Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich

    Massive Angriffswelle auf WordPress-Seiten – so schützt du dich
WordPress im Fadenkreuz (Quelle: Cloudflare)

Ein Botnet greift derzeit WordPress-Installationen weltweit an. Über 90.000 attackierende IP-Adressen haben Sicherheits-Experten bereits registriert. Ziel ist vermutlich, nach erfolgreicher Attacke ein ungleich mächtigeres Botnet aufzubauen. 

Der Angriff selbst ist dabei denkbar simpel: Es wird versucht, sich mit dem Nutzernamen „admin“ einzuloggen. Um das Passwort herauszufinden, wird schlichtweg ein entsprechender Katalog aus tausenden Einträgen in Windeseile abgearbeitet. Es ist bei den betroffenen Seiten in der Folge eine massiv erhöhte Zahl von Login-Versuchen festzustellen – eine „Brute Force Attack“. Was die Angriffswelle in diesem Fall so problematisch macht, ist die schiere Menge an infizierten PCs, die zum Einsatz kommt.

Experten bei Unternehmen wie CloudFlare vermuten, dass es am Ende darum geht, aus den Servern ein neues Botnet aufzubauen. Das wäre dann um ein Vielfaches mächtiger als das jetzige, weil die Server beispielsweise eine wesentlich bessere Internetanbindung haben als die infizierten PCs. Damit ließen sich sehr wirkungsvolle Attacken auf andere Websites fahren, heißt es zum Beispiel bei CloudFlare. Es gibt ein Vorbild: Die Angriffe auf Websites von US-Banken im vorigen Jahr.

wordpress-fadenkreuz
WordPress im Fadenkreuz. (Bild: Cloudflare)

Das eigene WordPress schützen

Wichtigste Maßnahme für alle, die auf WordPress setzen: Die eigenen Sicherheitsmaßnahmen kritisch unter die Lupe nehmen. Folgende Tipps helfen hier weiter:

  • Den Nutzernamen „admin“ nach Möglichkeit ganz vermeiden. Er ist bei WordPress-Blogs so verbreitet, dass er – so wie auch in diesem Fall – als Hebel für den Angriff genutzt wird. In diesem Artikel steht, wie ihr den „admin“-Nutzernamen loswerdet.
  • Passwörter sollten den Tipps von WordPress entsprechen. Dazu gehört: keine einzelnen Wörter oder Zahlenfolgen, keine persönlichen Informationen, nicht einfach ein Wort rückwärts schreiben, nicht dasselbe Passwort für mehrere Seiten nutzen. Stattdessen: Das Passwort sollte mindestens acht Zeichen lang sein, aus Groß- und Kleinbuchstaben bestehen und Zahlen enthalten (idealerweise mittendrin). Sonderzeichen und besonders lange Passwörter (Passphrasen) erhöhen die Sicherheit noch einmal.
  • Eine weitere Möglichkeit ist es, den Admin-Bereich von WordPress selbst mit einem Passwort zu schützen. Sprich: Ohne dieses „Master-Passwort“ kommt man gar nicht erst auf die Login-Seite fürs Backend. Das kann gerade bei Brute-Force-Attacken sehr sinnvoll sein, da der automatische Angriff sehr früh abgefangen wird und den Server dadurch weniger belastet. Sergej Müller beschreibt hier, wie das geht.
  • Zudem wird von einigen generell das WordPress-Plugin „Limit Login Attempts“ empfohlen. Es lässt pro IP nur eine begrenzte Zahl von Login-Versuchen zu und protokolliert diese optional auch. Man bekommt also mit, wenn jemand versucht, sich Zugang zu verschaffen. Wenn die Angriffe allerdings wie in diesem Fall von tausenden IPs kommen können, hilft es nur begrenzt.

Weiterführende Links

Finde einen Job, den du liebst zum Thema PHP, WordPress

25 Reaktionen
tuhipoka
tuhipoka

eine gute methode schnell über unerwünschte aktivitäten informiert zu werden ist das ftp-monitoring. dieses verhindert zwar keinen erfolgreichen angriff aber alle änderungen werden protokolliert und zeitnah mitgeteilt.siehe auch http://wamane.de/index.php/34-mittels-ftp-monitoring-koennen-sie-ihren-ftp-server-ueberwachen

Antworten
Frank

Die Angriffe gehen wieder fleißig weiter seit Freitag Nachmittag. Heute am Samstag war mein Blog tatsächlich mal nicht erreichbar* wegen zu viele Anfragen gleichzeitig.
Genaugenommen sind es bereits DDoS Angriffe, denn rein kommen sie zwar nicht aber die Seite wird lahmgelegt.
Und ich denke, dass die neu gehackten Seiten vom letzten Wochenende auch gleich für die Angriffe an diesem Wochenende benützt werden.

