WordPress im Fadenkreuz: Größere Angriffswelle auf WordPress-Blogs - und wie man sich am besten schützt

Vor kurzem schrieb ich über das Botnet Carna, welches ja gar nicht mal so schlimm war / ist, wie Botnetze oft gemacht werden. Grundsätzlich hat es nichts anderes gemacht, als anpingbare Geräte im Internet gezählt. Das Resultat: Rund 600 Millionen Geräte sind offenbar direkt mit dem Internet verbunden.

Für Aufregung sorgt allerdings ein anderes Botnet - und zwar vollkommen zurecht: Das versucht nämlich, einzelne Webserver anzugreifen und hat es offenbar gezielt auf WordPress-Installationen abgesehen. Dabei wird nach einem denkbar einfachen Verfahren versucht, sich als Nutzer "admin" einzuloggen: Es handelt sich um nichts anderes als eine Bruteforce-Attacke, welcher ein spezieller Katalog zugrunde liegt.

Wordpress im Fadenkreuz

WordPress im Fadenkreuz (Quelle: blog.cloudflare.com)

Damit nicht genug: Bisher kennen wir Botnetze nur in der Form, dass heimische Systeme und Geräte befallen werden und dann gemeinsam als Netzwerk funktionieren. Infiziert man aber WordPress-Installationen, die zumeist auf Webservern in irgendwelchen Rechenzentren liegen, verfügt man über eine erheblich größere Anbindung und Bandbreite als an privaten Anschlüssen.

Eine Gefahr besteht eigentlich auch nur bei selbst gehosteten WordPress-Installationen, denn auf wordpress.com hat ja doch keiner den Nutzernamen "admin" - und wenn schon nur einer. 😉

Trotzdem - wie kann man diese offensichtliche Gefahr abwenden?

  • Vermeidet den Nutzernamen "admin". Am Besten wählt ihr einen einzigartigen Nutzernamen oder einen Nicknamen, den man über den Blog nicht erfährt (also: ähnlich schützen wie euer Passwort!)
  • Passwort öfter ändern und dabei verschiedene Regeln beachten. Ein paar Zahlen und Sonderzeichen neben einigen Groß- und Kleinbuchstaben schaden sicherlich nicht. Auf die Länge kommt es außerdem an - 8-10 Zeichen sollten es mindestens sein.
  • Anzahl der Anmeldeversuche begrenzen: Mithilfe von WordPress-Plugins wie beispielsweise "Limit Login Attempts" lassen sich mögliche Anmeldeversuche begrenzen. So kann eine IP-Adresse für die Anmeldung gesperrt werden, wenn es zu viele fehlgeschlagene Versuche gab.
  • Netzwerkverkehr überwachen: Der Netzwerkverkehr eurer WordPress-Installation kann ebenfalls geloggt werden. Dazu gibt es Plugins wie "Snitch". Meistens gibt es bei solchen Plugins auch die Möglichkeit, bestimmte Ziel-URLs zu blockieren. Snitch ist übrigens hier sehr gut dokumentiert. Downloaden könnt ihr Snitch ganz normal über das WordPress-Archiv - hier.

    Wordpress-Netzwerkverkehr mit Snitch überwachen

    WordPress-Netzwerkverkehr mit Snitch überwachen

  • Zwei-Faktor-Authentifizierung: Euer Blog kann außerdem von Google Authenticator abgesichert werden. Nach der Installation von Google Authenticator als Plugin lässt sich neben Benutzername und Kennwort auch der Code aus der Authenticator-App abfragen. Auf Wunsch auch nur für einzelne Benutzer - wie zum Beispiel dem Admin....
  • .htaccess: Mithilfe einer .htaccess-Datei kann euer Blog noch weiter geschützt werden. Schiebt man nämlich eine in das "wp-admin"-Verzeichnis ist ein Zugriff nur mit einem weiteren Kennwort möglich. Das geschieht noch bevor das übliche Login-Formular angezeigt wird. Wie das geht, erfahrt ihr unter anderem hier. Erstes Google-Suchergenis, olé.

Jetzt geht aber nichts mehr schief, oder?! 😉

(via, via)


[ratings]

Dieser Artikel wurde geschrieben von...

Sebastian Fuhrmann – ( weitere Posts auf Sebastians Blog)
Sebastian. "Weltmetropole" Hemsbach. Informatik-Student. Blogger seit 2011. Twitter | Google+ | Facebook

Email  • Google + • Facebook  • Twitter

Teile diesen Artikel

Ähnliche Artikel

Eine Antwort zu “WordPress im Fadenkreuz: Größere Angriffswelle auf WordPress-Blogs - und wie man sich am besten schützt”

  1. Hauke sagt:

    Danke für den Tipp. Werde ich die Tage mal umsetzen. Kann ja letztlich nicht schaden.

Hinterlasse eine Antwort

© 2010-2017 Sebastians Blog. Alle Rechte vorbehalten. Administration · Artikel als RSS · Kommentare als RSS
Powered by WordPress · Designed by Theme Junkie