Drücke die Tasten ◄ ► für weitere Artikel  

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich

Ein Botnet greift derzeit WordPress-Installationen weltweit an. Über 90.000 attackierende IP-Adressen haben Sicherheits-Experten bereits registriert. Ziel ist vermutlich, nach erfolgreicher Attacke ein ungleich mächtigeres Botnet aufzubauen. 

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich
WordPress im Fadenkreuz (Quelle: Cloudflare)

Der Angriff selbst ist dabei denkbar simpel: Es wird versucht, sich mit dem Nutzernamen „admin“ einzuloggen. Um das Passwort herauszufinden, wird schlichtweg ein entsprechender Katalog aus tausenden Einträgen in Windeseile abgearbeitet. Es ist bei den betroffenen Seiten in der Folge eine massiv erhöhte Zahl von Login-Versuchen festzustellen – eine „Brute Force Attack“. Was die Angriffswelle in diesem Fall so problematisch macht, ist die schiere Menge an infizierten PCs, die zum Einsatz kommt.

Experten bei Unternehmen wie CloudFlare vermuten, dass es am Ende darum geht, aus den Servern ein neues Botnet aufzubauen. Das wäre dann um ein Vielfaches mächtiger als das jetzige, weil die Server beispielsweise eine wesentlich bessere Internetanbindung haben als die infizierten PCs. Damit ließen sich sehr wirkungsvolle Attacken auf andere Websites fahren, heißt es zum Beispiel bei CloudFlare. Es gibt ein Vorbild: Die Angriffe auf Websites von US-Banken im vorigen Jahr.

wordpress-fadenkreuz
WordPress im Fadenkreuz. (Bild: Cloudflare)

Das eigene WordPress schützen

Wichtigste Maßnahme für alle, die auf setzen: Die eigenen Sicherheitsmaßnahmen kritisch unter die Lupe nehmen. Folgende Tipps helfen hier weiter:

  • Den Nutzernamen „admin“ nach Möglichkeit ganz vermeiden. Er ist bei WordPress-Blogs so verbreitet, dass er – so wie auch in diesem Fall – als Hebel für den Angriff genutzt wird. In diesem Artikel steht, wie ihr den „admin“-Nutzernamen loswerdet.
  • Passwörter sollten den Tipps von WordPress entsprechen. Dazu gehört: keine einzelnen Wörter oder Zahlenfolgen, keine persönlichen Informationen, nicht einfach ein Wort rückwärts schreiben, nicht dasselbe Passwort für mehrere Seiten nutzen. Stattdessen: Das Passwort sollte mindestens acht Zeichen lang sein, aus Groß- und Kleinbuchstaben bestehen und Zahlen enthalten (idealerweise mittendrin). Sonderzeichen und besonders lange Passwörter (Passphrasen) erhöhen die Sicherheit noch einmal.
  • Eine weitere Möglichkeit ist es, den Admin-Bereich von WordPress selbst mit einem Passwort zu schützen. Sprich: Ohne dieses „Master-Passwort“ kommt man gar nicht erst auf die Login-Seite fürs Backend. Das kann gerade bei Brute-Force-Attacken sehr sinnvoll sein, da der automatische Angriff sehr früh abgefangen wird und den Server dadurch weniger belastet. Sergej Müller beschreibt hier, wie das geht.
  • Zudem wird von einigen generell das WordPress-Plugin „Limit Login Attempts“ empfohlen. Es lässt pro IP nur eine begrenzte Zahl von Login-Versuchen zu und protokolliert diese optional auch. Man bekommt also mit, wenn jemand versucht, sich Zugang zu verschaffen. Wenn die Angriffe allerdings wie in diesem Fall von tausenden IPs kommen können, hilft es nur begrenzt.

Weiterführende Links

586 Shares bis jetzt – Dankeschön!

Bewerten
VN:F [1.9.22_1171]
45 Antworten
  1. von Christian am 15.04.2013 (08:53Uhr)

    Weiß nicht ob es damit zusammenhängt aber am Freitag waren einige meiner Stammseiten nicht erreichbar.
    PS: Die Auflistung von Playground finde ich sehr hilfreich.

  2. von Alex am 15.04.2013 (08:57Uhr)

    @Christian Das lag wohl mehr an dem Ausfall bei all-inkl.com :D

  3. von David am 15.04.2013 (09:11Uhr)

    Woran erkennt man denn, wenn der "Angriff" erfolgreich war?

  4. von Markus am 15.04.2013 (09:11Uhr)

    Ich konnte am WE massive Attacken auf meine Seite feststellen und habe wp-admin auch gleich mit einer .htaccess abgeriegelt, da auch die Serverlast angestiegen ist.

  5. von Toby Kronwitter am 15.04.2013 (09:12Uhr)

    Das ist ja nicht erst seid kurzem so, mit den verstärkten angriffen auf die wp-login.php. Hatte es mit IP Blockern etc versucht, aber war alles Sinnlos. Was wirklich effizient war, ist die Verlegung des Logins auf eine andere URL die nur über "Secret" Word erreichbar ist. Das hat mir wirklich Ruhe und Sicherheit gebracht. Wenn Ihr Fragen dazu habt einfach fragen. Greetz Toby

  6. von René am 15.04.2013 (09:14Uhr)

    http://wordpress.org/extend/plugins/better-wp-security/ … habe ich bei einem neuen Kundenprojekt mal installiert und finde es sehr gut in den Features. Bei einer frischen Install lohnt sich das Plugin meiner Meinung nach. Bei bestehenden muss leider noch hier und da nachgefasst werden.

  7. von Sergej Müller am 15.04.2013 (09:23Uhr)

    @Markus
    Ich hoffe, du hast nicht wp-admin, sondern nur die wp-login.php abgeriegelt. Warum, siehe meinen Artikel.

  8. von Socialflash am 15.04.2013 (09:31Uhr)

    Ich hatte dazu vor den "Angriffen" mal einen Artikel geschrieben, und auf einige andere Plugins hingewiesen:

    http://www.socialflash.de/10-wordpress-plugins-fur-mehr-sicherheit-5345

  9. von Frank Matuse am 15.04.2013 (09:57Uhr)

    Auch sehr hilfreich. Deckt viele der wesentlichen Punkte gut ab. http://wordpress.org/extend/plugins/better-wp-security/

  10. von weltenweiser – Angriffswelle auf W… am 15.04.2013 (10:41Uhr)

    [...] mal wieder eine Angriffswelle gegen WordPress-Blogs. Die Kollegen von t3n waren so freundlich, in einem Artikel zu beschreiben, wie man das blog sicherer machen kann. Schick finde ich den dort verlinkten Tipp, [...]

  11. von Konrad Roelz via facebook am 15.04.2013 (11:06Uhr)

    Danke für die Info. 2 Fragen noch dazu:
    wie erkenne ich, ob meine WP-Installation Teil eines Bot-Netzes ist?
    Und falls dem so ist, wie lässt sich das bereinigen?

  12. von Dennis am 15.04.2013 (11:09Uhr)

    Mit dieser Frage sollte sich eigentlich jeder Wordpress-Nutzer schon wärend des Entstehungsprozesses zur Seite reichlich Gedanken machen ... leider, wie die Praxis zeigt, wird dies nur seltenst wirklich beherzigt.

    Nach einiger Recherche und zudem auch weil ich schon seit einigen Jahren auf diesem Marktplatz einkaufe, hab ich 'Hide My WP' gefunden:
    http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158?ref=TenserD
    (wer nicht möchte, dass ich für die Empfehlung bei Nutzung dieses Links ein paar cent verdiene, kann diesen Link hier heraus kopieren, in ein neues Browserfenster kopieren und das "?ref=TenserD" entfernen*)

    Nach eingehenden Tests auf 3 Wordpress-Instanzen, implementationen von ca. 50 Plugins und der Nutzung von ChildThemes (wird seit dem letzten Update unterstützt) als sehr gut befunden. Die performace der einzelnen Blogs ist gleichbleibend und nur durch einbinden div. anderer Plugins beeinflusst worden. Die Verschleierung von Wordpress ist nahezu perfekt - "nahezu" bedeutet, dass das System komplett abgedeckt wird aber bei der Flut an Plugins, die dann doch gerne mal aus der Reihe springen mit Ihren merkmalen bei css oder html Angaben, kann schon das Ein oder Andere dabei sein was durch das Raster fällt. Eine Anfrage beim Programmiererteam hat aber hierbei schon für Abhilfe geschaffen.

    Bei diesem Plugin wird zudem auch für den Loginbereich ein neuer Login-Link erstellt und der Zugriff auf das Loginformular verscheiert (Frontend-Anmeldung auf Widget-Position ausgeschlossen)

    Alle Eingaben die bei der Einrichtung des Plugins getroffen wurden, können exportiert werden und bei einer Neuinstallation importiert. Dies erleichtert die Arbeit ungemein.

    Kurze Übersicht:
    Handhabung (Installation und Einrichtung): 1
    Verscheierung: 1,5 (System Ja!, Pugins die nicht unterstützt werden an die Programmierer weitergeben)
    Support: 1+

    *Ich werde nicht von t3n oder von den Programmierern für diesen Bericht bezahlt, von daher auch nur ein kleiner Affiliate-Link oben mit drinne. Ich unterstütze die OpenSourceGemeinde schon seit Jahren und kümmere mich seit 2 Jahren hauptsächlich um die sicherheitsbasierte Optimierung von Systemen wie Joomla und Wordpress. Ich hoffe das Produkt wird Euch genauso helfen, wie es mir bei den letzten Installationen geholfen hat.

    Schöne Grüße
    Dennis

  13. von Botnet attackiert weltweit Wordpress Ins… am 15.04.2013 (11:11Uhr)

    [...] T3N: Massive Angriffswelle auf WordPress-Seiten – so schützt du dich [...]

  14. von Alex Schestag am 15.04.2013 (11:17Uhr)

    Guter Artikel! Vor allem: Endlich spricht mal ein Autor über den sehr begrenzten Sinn von Plugins wie Limit Login Attempts bei derart massiv verteilten Angriffen. Ich halte das Plugin sogar für gefährlich, weil es User dazu verleiten könnte, sich darauf zu verlassen, anstatt ein starkes Passwort zu wählen.

    Ergänzend sollte man noch erwähnen, dass man sich nicht darauf verlassen sollte, dass die Angriffe nur auf den Login zielen. Meiner Beobachtung nach häufen sich die Kompromittierungen von WordPress-Installationen, die auf veraltete Installationen, Plugins oder sogar Themes zurückzuführen sind, ebenfalls. Daher sind die obigen Tipps zwar wichtig, reichen aber leider nicht aus. Man muss sich auch regelmäßig um seine Installation kümmern und vor allem zeitnah updaten. Zudem ist ein regelmäßiger Scan, etwa mit dem Plugin Wordfence (http://www.wordpress.org/extend/plugins/wordfence), auf veränderte Core-, Theme- und Plugin-Dateien sowie auf Dateien außerhalb der Installation sehr sinnvoll.

  15. von Attacke gegen WordPress-Blogs » Th… am 15.04.2013 (11:25Uhr)

    [...] Zur Zeit gibt es wohl einen massiven Angriff auf WordPress-Installationen. Damit soll ein extrem mächtiges Botnet (INFO) aufgebaut werden. Wie Betreiber von WordPress-Blogs mit dem Log-In “admin” ihre Installation sichern können, wird in einem t3n-Artikel sehr gut beschrieben (KLICK). [...]

  16. von Marc am 15.04.2013 (11:55Uhr)

    Kann mir jemand erklären, warum man die wp-login.php abriegelt und es wenig Sinn macht, das wp-admin Vereichnis abzuriegeln?

  17. von Martin am 15.04.2013 (12:34Uhr)

    @Marc: Da WordPress auch im Frontend auf diverse Dateien im Backend zugreift, laut dem Artikel von Sergej Müller (http://playground.ebiene.de/initiative-wordpress-sicherheit/)

  18. von Thomas am 15.04.2013 (13:52Uhr)

    Servus,

    eine weitere Strategie - insbesondere bei Bot-Netzen - ist die Verwendung einer Verzögerungstechnik. Dabei verlangsamt man das Antwortzeitverhalten serverseitig. Der echte Anwender bekommt davon nichts mit, da sein Login korrekt ist und er direkt rein kommt. Bei einem Fehlversuch wartet der Server aber einfach einige Sekunden, bis er die nächste Passwortabfrage überhaupt annimmt. das entlastet den Server und macht eine Brut Force wirkungslos, da es schlicht weg zu lange dauert, alle Passwortkombinationen durch zu probieren. Oft ist es ohnehin so, dass Botnetze einen Angriff automatisch abbrechen, wenn der Zielserver nicht mehr (oder zu langsam) antwortet.

  19. von fotobeam am 15.04.2013 (14:39Uhr)

    Das passiert in regelmäßigen Abständen. In diesem Artikel habe ich einige Schutzmechanismen und Plugins für WordPress vorgestellt:

    http://fotobeam.de/wordpress/wordpress-hacker-ausgesperrt/

  20. von Brute force attack - Angriffswelle auf W… am 15.04.2013 (16:59Uhr)

    [...] t3n.de über die Massive Angriffswelle auf WordPress Seiten [...]

