Anzeige
Anzeige
Hardware & Gadgets
Artikel merken

Massive Angriffswelle auf WordPress-Seiten – so schützt du dich

Ein Botnet greift derzeit WordPress-Installationen weltweit an. Über 90.000 attackierende IP-Adressen haben Sicherheits-Experten bereits registriert. Ziel ist vermutlich, nach erfolgreicher Attacke ein ungleich mächtigeres Botnet aufzubauen. 

Von Jan Tißler
2 Min. Lesezeit
Anzeige
Anzeige
WordPress im Fadenkreuz (Quelle: Cloudflare)

Der Angriff selbst ist dabei denkbar simpel: Es wird versucht, sich mit dem Nutzernamen „admin“ einzuloggen. Um das Passwort herauszufinden, wird schlichtweg ein entsprechender Katalog aus tausenden Einträgen in Windeseile abgearbeitet. Es ist bei den betroffenen Seiten in der Folge eine massiv erhöhte Zahl von Login-Versuchen festzustellen – eine „Brute Force Attack“. Was die Angriffswelle in diesem Fall so problematisch macht, ist die schiere Menge an infizierten PCs, die zum Einsatz kommt.

Anzeige
Anzeige

Experten bei Unternehmen wie CloudFlare vermuten, dass es am Ende darum geht, aus den Servern ein neues Botnet aufzubauen. Das wäre dann um ein Vielfaches mächtiger als das jetzige, weil die Server beispielsweise eine wesentlich bessere Internetanbindung haben als die infizierten PCs. Damit ließen sich sehr wirkungsvolle Attacken auf andere Websites fahren, heißt es zum Beispiel bei CloudFlare. Es gibt ein Vorbild: Die Angriffe auf Websites von US-Banken im vorigen Jahr.

wordpress-fadenkreuz

WordPress im Fadenkreuz. (Bild: Cloudflare)

Das eigene WordPress schützen

Wichtigste Maßnahme für alle, die auf WordPress setzen: Die eigenen Sicherheitsmaßnahmen kritisch unter die Lupe nehmen. Folgende Tipps helfen hier weiter:

  • Den Nutzernamen „admin“ nach Möglichkeit ganz vermeiden. Er ist bei WordPress-Blogs so verbreitet, dass er – so wie auch in diesem Fall – als Hebel für den Angriff genutzt wird. In diesem Artikel steht, wie ihr den „admin“-Nutzernamen loswerdet.
  • Passwörter sollten den Tipps von WordPress entsprechen. Dazu gehört: keine einzelnen Wörter oder Zahlenfolgen, keine persönlichen Informationen, nicht einfach ein Wort rückwärts schreiben, nicht dasselbe Passwort für mehrere Seiten nutzen. Stattdessen: Das Passwort sollte mindestens acht Zeichen lang sein, aus Groß- und Kleinbuchstaben bestehen und Zahlen enthalten (idealerweise mittendrin). Sonderzeichen und besonders lange Passwörter (Passphrasen) erhöhen die Sicherheit noch einmal.
  • Eine weitere Möglichkeit ist es, den Admin-Bereich von WordPress selbst mit einem Passwort zu schützen. Sprich: Ohne dieses „Master-Passwort“ kommt man gar nicht erst auf die Login-Seite fürs Backend. Das kann gerade bei Brute-Force-Attacken sehr sinnvoll sein, da der automatische Angriff sehr früh abgefangen wird und den Server dadurch weniger belastet. Sergej Müller beschreibt hier, wie das geht.
  • Zudem wird von einigen generell das WordPress-Plugin „Limit Login Attempts“ empfohlen. Es lässt pro IP nur eine begrenzte Zahl von Login-Versuchen zu und protokolliert diese optional auch. Man bekommt also mit, wenn jemand versucht, sich Zugang zu verschaffen. Wenn die Angriffe allerdings wie in diesem Fall von tausenden IPs kommen können, hilft es nur begrenzt.

Weiterführende Links

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
26 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Christian

Weiß nicht ob es damit zusammenhängt aber am Freitag waren einige meiner Stammseiten nicht erreichbar.
PS: Die Auflistung von Playground finde ich sehr hilfreich.

Antworten
Alex

@Christian Das lag wohl mehr an dem Ausfall bei all-inkl.com :D

Antworten
David

Woran erkennt man denn, wenn der „Angriff“ erfolgreich war?

Antworten
Markus

Ich konnte am WE massive Attacken auf meine Seite feststellen und habe wp-admin auch gleich mit einer .htaccess abgeriegelt, da auch die Serverlast angestiegen ist.

Antworten
Toby Kronwitter

Das ist ja nicht erst seid kurzem so, mit den verstärkten angriffen auf die wp-login.php. Hatte es mit IP Blockern etc versucht, aber war alles Sinnlos. Was wirklich effizient war, ist die Verlegung des Logins auf eine andere URL die nur über „Secret“ Word erreichbar ist. Das hat mir wirklich Ruhe und Sicherheit gebracht. Wenn Ihr Fragen dazu habt einfach fragen. Greetz Toby

Antworten
René

http://wordpress.org/extend/plugins/better-wp-security/ … habe ich bei einem neuen Kundenprojekt mal installiert und finde es sehr gut in den Features. Bei einer frischen Install lohnt sich das Plugin meiner Meinung nach. Bei bestehenden muss leider noch hier und da nachgefasst werden.

Antworten
Sergej Müller

@Markus
Ich hoffe, du hast nicht wp-admin, sondern nur die wp-login.php abgeriegelt. Warum, siehe meinen Artikel.

Antworten
Socialflash

Ich hatte dazu vor den „Angriffen“ mal einen Artikel geschrieben, und auf einige andere Plugins hingewiesen:

http://www.socialflash.de/10-wordpress-plugins-fur-mehr-sicherheit-5345

Antworten
Frank Matuse

Auch sehr hilfreich. Deckt viele der wesentlichen Punkte gut ab. http://wordpress.org/extend/plugins/better-wp-security/

Antworten
Dennis

Mit dieser Frage sollte sich eigentlich jeder WordPress-Nutzer schon wärend des Entstehungsprozesses zur Seite reichlich Gedanken machen … leider, wie die Praxis zeigt, wird dies nur seltenst wirklich beherzigt.

Nach einiger Recherche und zudem auch weil ich schon seit einigen Jahren auf diesem Marktplatz einkaufe, hab ich ‚Hide My WP‘ gefunden:
http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158?ref=TenserD
(wer nicht möchte, dass ich für die Empfehlung bei Nutzung dieses Links ein paar cent verdiene, kann diesen Link hier heraus kopieren, in ein neues Browserfenster kopieren und das „?ref=TenserD“ entfernen*)

Nach eingehenden Tests auf 3 WordPress-Instanzen, implementationen von ca. 50 Plugins und der Nutzung von ChildThemes (wird seit dem letzten Update unterstützt) als sehr gut befunden. Die performace der einzelnen Blogs ist gleichbleibend und nur durch einbinden div. anderer Plugins beeinflusst worden. Die Verschleierung von WordPress ist nahezu perfekt – „nahezu“ bedeutet, dass das System komplett abgedeckt wird aber bei der Flut an Plugins, die dann doch gerne mal aus der Reihe springen mit Ihren merkmalen bei css oder html Angaben, kann schon das Ein oder Andere dabei sein was durch das Raster fällt. Eine Anfrage beim Programmiererteam hat aber hierbei schon für Abhilfe geschaffen.

Bei diesem Plugin wird zudem auch für den Loginbereich ein neuer Login-Link erstellt und der Zugriff auf das Loginformular verscheiert (Frontend-Anmeldung auf Widget-Position ausgeschlossen)

Alle Eingaben die bei der Einrichtung des Plugins getroffen wurden, können exportiert werden und bei einer Neuinstallation importiert. Dies erleichtert die Arbeit ungemein.

Kurze Übersicht:
Handhabung (Installation und Einrichtung): 1
Verscheierung: 1,5 (System Ja!, Pugins die nicht unterstützt werden an die Programmierer weitergeben)
Support: 1+

*Ich werde nicht von t3n oder von den Programmierern für diesen Bericht bezahlt, von daher auch nur ein kleiner Affiliate-Link oben mit drinne. Ich unterstütze die OpenSourceGemeinde schon seit Jahren und kümmere mich seit 2 Jahren hauptsächlich um die sicherheitsbasierte Optimierung von Systemen wie Joomla und WordPress. Ich hoffe das Produkt wird Euch genauso helfen, wie es mir bei den letzten Installationen geholfen hat.

Schöne Grüße
Dennis

Antworten
Alex Schestag

Guter Artikel! Vor allem: Endlich spricht mal ein Autor über den sehr begrenzten Sinn von Plugins wie Limit Login Attempts bei derart massiv verteilten Angriffen. Ich halte das Plugin sogar für gefährlich, weil es User dazu verleiten könnte, sich darauf zu verlassen, anstatt ein starkes Passwort zu wählen.

Ergänzend sollte man noch erwähnen, dass man sich nicht darauf verlassen sollte, dass die Angriffe nur auf den Login zielen. Meiner Beobachtung nach häufen sich die Kompromittierungen von WordPress-Installationen, die auf veraltete Installationen, Plugins oder sogar Themes zurückzuführen sind, ebenfalls. Daher sind die obigen Tipps zwar wichtig, reichen aber leider nicht aus. Man muss sich auch regelmäßig um seine Installation kümmern und vor allem zeitnah updaten. Zudem ist ein regelmäßiger Scan, etwa mit dem Plugin Wordfence (http://www.wordpress.org/extend/plugins/wordfence), auf veränderte Core-, Theme- und Plugin-Dateien sowie auf Dateien außerhalb der Installation sehr sinnvoll.

Antworten
Marc

Kann mir jemand erklären, warum man die wp-login.php abriegelt und es wenig Sinn macht, das wp-admin Vereichnis abzuriegeln?

Antworten
Martin

@Marc: Da WordPress auch im Frontend auf diverse Dateien im Backend zugreift, laut dem Artikel von Sergej Müller (http://playground.ebiene.de/initiative-wordpress-sicherheit/)

Antworten
Thomas

Servus,

eine weitere Strategie – insbesondere bei Bot-Netzen – ist die Verwendung einer Verzögerungstechnik. Dabei verlangsamt man das Antwortzeitverhalten serverseitig. Der echte Anwender bekommt davon nichts mit, da sein Login korrekt ist und er direkt rein kommt. Bei einem Fehlversuch wartet der Server aber einfach einige Sekunden, bis er die nächste Passwortabfrage überhaupt annimmt. das entlastet den Server und macht eine Brut Force wirkungslos, da es schlicht weg zu lange dauert, alle Passwortkombinationen durch zu probieren. Oft ist es ohnehin so, dass Botnetze einen Angriff automatisch abbrechen, wenn der Zielserver nicht mehr (oder zu langsam) antwortet.

Antworten
fotobeam

Das passiert in regelmäßigen Abständen. In diesem Artikel habe ich einige Schutzmechanismen und Plugins für WordPress vorgestellt:

http://fotobeam.de/wordpress/wordpress-hacker-ausgesperrt/

Antworten
blogokratie

mit obpwd ein sicheres Password aus einer Datei erstellen. https://addons.mozilla.org/de/firefox/addon/obpwd-object-based-password-pa/

Antworten
Wengh

Einfach ein 30 Zeichen langes Passwort und gut ist.

Antworten
Alex Schestag

@Wengh nö, die Zeichenanzahl ist nicht alles. Auch ein Passwort mit 30 Zeichen kann unsicher sein, wenn es aus einem Wort besteht oder ansonsten zu wenig zufällig ist.

Antworten
Thilo Wagner

Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

Kunden, Ich selber und viele WordPress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

Antworten
Alex Schestag

@Thilo Wagner dann kann es sein, dass Ihr Blog kompromittiert wurde. Ich kenne 1&1-Kunden, bei denen es einwandfrei geht.

Antworten
Toby Kronwitter

@Alex Schestag – Nein dafür musste die eigene Website nicht kompromitiert sein. 1und1 hat tatsächlich „unschuldigige“ geblockt. Schön war das ich zu der Zeit eigentlich Übergabe Besprechung mit einem Kunden gehabt hätte und wir erst einmal vor einem Rätsel standen, warum die Seite nur noch über proxy aus dem Ausland erreichbar war.
Die Tatsache das nur Deutschland geblockt wurde, macht die Sache dann wirklich unrund, denn die meisten Angriffe bei solchen Aktionen kommen gewöhnlich aus dem Ausland.

Antworten
sascha

Seit ich google 2 step verification zur Anmeldung im Backend nutze ist Ruhe im Block. Vorher mehrere Angriffe täglich, mittlerweile, wenn überhaupt, dann nur noch ein bis zweimal im Monat….

Antworten
Petra

danke erstmal für die vielen Hilfreichen tipps ,da werde ich wohl noch bissle an meinem Blog ändern um ihn sicherer zu machen.

Antworten
Frank

Die Angriffe gehen wieder fleißig weiter seit Freitag Nachmittag. Heute am Samstag war mein Blog tatsächlich mal nicht erreichbar* wegen zu viele Anfragen gleichzeitig.
Genaugenommen sind es bereits DDoS Angriffe, denn rein kommen sie zwar nicht aber die Seite wird lahmgelegt.
Und ich denke, dass die neu gehackten Seiten vom letzten Wochenende auch gleich für die Angriffe an diesem Wochenende benützt werden.

*vermutlich war er öfter nicht erreichbar, aber das habe ich dann nicht selbst bemerkt.
Ich sehe nur, dass sich HTTP 500 und 503 in letzter Zeit häuft.

Antworten
tuhipoka

eine gute methode schnell über unerwünschte aktivitäten informiert zu werden ist das ftp-monitoring. dieses verhindert zwar keinen erfolgreichen angriff aber alle änderungen werden protokolliert und zeitnah mitgeteilt.siehe auch http://wamane.de/index.php/34-mittels-ftp-monitoring-koennen-sie-ihren-ftp-server-ueberwachen

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige