Angriffswelle auf WordPress-Seite – was tun?

Sicherheit
Angriffswelle auf WordPress-Seite – was tun?

Der ein oder andere von euch wird die letzten Tage sicherlich mitbekommen haben, dass momentan speziell Webseiten und Blogs, die mit dem WordPress-CMS betrieben werden, unter Beschuss stehen. Zugriffe von mehr als 90.000 verschiedenen IP-Adressen wurden bisher registriert, weshalb man die Situation nicht gerade auf die leichte Schulter nehmen sollte. Wir zeigen euch in diesem Artikel, was ihr gegen die Attacken tun könnt.

Eine WordPress-Installation kann auf verschiedene Wege abgesichert werden. Wie man WordPress grundlegend absichern kann, haben wir schon einmal in einem Artikel beschrieben. Da die aktuellen Angriffe aber gezielt über die Passwörter und WordPress-Accounts abgewickelt werden, möchten wir zu diesem Thema noch einmal ein paar kurze Tipps geben, die einfach umzusetzen sind.

Die sogenannte Brute-Force-Methode ist eine der „beliebtesten“ Möglichkeiten, um an Daten oder in Nutzerkonten zu gelangen. Grob erklärt, versuchen dabei viele hunderte oder gar tausende Rechner an ein Passwort zu gelangen, in dem einfach alle möglichen Passwörter und Kombinationen „durchprobiert“ werden. Wer dann ein sehr einfaches Passwort, wie beispielsweise seinen Namen benutzt, der kann leider direkt einpacken.

Quick-Tipps gegen WordPress Angriffe

  1. Zuerst einmal solltet ihr einen neuen Benutzernamen sowie ein sicheres Passwort festlegen. Wer WordPress schon einmal installiert hat, wird festgestellt haben, dass der Standard-Benutzer immer „admin“ lautet. Da die Bots bei einer Brute-Force-Attacke aber Passwort und Benutzernamen für einen erfolgreichen Login benötigen, erhöht ihr natürlich die Sicherheit eurer Webseite, in dem ihr den Admin-Benutzer löscht und einen neuen Administrator mit einem anderen Benutzernamen anlegt. Des Weiteren solltet ihr natürlich ein sicheres Passwort benutzen. Wir empfehlen dabei eine sinnfreie Mischung aus Zahlen, Buchstaben und Sonderzeichen sowie natürlich Groß- und Kleinschreibung. Das Passwort sollte mindestens 8 Zeichen lang sein.
  2. Des Weiteren empfehlen wir ein wirklich sehr wertvolles Plugin. Das Ganze nennt sich „Limit Login Attempts“ und sperrt eine IP/einen Rechner bei zu vielen falschen Login-Versuchen. Wenn ich hier in unsere Logs schaue, sehe ich beispielsweise, dass sich rund 30 verschiedene Rechner mit dem Benutzername „admin“ einloggen wollten. Zum guten Glück gibt es diesen Benutzer erstens nicht und zweitens wurden die IPs direkt gesperrt.
  3. Auch sehr effektiv ist es, den Login-Bereich unter domain.de/wp-admin oder domain.de/wp-login via .htaccess zu schützen. Dabei müsst ihr euch jedoch doppelt einloggen, was es potenziellen Angreifern aber natürlich um einiges schwerer macht.


Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.

4 Meinungen zu “Angriffswelle auf WordPress-Seite – was tun?
  1. Danke für deinen Tipp Ralf, doch das Plugin “Limit Login Attempts” funktioniert noch einwandfrei. Klar, eigentlich sollte man nur aktuelle Plugins nutzen, in diesem Fall spricht aber nichts dagegen. Das von dir verlinkte Plugin sieht aber auch sehr gut aus, danke! 🙂

  2. Das Plugin ‚Limit Login Attempts‘ wurde vor 5 J. zuletzt aktualisiert, war also auch im Jahr 2013 schon veraltet.
    Deshalb hier ein kleines Update, da das Thema fortwährend aktuell ist:

    Mein absoluter Favorit ist WP Cerber. Darin kann man nicht nur die Login-Versuche einschränken, sondern u.A. auch den Anmelde-Link ändern und festlegen, dass die Sperre sofort greift, sobald jemand über wp-login-php oder wp-admin.php versucht einzudringen.

    https://wordpress.org/plugins/wp-cerber/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Ähnliche Artikel
FTP vs. SFTP: Die Unterschiede erklärt

In der Welt des Webhosting sind Begriffe wie FTP und SFTP gängig, doch nicht jede:r weiß direkt, wobei es sich hierbei handelt – geschweige...
mehr lesen

Honeypot: Was ist das?

Angriffe auf IT-Systeme sind keine Phänomene der letzten Jahre, in der die Digitalisierung Rekord-artig anstieg. Schon seit den frühen 1990er Jahren lässt sich diese...
mehr lesen

WordPress von HTTP auf HTTPS (SSL) umstellen

HTTPS ist inzwischen Standard im Internet. Das gilt natürlich auch für Webseiten auf WordPress Basis. In diesem Artikel zeigen wir daher, wie man WordPress...
mehr lesen

WordPress mit Zwei-Faktor-Authentifizierung

Die Sicherheit eines Content Management Systems ist äußerst wichtig. Das gilt natürlich auch für WordPress. Eine Möglichkeit zur Optimierung der Sicherheit ist eine Zwei-Faktor-Authentifizierung,...
mehr lesen