  21. von Wordpress: Angriffswelle betrifft viele… am 15.04.2013 (19:02Uhr)

    [...] Masse an infizierten PC’s versucht derzeit WordPress-Blogs zu attackieren. Sicherheits-Experten rechnen damit, dass die Angriffe bereits von rund 90000 IP-Adressen ausgehen, d... Dabei soll wahrscheinlich Schritt für Schritt ein großes Botnet aufgebaut werden. Grund für den [...]

  22. von Wengh am 15.04.2013 (21:03Uhr)

    Einfach ein 30 Zeichen langes Passwort und gut ist.

  23. von Alex Schestag am 15.04.2013 (21:17Uhr)

    @Wengh nö, die Zeichenanzahl ist nicht alles. Auch ein Passwort mit 30 Zeichen kann unsicher sein, wenn es aus einem Wort besteht oder ansonsten zu wenig zufällig ist.

  24. von Website-Sicherheit: Warum komplizierte P… am 16.04.2013 (07:40Uhr)

    [...] Beitrag von Jan Tißler auf t3n.de erklärt die Hintergründe des Angriffs und nennt weitere Maßnahmen, wie WordPress-Installationen [...]

  25. von Thilo Wagner am 16.04.2013 (11:12Uhr)

    Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

    Kunden, Ich selber und viele Wordpress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

  26. von Weltweiter Wörterbuch-Angriff auf den S… am 16.04.2013 (11:40Uhr)

    [...] Weitere Tipps zum Absichern Ihrer WordPress-Installation finden Sie auf t3n.de. [...]

  27. von Alex Schestag am 16.04.2013 (12:05Uhr)

    @Thilo Wagner dann kann es sein, dass Ihr Blog kompromittiert wurde. Ich kenne 1&1-Kunden, bei denen es einwandfrei geht.

  28. von WordPress-Sicherheit: Diese Plugins sch… am 16.04.2013 (13:43Uhr)

    [...] WordPress ist unter anderem so beliebt, weil das System einfach ist – es ist einfach, mit WordPress schnell eine Website aufzusetzen; es ist einfach, mit WordPress Inhalte online zu stellen, und es ist einfach, WordPress zu hacken. Zumindest, wenn der entsprechende Betreiber davon ausgeht, dass es nach der Installation keinerlei weiterer Sicherheitsmaßnahmen (wie zum Beispiel das Einspielen von Updates oder das Ändern des Admin-Usernamen) bedarf. Wie schlecht es bei vielen Betreibern um die WordPress-Sicherheit bestellt ist, zeigt die aktuelle Angriffswelle auf WordPress-Seiten. [...]

  29. von Toby Kronwitter am 16.04.2013 (15:14Uhr)

    @Alex Schestag - Nein dafür musste die eigene Website nicht kompromitiert sein. 1und1 hat tatsächlich "unschuldigige" geblockt. Schön war das ich zu der Zeit eigentlich Übergabe Besprechung mit einem Kunden gehabt hätte und wir erst einmal vor einem Rätsel standen, warum die Seite nur noch über proxy aus dem Ausland erreichbar war.
    Die Tatsache das nur Deutschland geblockt wurde, macht die Sache dann wirklich unrund, denn die meisten Angriffe bei solchen Aktionen kommen gewöhnlich aus dem Ausland.

  30. von sascha am 17.04.2013 (06:31Uhr)

    Seit ich google 2 step verification zur Anmeldung im Backend nutze ist Ruhe im Block. Vorher mehrere Angriffe täglich, mittlerweile, wenn überhaupt, dann nur noch ein bis zweimal im Monat....

  31. von Über 90.000 WordPress-Blogs attackiert… am 17.04.2013 (14:20Uhr)

    [...] gibt einige Möglichkeiten, seinen eigenen WordPress-Blog vor den Angriffen zu schützen. t3n hat ein paar Tipps für deine Account-Sicherheit [...]

  32. von Hacker-Angriffe auf WordPress-Seiten | b… am 18.04.2013 (06:16Uhr)

    [...] t3n und PC Magazine berichten über die jüngsten Hacker-Attacken auf WordPress- & Joomla-Seiten. Sie erfahren da auch, wie Sie sich dagegen schützen können, z.B. mit dem WorpPress-Plugin Limit Login Attempts, das ich auch in meinen vier Blogs einsetze: [...]