*vermutlich war er öfter nicht erreichbar, aber das habe ich dann nicht selbst bemerkt.
Ich sehe nur, dass sich HTTP 500 und 503 in letzter Zeit häuft.

Antworten
Petra

danke erstmal für die vielen Hilfreichen tipps ,da werde ich wohl noch bissle an meinem Blog ändern um ihn sicherer zu machen.

Antworten
sascha
sascha

Seit ich google 2 step verification zur Anmeldung im Backend nutze ist Ruhe im Block. Vorher mehrere Angriffe täglich, mittlerweile, wenn überhaupt, dann nur noch ein bis zweimal im Monat....

Antworten
Toby Kronwitter

@Alex Schestag - Nein dafür musste die eigene Website nicht kompromitiert sein. 1und1 hat tatsächlich "unschuldigige" geblockt. Schön war das ich zu der Zeit eigentlich Übergabe Besprechung mit einem Kunden gehabt hätte und wir erst einmal vor einem Rätsel standen, warum die Seite nur noch über proxy aus dem Ausland erreichbar war.
Die Tatsache das nur Deutschland geblockt wurde, macht die Sache dann wirklich unrund, denn die meisten Angriffe bei solchen Aktionen kommen gewöhnlich aus dem Ausland.

Antworten
Alex Schestag

@Thilo Wagner dann kann es sein, dass Ihr Blog kompromittiert wurde. Ich kenne 1&1-Kunden, bei denen es einwandfrei geht.

Antworten
Thilo Wagner

Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

Kunden, Ich selber und viele Wordpress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

Antworten
Alex Schestag

@Wengh nö, die Zeichenanzahl ist nicht alles. Auch ein Passwort mit 30 Zeichen kann unsicher sein, wenn es aus einem Wort besteht oder ansonsten zu wenig zufällig ist.

Antworten
Wengh
Wengh

Einfach ein 30 Zeichen langes Passwort und gut ist.

Antworten
blogokratie
blogokratie

mit obpwd ein sicheres Password aus einer Datei erstellen. https://addons.mozilla.org/de/firefox/addon/obpwd-object-based-password-pa/

Antworten
fotobeam
fotobeam

Das passiert in regelmäßigen Abständen. In diesem Artikel habe ich einige Schutzmechanismen und Plugins für WordPress vorgestellt:

http://fotobeam.de/wordpress/wordpress-hacker-ausgesperrt/

Antworten
Thomas
Thomas

Servus,

eine weitere Strategie - insbesondere bei Bot-Netzen - ist die Verwendung einer Verzögerungstechnik. Dabei verlangsamt man das Antwortzeitverhalten serverseitig. Der echte Anwender bekommt davon nichts mit, da sein Login korrekt ist und er direkt rein kommt. Bei einem Fehlversuch wartet der Server aber einfach einige Sekunden, bis er die nächste Passwortabfrage überhaupt annimmt. das entlastet den Server und macht eine Brut Force wirkungslos, da es schlicht weg zu lange dauert, alle Passwortkombinationen durch zu probieren. Oft ist es ohnehin so, dass Botnetze einen Angriff automatisch abbrechen, wenn der Zielserver nicht mehr (oder zu langsam) antwortet.

Antworten
Martin

@Marc: Da WordPress auch im Frontend auf diverse Dateien im Backend zugreift, laut dem Artikel von Sergej Müller (http://playground.ebiene.de/initiative-wordpress-sicherheit/)

Antworten
Marc

Kann mir jemand erklären, warum man die wp-login.php abriegelt und es wenig Sinn macht, das wp-admin Vereichnis abzuriegeln?

Antworten
Alex Schestag

Guter Artikel! Vor allem: Endlich spricht mal ein Autor über den sehr begrenzten Sinn von Plugins wie Limit Login Attempts bei derart massiv verteilten Angriffen. Ich halte das Plugin sogar für gefährlich, weil es User dazu verleiten könnte, sich darauf zu verlassen, anstatt ein starkes Passwort zu wählen.

Ergänzend sollte man noch erwähnen, dass man sich nicht darauf verlassen sollte, dass die Angriffe nur auf den Login zielen. Meiner Beobachtung nach häufen sich die Kompromittierungen von WordPress-Installationen, die auf veraltete Installationen, Plugins oder sogar Themes zurückzuführen sind, ebenfalls. Daher sind die obigen Tipps zwar wichtig, reichen aber leider nicht aus. Man muss sich auch regelmäßig um seine Installation kümmern und vor allem zeitnah updaten. Zudem ist ein regelmäßiger Scan, etwa mit dem Plugin Wordfence (http://www.wordpress.org/extend/plugins/wordfence), auf veränderte Core-, Theme- und Plugin-Dateien sowie auf Dateien außerhalb der Installation sehr sinnvoll.

