Vorheriger Artikel Nächster Artikel

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich

Ein Botnet greift derzeit WordPress-Installationen weltweit an. Über 90.000 attackierende IP-Adressen haben Sicherheits-Experten bereits registriert. Ziel ist vermutlich, nach erfolgreicher Attacke ein ungleich mächtigeres Botnet aufzubauen. 

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich
WordPress im Fadenkreuz (Quelle: Cloudflare)

Der Angriff selbst ist dabei denkbar simpel: Es wird versucht, sich mit dem Nutzernamen „admin“ einzuloggen. Um das Passwort herauszufinden, wird schlichtweg ein entsprechender Katalog aus tausenden Einträgen in Windeseile abgearbeitet. Es ist bei den betroffenen Seiten in der Folge eine massiv erhöhte Zahl von Login-Versuchen festzustellen – eine „Brute Force Attack“. Was die Angriffswelle in diesem Fall so problematisch macht, ist die schiere Menge an infizierten PCs, die zum Einsatz kommt.

Experten bei Unternehmen wie CloudFlare vermuten, dass es am Ende darum geht, aus den Servern ein neues Botnet aufzubauen. Das wäre dann um ein Vielfaches mächtiger als das jetzige, weil die Server beispielsweise eine wesentlich bessere Internetanbindung haben als die infizierten PCs. Damit ließen sich sehr wirkungsvolle Attacken auf andere Websites fahren, heißt es zum Beispiel bei CloudFlare. Es gibt ein Vorbild: Die Angriffe auf Websites von US-Banken im vorigen Jahr.

wordpress-fadenkreuz
WordPress im Fadenkreuz. (Bild: Cloudflare)

Das eigene WordPress schützen

Wichtigste Maßnahme für alle, die auf setzen: Die eigenen Sicherheitsmaßnahmen kritisch unter die Lupe nehmen. Folgende Tipps helfen hier weiter:

  • Den Nutzernamen „admin“ nach Möglichkeit ganz vermeiden. Er ist bei WordPress-Blogs so verbreitet, dass er – so wie auch in diesem Fall – als Hebel für den Angriff genutzt wird. In diesem Artikel steht, wie ihr den „admin“-Nutzernamen loswerdet.
  • Passwörter sollten den Tipps von WordPress entsprechen. Dazu gehört: keine einzelnen Wörter oder Zahlenfolgen, keine persönlichen Informationen, nicht einfach ein Wort rückwärts schreiben, nicht dasselbe Passwort für mehrere Seiten nutzen. Stattdessen: Das Passwort sollte mindestens acht Zeichen lang sein, aus Groß- und Kleinbuchstaben bestehen und Zahlen enthalten (idealerweise mittendrin). Sonderzeichen und besonders lange Passwörter (Passphrasen) erhöhen die Sicherheit noch einmal.
  • Eine weitere Möglichkeit ist es, den Admin-Bereich von WordPress selbst mit einem Passwort zu schützen. Sprich: Ohne dieses „Master-Passwort“ kommt man gar nicht erst auf die Login-Seite fürs Backend. Das kann gerade bei Brute-Force-Attacken sehr sinnvoll sein, da der automatische Angriff sehr früh abgefangen wird und den Server dadurch weniger belastet. Sergej Müller beschreibt hier, wie das geht.
  • Zudem wird von einigen generell das WordPress-Plugin „Limit Login Attempts“ empfohlen. Es lässt pro IP nur eine begrenzte Zahl von Login-Versuchen zu und protokolliert diese optional auch. Man bekommt also mit, wenn jemand versucht, sich Zugang zu verschaffen. Wenn die Angriffe allerdings wie in diesem Fall von tausenden IPs kommen können, hilft es nur begrenzt.

Weiterführende Links

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
24 Antworten
  1. von Christian am 15.04.2013 (08:53 Uhr)

    Weiß nicht ob es damit zusammenhängt aber am Freitag waren einige meiner Stammseiten nicht erreichbar.
    PS: Die Auflistung von Playground finde ich sehr hilfreich.

    Antworten Teilen
  2. von Alex am 15.04.2013 (08:57 Uhr)

    @Christian Das lag wohl mehr an dem Ausfall bei all-inkl.com :D

    Antworten Teilen
  3. von David am 15.04.2013 (09:11 Uhr)

    Woran erkennt man denn, wenn der "Angriff" erfolgreich war?

    Antworten Teilen
  4. von Markus am 15.04.2013 (09:11 Uhr)

    Ich konnte am WE massive Attacken auf meine Seite feststellen und habe wp-admin auch gleich mit einer .htaccess abgeriegelt, da auch die Serverlast angestiegen ist.

    Antworten Teilen
  5. von Toby Kronwitter am 15.04.2013 (09:12 Uhr)

    Das ist ja nicht erst seid kurzem so, mit den verstärkten angriffen auf die wp-login.php. Hatte es mit IP Blockern etc versucht, aber war alles Sinnlos. Was wirklich effizient war, ist die Verlegung des Logins auf eine andere URL die nur über "Secret" Word erreichbar ist. Das hat mir wirklich Ruhe und Sicherheit gebracht. Wenn Ihr Fragen dazu habt einfach fragen. Greetz Toby

    Antworten Teilen
  6. von René am 15.04.2013 (09:14 Uhr)

    http://wordpress.org/extend/plugins/better-wp-security/ … habe ich bei einem neuen Kundenprojekt mal installiert und finde es sehr gut in den Features. Bei einer frischen Install lohnt sich das Plugin meiner Meinung nach. Bei bestehenden muss leider noch hier und da nachgefasst werden.

    Antworten Teilen
  7. von Sergej Müller am 15.04.2013 (09:23 Uhr)

    @Markus
    Ich hoffe, du hast nicht wp-admin, sondern nur die wp-login.php abgeriegelt. Warum, siehe meinen Artikel.

    Antworten Teilen
  8. von Socialflash am 15.04.2013 (09:31 Uhr)

    Ich hatte dazu vor den "Angriffen" mal einen Artikel geschrieben, und auf einige andere Plugins hingewiesen:

    http://www.socialflash.de/10-wordpress-plugins-fur-mehr-sicherheit-5345

    Antworten Teilen
  9. von Frank Matuse am 15.04.2013 (09:57 Uhr)

    Auch sehr hilfreich. Deckt viele der wesentlichen Punkte gut ab. http://wordpress.org/extend/plugins/better-wp-security/

    Antworten Teilen
  10. von Dennis am 15.04.2013 (11:09 Uhr)

    Mit dieser Frage sollte sich eigentlich jeder Wordpress-Nutzer schon wärend des Entstehungsprozesses zur Seite reichlich Gedanken machen ... leider, wie die Praxis zeigt, wird dies nur seltenst wirklich beherzigt.

    Nach einiger Recherche und zudem auch weil ich schon seit einigen Jahren auf diesem Marktplatz einkaufe, hab ich 'Hide My WP' gefunden:
    http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158?ref=TenserD
    (wer nicht möchte, dass ich für die Empfehlung bei Nutzung dieses Links ein paar cent verdiene, kann diesen Link hier heraus kopieren, in ein neues Browserfenster kopieren und das "?ref=TenserD" entfernen*)

    Nach eingehenden Tests auf 3 Wordpress-Instanzen, implementationen von ca. 50 Plugins und der Nutzung von ChildThemes (wird seit dem letzten Update unterstützt) als sehr gut befunden. Die performace der einzelnen Blogs ist gleichbleibend und nur durch einbinden div. anderer Plugins beeinflusst worden. Die Verschleierung von Wordpress ist nahezu perfekt - "nahezu" bedeutet, dass das System komplett abgedeckt wird aber bei der Flut an Plugins, die dann doch gerne mal aus der Reihe springen mit Ihren merkmalen bei css oder html Angaben, kann schon das Ein oder Andere dabei sein was durch das Raster fällt. Eine Anfrage beim Programmiererteam hat aber hierbei schon für Abhilfe geschaffen.

    Bei diesem Plugin wird zudem auch für den Loginbereich ein neuer Login-Link erstellt und der Zugriff auf das Loginformular verscheiert (Frontend-Anmeldung auf Widget-Position ausgeschlossen)

    Alle Eingaben die bei der Einrichtung des Plugins getroffen wurden, können exportiert werden und bei einer Neuinstallation importiert. Dies erleichtert die Arbeit ungemein.

    Kurze Übersicht:
    Handhabung (Installation und Einrichtung): 1
    Verscheierung: 1,5 (System Ja!, Pugins die nicht unterstützt werden an die Programmierer weitergeben)
    Support: 1+

    *Ich werde nicht von t3n oder von den Programmierern für diesen Bericht bezahlt, von daher auch nur ein kleiner Affiliate-Link oben mit drinne. Ich unterstütze die OpenSourceGemeinde schon seit Jahren und kümmere mich seit 2 Jahren hauptsächlich um die sicherheitsbasierte Optimierung von Systemen wie Joomla und Wordpress. Ich hoffe das Produkt wird Euch genauso helfen, wie es mir bei den letzten Installationen geholfen hat.

    Schöne Grüße
    Dennis

    Antworten Teilen
  11. von Alex Schestag am 15.04.2013 (11:17 Uhr)

    Guter Artikel! Vor allem: Endlich spricht mal ein Autor über den sehr begrenzten Sinn von Plugins wie Limit Login Attempts bei derart massiv verteilten Angriffen. Ich halte das Plugin sogar für gefährlich, weil es User dazu verleiten könnte, sich darauf zu verlassen, anstatt ein starkes Passwort zu wählen.

    Ergänzend sollte man noch erwähnen, dass man sich nicht darauf verlassen sollte, dass die Angriffe nur auf den Login zielen. Meiner Beobachtung nach häufen sich die Kompromittierungen von WordPress-Installationen, die auf veraltete Installationen, Plugins oder sogar Themes zurückzuführen sind, ebenfalls. Daher sind die obigen Tipps zwar wichtig, reichen aber leider nicht aus. Man muss sich auch regelmäßig um seine Installation kümmern und vor allem zeitnah updaten. Zudem ist ein regelmäßiger Scan, etwa mit dem Plugin Wordfence (http://www.wordpress.org/extend/plugins/wordfence), auf veränderte Core-, Theme- und Plugin-Dateien sowie auf Dateien außerhalb der Installation sehr sinnvoll.

    Antworten Teilen
  12. von Marc am 15.04.2013 (11:55 Uhr)

    Kann mir jemand erklären, warum man die wp-login.php abriegelt und es wenig Sinn macht, das wp-admin Vereichnis abzuriegeln?

    Antworten Teilen
  13. von Martin am 15.04.2013 (12:34 Uhr)

    @Marc: Da WordPress auch im Frontend auf diverse Dateien im Backend zugreift, laut dem Artikel von Sergej Müller (http://playground.ebiene.de/initiative-wordpress-sicherheit/)

    Antworten Teilen
  14. von Thomas am 15.04.2013 (13:52 Uhr)

    Servus,

    eine weitere Strategie - insbesondere bei Bot-Netzen - ist die Verwendung einer Verzögerungstechnik. Dabei verlangsamt man das Antwortzeitverhalten serverseitig. Der echte Anwender bekommt davon nichts mit, da sein Login korrekt ist und er direkt rein kommt. Bei einem Fehlversuch wartet der Server aber einfach einige Sekunden, bis er die nächste Passwortabfrage überhaupt annimmt. das entlastet den Server und macht eine Brut Force wirkungslos, da es schlicht weg zu lange dauert, alle Passwortkombinationen durch zu probieren. Oft ist es ohnehin so, dass Botnetze einen Angriff automatisch abbrechen, wenn der Zielserver nicht mehr (oder zu langsam) antwortet.

    Antworten Teilen
  15. von fotobeam am 15.04.2013 (14:39 Uhr)

    Das passiert in regelmäßigen Abständen. In diesem Artikel habe ich einige Schutzmechanismen und Plugins für WordPress vorgestellt:

    http://fotobeam.de/wordpress/wordpress-hacker-ausgesperrt/

    Antworten Teilen
  16. von Wengh am 15.04.2013 (21:03 Uhr)

    Einfach ein 30 Zeichen langes Passwort und gut ist.

    Antworten Teilen
  17. von Alex Schestag am 15.04.2013 (21:17 Uhr)

    @Wengh nö, die Zeichenanzahl ist nicht alles. Auch ein Passwort mit 30 Zeichen kann unsicher sein, wenn es aus einem Wort besteht oder ansonsten zu wenig zufällig ist.

    Antworten Teilen
  18. von Thilo Wagner am 16.04.2013 (11:12 Uhr)

    Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

    Kunden, Ich selber und viele Wordpress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

    Antworten Teilen
  19. von Alex Schestag am 16.04.2013 (12:05 Uhr)

    @Thilo Wagner dann kann es sein, dass Ihr Blog kompromittiert wurde. Ich kenne 1&1-Kunden, bei denen es einwandfrei geht.

    Antworten Teilen
  20. von Toby Kronwitter am 16.04.2013 (15:14 Uhr)

    @Alex Schestag - Nein dafür musste die eigene Website nicht kompromitiert sein. 1und1 hat tatsächlich "unschuldigige" geblockt. Schön war das ich zu der Zeit eigentlich Übergabe Besprechung mit einem Kunden gehabt hätte und wir erst einmal vor einem Rätsel standen, warum die Seite nur noch über proxy aus dem Ausland erreichbar war.
    Die Tatsache das nur Deutschland geblockt wurde, macht die Sache dann wirklich unrund, denn die meisten Angriffe bei solchen Aktionen kommen gewöhnlich aus dem Ausland.

    Antworten Teilen
  21. von sascha am 17.04.2013 (06:31 Uhr)

    Seit ich google 2 step verification zur Anmeldung im Backend nutze ist Ruhe im Block. Vorher mehrere Angriffe täglich, mittlerweile, wenn überhaupt, dann nur noch ein bis zweimal im Monat....

    Antworten Teilen
  22. von Petra am 19.04.2013 (14:12 Uhr)

    danke erstmal für die vielen Hilfreichen tipps ,da werde ich wohl noch bissle an meinem Blog ändern um ihn sicherer zu machen.

    Antworten Teilen
  23. von Frank am 20.04.2013 (22:55 Uhr)

    Die Angriffe gehen wieder fleißig weiter seit Freitag Nachmittag. Heute am Samstag war mein Blog tatsächlich mal nicht erreichbar* wegen zu viele Anfragen gleichzeitig.
    Genaugenommen sind es bereits DDoS Angriffe, denn rein kommen sie zwar nicht aber die Seite wird lahmgelegt.
    Und ich denke, dass die neu gehackten Seiten vom letzten Wochenende auch gleich für die Angriffe an diesem Wochenende benützt werden.

    *vermutlich war er öfter nicht erreichbar, aber das habe ich dann nicht selbst bemerkt.
    Ich sehe nur, dass sich HTTP 500 und 503 in letzter Zeit häuft.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
Die besten SEO-Plugins für WordPress
Die besten SEO-Plugins für WordPress

Wie lässt sich eine WordPress-Installation für Suchmaschinen optimieren? Und: Worauf gilt es dabei zu achten? Wir haben das Netz gefilzt und die besten SEO-Plugins für WordPress gesammelt. » weiterlesen

WordPress: 15 vermeidbare Anfängerfehler
WordPress: 15 vermeidbare Anfängerfehler

Die einfache Handhabung von WordPress macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler … » weiterlesen

40 kostenlose WordPress-Themes für Responsive Design
40 kostenlose WordPress-Themes für Responsive Design

Das Angebot an kostenlosen Templates für die eigene Website wächst stetig. Auch die Auswahl an Wordpress-Themes, die Responsive Webdesign unterstützen, ist inzwischen beachtlich. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n-Newsletter t3n-Newsletter
Top-Themen der Woche für Web-Pioniere
Jetzt kostenlos
anmelden
Diesen Hinweis verbergen