  33. von Login Security for WordPress - Sicherhei… am 18.04.2013 (17:24Uhr)

    [...] ein System mit breiter Installationsbasis. Klar, dass dieses System oftmals angegriffen wird. Am 15.04.2013 berichtet T3N von einem Botnet, das derzeit weltweit WordPress-Installationen angreift. Experten konnten bereits [...]

  34. von Petra am 19.04.2013 (14:12Uhr)

    danke erstmal für die vielen Hilfreichen tipps ,da werde ich wohl noch bissle an meinem Blog ändern um ihn sicherer zu machen.

  35. von Frank am 20.04.2013 (22:55Uhr)

    Die Angriffe gehen wieder fleißig weiter seit Freitag Nachmittag. Heute am Samstag war mein Blog tatsächlich mal nicht erreichbar* wegen zu viele Anfragen gleichzeitig.
    Genaugenommen sind es bereits DDoS Angriffe, denn rein kommen sie zwar nicht aber die Seite wird lahmgelegt.
    Und ich denke, dass die neu gehackten Seiten vom letzten Wochenende auch gleich für die Angriffe an diesem Wochenende benützt werden.

    *vermutlich war er öfter nicht erreichbar, aber das habe ich dann nicht selbst bemerkt.
    Ich sehe nur, dass sich HTTP 500 und 503 in letzter Zeit häuft.

  36. von Schützen Sie sich vor Brute-Force-Angri… am 22.04.2013 (18:12Uhr)

    [...] schaffen, wodurch sich schließlich größere Attacken auf andere Webseiten steuern ließen. Wie t3n.de berichtete, steht dabei das Vorbild zugrunde, wie im letzten Jahr Webseiten von US-Banken [...]

  37. von Den Benutzernamen admin in Wordpress än… am 27.04.2013 (16:17Uhr)

    [...] Brisanz hat das Thema durch die jüngste Angriffswelle auf WordPress-Installationen erhalten. t3n berichtete kürzlich über das Ziel, mit gekarperten WP-Rechnern ein Botnet aufzubauen. Höchste [...]

  38. von PGP-Kontaktformular « blogsport.de… am 19.06.2013 (08:56Uhr)

    [...] (Offtopic): Aufgrund wiederkehrender Botnetz-Angriffe auf unsere Log­in-Seiten müssen wir euch bitten, euch in nächster Zeit unter [...]

  39. von Do the math! « blogsport.de –… am 19.06.2013 (19:50Uhr)

    [...] (Offtopic): Aufgrund wiederkehrender Botnetz-Angriffe auf unsere Log­in-Seiten müssen wir euch bitten, euch in nächster Zeit unter [...]

  40. von Weiter automatisierte Angriffe auf Wordp… am 17.07.2013 (09:26Uhr)

    [...] t3n - Massive Angriffswelle auf WordPress [...]

  41. von Blogger aufgepasst! Was man in puncto Si… am 30.07.2013 (12:38Uhr)

    [...] Womöglich einer der größten Angriffe auf ein Blogsystems, wurde im Zusammenhang mit WordPress bekannt. Im April 2013 nutzten Angreifer ein Botnet von mehr als 90.000 Rechnern, um die [...]

  42. von Botnetze greifen WordPress-Installatione… am 10.11.2013 (18:02Uhr)

    […] >>>Hier<<< ist das ganz noch etwas genauer beschrieben. […]

Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
WordPress Theme Directory: Die Plattform für dein WordPress-Theme
WordPress Theme Directory: Die Plattform für dein WordPress-Theme

Wenn ihr ein WordPress-Theme entwickelt, das ihr anderen kostenlos zur Verfügung stellen möchtet, ist die naheliegendste Plattform dafür das WordPress Theme Directory. Was es vor dem Upload zu... » weiterlesen

WordPress: Statistik-Feature in Version 4.0 für iOS veröffentlicht
WordPress: Statistik-Feature in Version 4.0 für iOS veröffentlicht

WordPress hat eine neue iOS-Version der beliebten Blog-Software veröffentlicht. Hauptfeature des Updates ist die bessere Darstellung der Statistiken. » weiterlesen

So setzt ihr WordPress ein: Treehouse-Tutorial erklärt euch das CMS
So setzt ihr WordPress ein: Treehouse-Tutorial erklärt euch das CMS

Die Tutorial-Plattform Treehouse bietet einen umfassenden Video-Kurs für WordPress-Einsteiger an. Von der Installation des Content-Management-Systems bis zu Widgets und Plugins werden alle wichtigen. ... » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 35 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen