht von Pascal Bajorat

Pascal Bajorat ist Mediengestalter und arbeitet als Webdesigner / Webentwickler, Autor und Trainer in Berlin. In den vergangenen Jahren hat er sich vor allem auf das CMS WordPress und die Entwicklung von hochwertigen Webseiten und Sonderlösungen spezialisiert. Er hat den Webdesign-Podcast.de 2010 gegründet.

Webseite:

2 Antworten zu “Angriffe auf Admin-Konten von WordPress-Systemen”

  1. Zum Thema Passwortsicherheit gab es mal einen sehr aufschlussreichen Beitrag beim Nerd-Comic XKCD: http://xkcd.com/936/
    Demnach ist „MeineTanteTrudewohntinBuxtehude“ nicht nur sicherer als „3e2j4:f6u!5f“, sondern auch leichter zu merken.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Der Benachrichtigungs-Dienst wird von WordPress.com (Automattic Inc., USA ) bereitgestellt. Mit der Anmeldung akzeptierst du die Datenschutzerklärung. Die Abmeldung / Abo-Verwaltung ist jederzeit über diesen Link möglich.