Antworten
Dennis
Dennis

Mit dieser Frage sollte sich eigentlich jeder Wordpress-Nutzer schon wärend des Entstehungsprozesses zur Seite reichlich Gedanken machen ... leider, wie die Praxis zeigt, wird dies nur seltenst wirklich beherzigt.

Nach einiger Recherche und zudem auch weil ich schon seit einigen Jahren auf diesem Marktplatz einkaufe, hab ich 'Hide My WP' gefunden:
http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158?ref=TenserD
(wer nicht möchte, dass ich für die Empfehlung bei Nutzung dieses Links ein paar cent verdiene, kann diesen Link hier heraus kopieren, in ein neues Browserfenster kopieren und das "?ref=TenserD" entfernen*)

Nach eingehenden Tests auf 3 Wordpress-Instanzen, implementationen von ca. 50 Plugins und der Nutzung von ChildThemes (wird seit dem letzten Update unterstützt) als sehr gut befunden. Die performace der einzelnen Blogs ist gleichbleibend und nur durch einbinden div. anderer Plugins beeinflusst worden. Die Verschleierung von Wordpress ist nahezu perfekt - "nahezu" bedeutet, dass das System komplett abgedeckt wird aber bei der Flut an Plugins, die dann doch gerne mal aus der Reihe springen mit Ihren merkmalen bei css oder html Angaben, kann schon das Ein oder Andere dabei sein was durch das Raster fällt. Eine Anfrage beim Programmiererteam hat aber hierbei schon für Abhilfe geschaffen.

Bei diesem Plugin wird zudem auch für den Loginbereich ein neuer Login-Link erstellt und der Zugriff auf das Loginformular verscheiert (Frontend-Anmeldung auf Widget-Position ausgeschlossen)

Alle Eingaben die bei der Einrichtung des Plugins getroffen wurden, können exportiert werden und bei einer Neuinstallation importiert. Dies erleichtert die Arbeit ungemein.

Kurze Übersicht:
Handhabung (Installation und Einrichtung): 1
Verscheierung: 1,5 (System Ja!, Pugins die nicht unterstützt werden an die Programmierer weitergeben)
Support: 1+

*Ich werde nicht von t3n oder von den Programmierern für diesen Bericht bezahlt, von daher auch nur ein kleiner Affiliate-Link oben mit drinne. Ich unterstütze die OpenSourceGemeinde schon seit Jahren und kümmere mich seit 2 Jahren hauptsächlich um die sicherheitsbasierte Optimierung von Systemen wie Joomla und Wordpress. Ich hoffe das Produkt wird Euch genauso helfen, wie es mir bei den letzten Installationen geholfen hat.

Schöne Grüße
Dennis

Antworten
Frank Matuse
Frank Matuse

Auch sehr hilfreich. Deckt viele der wesentlichen Punkte gut ab. http://wordpress.org/extend/plugins/better-wp-security/

Antworten
Socialflash
Socialflash

Ich hatte dazu vor den "Angriffen" mal einen Artikel geschrieben, und auf einige andere Plugins hingewiesen:

http://www.socialflash.de/10-wordpress-plugins-fur-mehr-sicherheit-5345

Antworten
Sergej Müller

@Markus
Ich hoffe, du hast nicht wp-admin, sondern nur die wp-login.php abgeriegelt. Warum, siehe meinen Artikel.

Antworten
René

http://wordpress.org/extend/plugins/better-wp-security/ … habe ich bei einem neuen Kundenprojekt mal installiert und finde es sehr gut in den Features. Bei einer frischen Install lohnt sich das Plugin meiner Meinung nach. Bei bestehenden muss leider noch hier und da nachgefasst werden.

Antworten
Toby Kronwitter

Das ist ja nicht erst seid kurzem so, mit den verstärkten angriffen auf die wp-login.php. Hatte es mit IP Blockern etc versucht, aber war alles Sinnlos. Was wirklich effizient war, ist die Verlegung des Logins auf eine andere URL die nur über "Secret" Word erreichbar ist. Das hat mir wirklich Ruhe und Sicherheit gebracht. Wenn Ihr Fragen dazu habt einfach fragen. Greetz Toby

Antworten
Markus

Ich konnte am WE massive Attacken auf meine Seite feststellen und habe wp-admin auch gleich mit einer .htaccess abgeriegelt, da auch die Serverlast angestiegen ist.

Antworten
David
David

Woran erkennt man denn, wenn der "Angriff" erfolgreich war?

Antworten
Alex

@Christian Das lag wohl mehr an dem Ausfall bei all-inkl.com :D

Antworten
Christian
Christian

Weiß nicht ob es damit zusammenhängt aber am Freitag waren einige meiner Stammseiten nicht erreichbar.
PS: Die Auflistung von Playground finde ich sehr hilfreich.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen