Angriffe auf WordPress-Blogs

Eigentlich ist es nichts Neues. WordPress-Blogs werden immer häufiger Ziel von Brute-Force-Angriffen. Nutzt man ein unsicheres Kennwort und zudem noch den vorgegebenen Namen des Admins, ist es nur eine Frage der Zeit, bis das Blog gehackt ist. Aktuell sind die Server mehrerer Hoster von einer Angriffswelle betroffen.

Ich bleibe da recht locker, denn ich nutze seit ewigen Zeiten das Plugin Limit Login Attempts, welches die IP des Angreifers nach einer definierten Anzahl ungültiger Anmeldeversuche sperrt. Falls ihr noch ungeschützt seit (nein, damit meine ich keine Kondome) – spätestens jetzt solltet ihr handeln!

40 Kommentare Schreibe einen Kommentar

  1. Ich habe mir ja “Better WP Security” draufgehauen: Damit kann man auch gleich noch Dateiänderungen überwachen, tägliche Backups machen, das Login komplett verstecken, Leute aussperren, die zu oft 404-Fehler verursachen (meist ein Anzeichen von EIndringversuchen) und noch’n paar andere schöne Spielereien.

  2. Und vor allen Dingen darf Snitch bez. redseligen Plugins nicht fehlen. Aber das hattest du ja vor einiger Zeit schon mal vorgestellt wenn ich mich recht erinnere.

  3. Hey Ad,

    ich nutze dasselbe Plugin, mittlerweile bei allen Online WP Projekten und es hat sich immer bewährt. bei mir sind es immer wieder Angriffswellen und dann passiert mal wieder eine Zeit lang nichts…

    diese Kiddies!

  4. Wenn es sich bei dem Angreifern tatsächlich wie im verlinkten Artikel um ein Botnetz handelt, bringt ein Schutz, der IPs blockiert, nur wenig. Stattdessen lieber WordPress samt Plugins aktuell halten, nur vertrauenswürdige und sichere Plugins einsetzen und natürlich ein langes, sicheres Passwort nutzen. Es gibt wohl sogar Two-factor authentication für WordPress, da ist man auf jeden Fall auf der sicheren Seite. Und gegen kritische Sicherheitslücken in WordPress kann man sich nur begrenzt wehren, sofern der Angreifer schlau genug ist (ist er zum Glück meistens nicht).

  5. …und wenn ich noch einen Tipp anfügen soll. Der Standard-User Admin, dem würde ich die Rechte eines Abonnenten zuweisen und ein laaanges Pseudopasswort. Den gar nicht mehr nutzen und einen anderen User zum admin machen, so muss auch nach dem admin namen gesucht werden, nicht nur nach dem passwort!

  6. Seit ich den Admin-Nick geändert habe und ein Passwort mit rel. hoher Sicherheitsstufe gewählt habe, das garantiert auf keiner der gängigen Brute-Force-Liste drauf ist, habe ich Ruhe …

  7. Ich nutze dieses Plugin auch schon seit längerem und sichere den Zugriff auf das Backend zusätzlich mit einem kostenlosen SSL-Zertifikat ab. Damit bin ich bislang sehr sicher gefahren. ;)

  8. Ich mache das mit Factor Two Authentication. Sprich ich muss neben dem Passwort noch einen auf meinem iPhone generierten Code eingeben (so wie bei App.net).

    Plugin heißt Google Authenicator (auch wenn es nichts mit Google zu tun hat).

    Auf dem iPhone läuft dann HDE TOP

  9. Ich setze schon ziemlich lange auf das LimitLogin Attempts plugin. Mich haben dann nur irgendwann ständige Warnemails etwas beunruhigt. Hab dann zusätzlich noch das Admin Verzeichnis per Htaccess abgesichert. Seitdem hat das Plugin Pause.

  10. Tjo, das Plugin benutze ich auch, aber seit ein paar Tagen wird der Adminaccount ständig ausgesperrt. Ich muss ihn wohl mal umbenennen :/

  11. Danke für den Tipp – ist installiert. Den “admin” habe ich auch endlich mal rausgeworfen und das neue Passwort ist ellenlang und von 1Password generiert. Jetzt dürfte ja nichts mehr schief gehen. :)

  12. Ein Nachteil all solcher Plugins (Google Authenicator / Limit Login Attempts) ist die Tatsache, dass die Login-Seite des Blogs frei zugänglich bleibt. Das bedeutet, dass WordPress komplett ausgeführt wird. Je nach Anzahl und Hartnäckigkeit der Attacken kann es schnell auf die Server-Performance und der Datenbank gehen. Muss nicht sein.

    Besser ist, die ganze Angelegenheit auf der Server-Ebene abzufangen. Funktioniert zuverlässiger und vor allem schneller. Da würde ein zusätzlicher Schutz in .htaccess schon mal ausreichen, um eine Riegel vorzuschieben: Entweder als Passwort- und/oder IP-Schutz (auch für IP-Bereiche, falls dynamische IP). Z.B. http://www.butschek.de/2010/01.....-passwort/

    Wer wirklich paranoid ist, kann so wie ich in der .htaccess auch einen bestimmten User-Agent (Hallo, Apple) abfragen.

    • Vielen Dank für den Tipp!

      (Wie immer gilt allerdings: Sich nicht selbst aussperren …)

  13. Pingback: Angriff auf Wordpress und geeignete Gegenmaßnahmen | nullenundeinsenschubser

  14. Pingback: Linktipps 13.4.13 (11:29) – 15.4.13 (22:30) › Netzentzug.de

  15. Ja, die ganzen Plugins helfen nicht wirklich, wenn böse Buben ihr Unwesen treiben :-(

    Kunden, Ich selber und viele WordPress-Blog Betreiber sind dank 1und1 und den Attacken schon seit Tagen vom eigenem Blog ausgesperrt. Der Provider 1und1 hat einfach ein Sicherheitsprogramm eingeschaltet und wer versucht in den Adminbereich sich einzuloggen wird sofort blockiert duch die IP-Adresse!

    • Naja, was soll man dazu sagen – außer dass es vielleicht Provider gibt, bei denen man besser aufgehoben ist. :hehehe:

      • Es gibt für mich seit über 10 Jahren gute Gründe, warum ich bei Domainfactory bin.
        Ein bisschen teurer vielleicht, dafür aber auch ein bisschen besser.

        Alleine die 3 Tage zurück Sicherung ist unbezahlbar. Und der Support ist immer für mich da.

        Vorher war ich bei Strato, HostEurope und Co. Ich hatte immer nur ärger und Probleme.

  16. Habe ich mir Gott sei Dank schon vor einiger Zeit installiert. Aber im Moment bekomme ich täglich Mails zu gesperrten Domains.

    Wobei ich mir Sergejs Anregung mal noch etwas genauer anschauen werden. Vielen Dank auf jeden Fall für den Hinweis.

    Bis zum nächsten Mal

    Gruß
    Matthias

  17. Ich habe die .htpasswd Lösung von Sergej (wpSEO) am Start. Man muss sich zwar einmal mehr einloggen aber es beruhigt ein wenig.

  18. Pingback: Angriffe auf WordPress-Blogs » fairHOST24

  19. Admin als Username ist schon fast eine Einladung. Hab meinen Usernamen gestern geändert und das Plugin installiert. Ich hoffe, ich werde jetzt Ruhe haben vor den Angriffen.

  20. Danke für den Hinweis, werde mich mal zeitnah darum kümmern. Bis jetzt hatte ich noch keine Probleme, aber man kann ja nie wissen.Lieber etwas zu paranoid sein – bevor man sich nachher ärgert.

  21. Auch von mir, danke für den Tipp. Ich hatte zwar bislang noch keine Angriffe, aber die Angst davor schwelt schon ein ganzes Weilchen…

  22. Nutze ebenfalls limit login attempt und hätte vorher nie gedacht, wieviel Angriffswellen das Blog schon ausgesetzt war. Verhält sich ähnlich zu den Spamwellen, mal ist richtig Pause und dann hagelt es plötzlich diverse Warnmails mit falschen Anmeldeversuchen.

  23. Nachdem ich letztes Jahr mal vollkommen vernichtet wurde von einem ähnlichen Angriff läuft bei mir nicht nur Limit Login Attempts, sondern auch Secure WordPress und WordPress Firewall 2. Zu WordPress Firewall 2: Kann manchmal etwas nervig sein, erledigt aber seine Aufgabe ansonsten blendend!

  24. Die Einloggversuche zu limitieren hab ich bis jetzt noch nicht gemacht. Dürfte noch ein Stück zusätzliche Sicherheit bringen. Das erste was ich mache, wenn ich einen neuen Blog einrichte, ist, sofort einen Verzeichnisschutz für wp-admin anzulegen. Einem reinen Weblogin hab ich noch nie über den Weg getraut.

  25. Ja, ich kann bestätigen, in letzter Zeit war echt einiges los bei einer meiner WordPress-Installationen. Allerdings fragt man sich schon, warum sich die Script-Kiddies so dämlich anstellen. Bei dem PlugIn kann man ja prima sehen, mit welchem Login-Namen der Eindringling versucht hat, hinein zu kommen. Fast immer steht da »Admin«. Als ob man DEN tatsächlich verwenden würde. Das ist doch wohl der erste Schritt nach der Installation von WordPress, einen anderen User anzulegen und den Standard-Admin zu löschen …

  26. Was ein erfolgreicher Hackerangriff anrichten kann, musste ich leider auch erfahren. Die Unterstützung von Leuten, die sich richtig gut auskennen, ist dabei Gold wert !
    Folgende Tipps habe ich selbst noch dazu bekommen:
    1. Blogs regelmäßig sichern (bei Bedarf ruhig täglich) z.B. durch das Plugin BackWPup, Sicherungsdateien z.B. in die Dropbox speichern lassen.
    2. Ein richtig langes Passwort mit Sonderzeichen und Zahlen gespickt, gerne 20 Zeichen lang.
    3. Regelmäßig Updates von WP durchführen, aber besten immer nach vorheriger Sicherung.
    4. Sicherungsdateien von .htaccess und wp-login.php als txt-Datei erstellen, dann lässt sich relativ schnell erkennen, ob das jemand etwas geändert hat.

    Gute Infos zu diesem Thema gibt auch unter http://wp-hacker-stop.com/

  27. Mein Standard Schutz sind auch 3 Plugins:
    AntiSpam Bee
    Limit Login Attempts
    WP Security

    und natürlich ein anderer Admin Benutzername und komplexes Passwort.
    Bisher noch nie Probleme gehabt. Aber gibt es noch etwas, was ihr empfehlen könnt?

  28. Danke für den Tipp für das Plugin! :-)

    @Simon: Das AntiSpamBee ist wirklich super, auch Danke dafür.

  29. Danke für die Empfehlung. Ich hab es mir gleich mal installiert und werde mal schauen, wie gut es funktioniert. :)

  30. Das häufigste Problem ist doch eher, dass WordPress keine Anstalten macht, den einfachen und unerfahrenen User an weiteren Einträgen zu hindern, wenn schon seine WordPress-Installation selbst nicht auf dem neuesten Stand ist. Da kann man noch so vorsichtig mit Plugins sein.

    Außerdem sollte man – wenn es den Aufwand und das Geld wert ist – seinen Blog mit https gegen das Abgreifen von Passwörtern absichern.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.