Eigentlich ist es nichts Neues. WordPress-Blogs werden immer häufiger Ziel von Brute-Force-Angriffen. Nutzt man ein unsicheres Kennwort und zudem noch den vorgegebenen Namen des Admins, ist es nur eine Frage der Zeit, bis das Blog gehackt ist. Aktuell sind die Server mehrerer Hoster von einer Angriffswelle betroffen.

Ich bleibe da recht locker, denn ich nutze seit ewigen Zeiten das Plugin Limit Login Attempts, welches die IP des Angreifers nach einer definierten Anzahl ungültiger Anmeldeversuche sperrt. Falls ihr noch ungeschützt seit (nein, damit meine ich keine Kondome) – spätestens jetzt solltet ihr handeln!

 
  • http://www.netzblogr.de NetzBlogR

    Ich habe mir ja “Better WP Security” draufgehauen: Damit kann man auch gleich noch Dateiänderungen überwachen, tägliche Backups machen, das Login komplett verstecken, Leute aussperren, die zu oft 404-Fehler verursachen (meist ein Anzeichen von EIndringversuchen) und noch’n paar andere schöne Spielereien.

  • http://tektoria.de Christian

    Und vor allen Dingen darf Snitch bez. redseligen Plugins nicht fehlen. Aber das hattest du ja vor einiger Zeit schon mal vorgestellt wenn ich mich recht erinnere.

  • http://www.technikblog.ch hans

    Hey Ad,

    ich nutze dasselbe Plugin, mittlerweile bei allen Online WP Projekten und es hat sich immer bewährt. bei mir sind es immer wieder Angriffswellen und dann passiert mal wieder eine Zeit lang nichts…

    diese Kiddies!

  • Erwin

    Wenn es sich bei dem Angreifern tatsächlich wie im verlinkten Artikel um ein Botnetz handelt, bringt ein Schutz, der IPs blockiert, nur wenig. Stattdessen lieber WordPress samt Plugins aktuell halten, nur vertrauenswürdige und sichere Plugins einsetzen und natürlich ein langes, sicheres Passwort nutzen. Es gibt wohl sogar Two-factor authentication für WordPress, da ist man auf jeden Fall auf der sicheren Seite. Und gegen kritische Sicherheitslücken in WordPress kann man sich nur begrenzt wehren, sofern der Angreifer schlau genug ist (ist er zum Glück meistens nicht).

  • http://www.technikblog.ch hans

    …und wenn ich noch einen Tipp anfügen soll. Der Standard-User Admin, dem würde ich die Rechte eines Abonnenten zuweisen und ein laaanges Pseudopasswort. Den gar nicht mehr nutzen und einen anderen User zum admin machen, so muss auch nach dem admin namen gesucht werden, nicht nur nach dem passwort!

  • http://www.ja-gut-aber.de/ Dave

    Seit ich den Admin-Nick geändert habe und ein Passwort mit rel. hoher Sicherheitsstufe gewählt habe, das garantiert auf keiner der gängigen Brute-Force-Liste drauf ist, habe ich Ruhe …

  • http://www.studio5555.de/ Philipp

    Danke für den Tipp! Erhöht die Sicherheit ungemein. Grüße, Philipp

  • https://larynxtubus.net Larynxtubus

    Ich nutze dieses Plugin auch schon seit längerem und sichere den Zugriff auf das Backend zusätzlich mit einem kostenlosen SSL-Zertifikat ab. Damit bin ich bislang sehr sicher gefahren. ;)

  • http://nasendackel.de Nasendackel.de

    Ich mache das mit Factor Two Authentication. Sprich ich muss neben dem Passwort noch einen auf meinem iPhone generierten Code eingeben (so wie bei App.net).

    Plugin heißt Google Authenicator (auch wenn es nichts mit Google zu tun hat).

    Auf dem iPhone läuft dann HDE TOP

  • Sven

    Ich setze schon ziemlich lange auf das LimitLogin Attempts plugin. Mich haben dann nur irgendwann ständige Warnemails etwas beunruhigt. Hab dann zusätzlich noch das Admin Verzeichnis per Htaccess abgesichert. Seitdem hat das Plugin Pause.

  • http://www.sebbi.de Sebbi

    Tjo, das Plugin benutze ich auch, aber seit ein paar Tagen wird der Adminaccount ständig ausgesperrt. Ich muss ihn wohl mal umbenennen :/

  • http://www.eayz.net eay

    Danke für den Tipp – ist installiert. Den “admin” habe ich auch endlich mal rausgeworfen und das neue Passwort ist ellenlang und von 1Password generiert. Jetzt dürfte ja nichts mehr schief gehen. :)

  • http://wpcoder.de Sergej Müller

    Ein Nachteil all solcher Plugins (Google Authenicator / Limit Login Attempts) ist die Tatsache, dass die Login-Seite des Blogs frei zugänglich bleibt. Das bedeutet, dass WordPress komplett ausgeführt wird. Je nach Anzahl und Hartnäckigkeit der Attacken kann es schnell auf die Server-Performance und der Datenbank gehen. Muss nicht sein.

    Besser ist, die ganze Angelegenheit auf der Server-Ebene abzufangen. Funktioniert zuverlässiger und vor allem schneller. Da würde ein zusätzlicher Schutz in .htaccess schon mal ausreichen, um eine Riegel vorzuschieben: Entweder als Passwort- und/oder IP-Schutz (auch für IP-Bereiche, falls dynamische IP). Z.B. http://www.butschek.de/2010/01.....-passwort/

    Wer wirklich paranoid ist, kann so wie ich in der .htaccess auch einen bestimmten User-Agent (Hallo, Apple) abfragen.

    • Martin

      Vielen Dank für den Tipp!

      (Wie immer gilt allerdings: Sich nicht selbst aussperren …)

  • http://www.istups.com Stefan

    Danke für den Tipp. Gleich mal installiert.

  • http://yesbo.de/ Thilo Wagner

    Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

    Kunden, Ich selber und viele WordPress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

    • http://www.admartinator.de ad

      Naja, was soll man dazu sagen – außer dass es vielleicht Provider gibt, bei denen man besser aufgehoben ist. :hehehe:

      • http://macandcam.com Mac

        Es gibt für mich seit über 10 Jahren gute Gründe, warum ich bei Domainfactory bin.
        Ein bisschen teurer vielleicht, dafür aber auch ein bisschen besser.

        Alleine die 3 Tage zurück Sicherung ist unbezahlbar. Und der Support ist immer für mich da.

        Vorher war ich bei Strato, HostEurope und Co. Ich hatte immer nur ärger und Probleme.

    • http://www.subcess.de Markus

      Ich bin jetzt auch betroffen. Wie können die sowas einfach machen? Unfassbar!

  • http://www.verenas-welt.com Verena

    Hab ich jetzt auch mal installiert, Danke für den Tipp!

  • http://www.zentodone.eu mac

    Habe ich mir Gott sei Dank schon vor einiger Zeit installiert. Aber im Moment bekomme ich täglich Mails zu gesperrten Domains.

    Wobei ich mir Sergejs Anregung mal noch etwas genauer anschauen werden. Vielen Dank auf jeden Fall für den Hinweis.

    Bis zum nächsten Mal

    Gruß
    Matthias

  • http://macandcam.com Mac

    Ich habe die .htpasswd Lösung von Sergej (wpSEO) am Start. Man muss sich zwar einmal mehr einloggen aber es beruhigt ein wenig.

  • http://gs-deutschland.de/ Jonas Gerber

    Admin als Username ist schon fast eine Einladung. Hab meinen Usernamen gestern geändert und das Plugin installiert. Ich hoffe, ich werde jetzt Ruhe haben vor den Angriffen.

  • http://www.marco-alexander-klemm.de Marco Alexander Klemm

    Danke für den Hinweis, werde mich mal zeitnah darum kümmern. Bis jetzt hatte ich noch keine Probleme, aber man kann ja nie wissen.Lieber etwas zu paranoid sein – bevor man sich nachher ärgert.

  • http://www.gute-nacht-cafe.co.de/?cat=1 Stefan

    Auch von mir, danke für den Tipp. Ich hatte zwar bislang noch keine Angriffe, aber die Angst davor schwelt schon ein ganzes Weilchen…

  • http://www.softair-waffen-shop.eu Andree

    Nutze ebenfalls limit login attempt und hätte vorher nie gedacht, wieviel Angriffswellen das Blog schon ausgesetzt war. Verhält sich ähnlich zu den Spamwellen, mal ist richtig Pause und dann hagelt es plötzlich diverse Warnmails mit falschen Anmeldeversuchen.

  • http://www.evergreenmedia.at/blog/ Evergreen Media

    Nachdem ich letztes Jahr mal vollkommen vernichtet wurde von einem ähnlichen Angriff läuft bei mir nicht nur Limit Login Attempts, sondern auch Secure WordPress und WordPress Firewall 2. Zu WordPress Firewall 2: Kann manchmal etwas nervig sein, erledigt aber seine Aufgabe ansonsten blendend!

  • http://www.beautymay.de Martina

    Danke für den Tipp, schaue ich mir an.

  • http://www.apps-gratis.info Heiko

    Die Einloggversuche zu limitieren hab ich bis jetzt noch nicht gemacht. Dürfte noch ein Stück zusätzliche Sicherheit bringen. Das erste was ich mache, wenn ich einen neuen Blog einrichte, ist, sofort einen Verzeichnisschutz für wp-admin anzulegen. Einem reinen Weblogin hab ich noch nie über den Weg getraut.

  • http://www.retroluxe.de RETROLUXE

    Ja, ich kann bestätigen, in letzter Zeit war echt einiges los bei einer meiner WordPress-Installationen. Allerdings fragt man sich schon, warum sich die Script-Kiddies so dämlich anstellen. Bei dem PlugIn kann man ja prima sehen, mit welchem Login-Namen der Eindringling versucht hat, hinein zu kommen. Fast immer steht da »Admin«. Als ob man DEN tatsächlich verwenden würde. Das ist doch wohl der erste Schritt nach der Installation von WordPress, einen anderen User anzulegen und den Standard-Admin zu löschen …

  • http://www.rund-ums-pferd.info Ruth Brökeland

    Was ein erfolgreicher Hackerangriff anrichten kann, musste ich leider auch erfahren. Die Unterstützung von Leuten, die sich richtig gut auskennen, ist dabei Gold wert !
    Folgende Tipps habe ich selbst noch dazu bekommen:
    1. Blogs regelmäßig sichern (bei Bedarf ruhig täglich) z.B. durch das Plugin BackWPup, Sicherungsdateien z.B. in die Dropbox speichern lassen.
    2. Ein richtig langes Passwort mit Sonderzeichen und Zahlen gespickt, gerne 20 Zeichen lang.
    3. Regelmäßig Updates von WP durchführen, aber besten immer nach vorheriger Sicherung.
    4. Sicherungsdateien von .htaccess und wp-login.php als txt-Datei erstellen, dann lässt sich relativ schnell erkennen, ob das jemand etwas geändert hat.

    Gute Infos zu diesem Thema gibt auch unter http://wp-hacker-stop.com/

  • http://zombie-filme-liste.de/ Stefan Zombie

    Ich bin zum Glück nicht betroffen :).
    Finde es aber immer schade wenn man von so etwas angegriffen wird.

  • http://www.rottweiler-hunde.com Simon

    Mein Standard Schutz sind auch 3 Plugins:
    AntiSpam Bee
    Limit Login Attempts
    WP Security

    und natürlich ein anderer Admin Benutzername und komplexes Passwort.
    Bisher noch nie Probleme gehabt. Aber gibt es noch etwas, was ihr empfehlen könnt?

  • http://www.gruender.de Fabian

    Danke für den Tipp für das Plugin! :-)

    @Simon: Das AntiSpamBee ist wirklich super, auch Danke dafür.

  • http://breite-seite.de/ Ben

    Danke für die Empfehlung. Ich hab es mir gleich mal installiert und werde mal schauen, wie gut es funktioniert. :)

  • http://vardai.eu Marc Dávid Várdai

    Das häufigste Problem ist doch eher, dass WordPress keine Anstalten macht, den einfachen und unerfahrenen User an weiteren Einträgen zu hindern, wenn schon seine WordPress-Installation selbst nicht auf dem neuesten Stand ist. Da kann man noch so vorsichtig mit Plugins sein.

    Außerdem sollte man – wenn es den Aufwand und das Geld wert ist – seinen Blog mit https gegen das Abgreifen von Passwörtern absichern.

  • Timo

    Danke für den Tipp. Habe es mal gleich installiert…

    Gruß
    Timo