WordPress Brute Force Attacken

So schützen Sie Ihre Seite

Die größte Schwachstelle ist der Mensch“. Wie so oft passt dieser Satz leider auch auf die Sicherheitsvorkehrungen vieler Websites, insbesondere, wenn diese über WordPress gehostet sind. Diesen Umstand machen sich in den letzten Monaten verstärkt Hacker zunutze, um mit sogenannten „Brute Force Attacks“ Malware auf WordPress Seiten zu implementieren. Um Ihrer Seite ein solches Schicksal zu ersparen, zeigen wir Ihnen, was Brute Force Angriffe eigentlich genau sind und wie Sie sich und Ihre WordPress Seite dagegen schützen können.

WORDPRESS BRUTE FORCE ATTACKE – WAS IST DAS UND WIE LÄUFT SOWAS AB?

Um unberechtigten Zugriff auf Software, Maschinen oder Websites zu bekommen, finden Hacker und Verbrecher leider immer wieder neue Mittel und Wege: zu attraktiv sind die Möglichkeiten, die sich durch die Kontrollübernahme und der damit möglichen Platzierung von Schadcode – also Quellcode Dritter, der Teile bzw. Funktionen Ihrer Website manipulieren kann oder sonstige unerwünschte Änderungen vornimmt – im System für sie ergeben. Ein Brute Force Angriff (dt. Angriff mit roher Gewalt) auf eine Webseite hingegen läuft im Vergleich zu vielen anderen Hacker-Methoden eher simpel und brachial ab. Im Grunde werden bei einer solchen Attacke nämlich einfach so viele Kombinationen von Benutzernamen und Passwort ausprobiert, bis die richtige gefunden wurde und der Zugang in das Backend Ihres CMS erfolgreich war.

Ein Bild des WordPress Login-Bereichs, der bei einer Brute Force Attacke vom Bot genutzt wird

Dazu müssen die Angreifer nur die URL der Login-Seite Ihrer Website herausfinden, was in den meisten Fällen erschreckend einfach ist. Der allergrößte Teil aller Webmaster, die Ihre Internetseite über WordPress hosten, ändern z.B. die standardmäßig eingestellte Login-URL nicht. Das hat zur Folge, dass diese unter www.ihredomain.de/wp-login.php bzw. www.ihredomain.de/wp-admin.php abrufbar sind und somit potentiellen Brute Force Angreifern ein leichtes Ziel bieten – denn damit zeigen Sie ihnen hilfbereit die Tür, dessen Schloss jetzt nur noch geknackt werden muss. Haben die Hacker den Login-Bereich gefunden, erledigen den Rest bestimmte Brute Force Tools, die den oben beschriebenen Prozess von HTTP-Anfragen automatisieren und unzählig oft wiederholen. Im für Sie schlechtesten Fall so lange, bis der Login erfolgreich war.

WIE SCHLIMM IST SO EIN ERFOLGREICHER HACKER-ANGRIFF AUF IHRE SEITE?

Erstaunlich simpel und naiv oder? Jetzt denken Sie bestimmt, es gibt doch unendlich Kombinationen von Usernamen und Passwörtern, wie können die Hacker bzw. deren Tools da die richtige treffen? Mit dieser Annahme haben Sie auch vollkommen Recht, es gibt nur ein Problem: Viele ändern die standardmäßig eingestellten Einstellungen von WordPress wie z.B. „admin“ oder „root“ als Benutzername nicht und verwenden obendrein Passwörter wie „123456789“ oder Kekse4Alle.

Das wissen auch die Brute Force Tools und probieren daher genau diese Kombinationen aus Default Names und kinderleichten Passwörtern durch. Leider reicht dies schon in vielen Fällen aus, um die Absicherung mancher WordPress Seiten zu überwinden und damit die Möglichkeit zur Platzierung von Schadcode zu erhalten. Bis Sie die erfolgreiche Brute Force Attacke bemerken, ist es dann schon oft zu spät: Sowohl der Angriff an sich als auch die evtl. eingebundene Malware kann in kürzester Zeit schon erheblichen Schaden anrichten. Haben Sie es mit halbwegs intelligenten Angreifern zu tun, ändern die Eindringlinge auch noch IHR Passwort und sperren Sie damit aus Ihrer eigenen Seite aus.

Verheerende Auswirkungen könnten z.B. sein:

  • der Versand von mit Viren verseuchten Emails von Ihrer Seite aus
  • der Download von mit Malware befallenen Dateien von Ihrer Seite aus
  • eine durch die vielen HTTP-Anfragen bedingte Überlastung Ihres Servers und die damit verbundene Nicht-Erreichbarkeit Ihres WordPress Blogs (Achtung: kann auch auftreten, wenn der Login selbst der Brute Force Attacke nicht erfolgreich war)
  • die durch den Schadcode bedingte Aufnahme Ihrer Seite in die Google-Blacklist und der resultierende SEO-Crash
  • der durch mangelnde Sicherheit Ihrer Seite bedingte Imageverlust
  • der für die Wiederherstellung benötigte Zeit- und Kostenaufwand
  • Finanzielle Verluste durch fehlende Conversions und abgeschreckte Kunden

DREI WEGE, WIE SIE SICH GEGEN BRUTE FORCE ATTACKEN AUF IHRE WORDPRESS SEITE SCHÜTZEN

Sie sollten unter allen Umständen vermeiden, dass Ihre WordPress Seite Opfer einer Brute Force Attacke wird und entsprechende Gegenmaßnahmen ergreifen. Erstaunlicherweise ist es wirklich leicht, sich gegen diese Art Hacker-Angriffe zu schützen und mögliche Schwachstellen zu beseitigen. Hier sind drei bewährte Methoden für Sie: 

  1. Eine erste Schutzmaßnahme bildet die Verwendung individueller Benutzernamen und starker Passwörter bei Ihren Logindaten. Vermeiden Sie die voreingestellten Benutzernamen von WordPress wie „admin“, „root“ oder „default“ und vergeben Sie stattdessen z.B. reale Namen. Gebrauchen Sie unter keinen Umständen einfache Passwort wie „123456“, „abcdef“ oder „Kennwort“ – diese Regel gilt übrigens für alle Dienste und Seiten, die Sie im Web nutzen. Mehr zu diesem Thema erfahren Sie in unserem Tutorial zum Ändern Ihres WordPress Passworts. Hier lohnt es sich außerdem auch, die Admin ID Ihres WordPress Systems zu ändern, mehr dazu erfahren Sie hier.
  2. Ändern Sie die URL der Login-Seite Ihres WordPress Backends. Oft reicht selbst dieser Schritt schon aus, um jeglichen Brute Force Angriffen zuvor zu kommen, da die von den Hackern verwendeten Tools nur die standardmäßigen URLs zum Abfeuern Ihrer Anfragen eingestellt haben. Dafür können Sie auf verschiedenste Plugins wie z.B. „Move Login“ zurückgreifen.
  3. Ermöglichen Sie nur eine begrenzte Anzahl von Login-Versuchen einer IP hintereinander auf Ihrer Website. Damit reduzieren Sie nicht nur die Chance auf eine erfolgreiche Brute Force Attacke, sondern verhindern in einem auch das Einknicken Ihres Servers und den damit verbundenen Time-Out Ihrer Seite. Grund dafür ist die ausbleibende Überbelastung durch unzählige HTTP-Anfragen an Ihren Server. Oft haben solche Brute Force Bots zwar tausende Ips im Gepäck, eine Risiko-Verminderung erreichen Sie so aber allemal. Auch hierbei können Ihnen eine Vielzahl an Plugins helfen. Darüber hinaus empfiehlt sich die Unterdrückung aller Fehlermeldungen, um Hackern keine Auskunft darüber zu geben, ob z.B. der eingegebene Benutzername korrekt war oder nicht.

P.S.: Generell sollten Sie immer im Auge behalten, dass Sie die aktuellste WordPress-Version auf Ihrer Seite benutzen. So verpassen Sie keines der Sicherheits-Updates von WordPress selbst und halten das Risiko für Eingriffe Dritter möglichst gering. Und so aktualisieren Sie Ihr WordPress.

EIN KLEINER SCHRITT FÜR SIE, EIN GROSSER FÜR DIE SICHERHEIT IHRER SEITE

Mit Hilfe dieser Anleitung und ein paar kleiner Plugins können Sie den Schutz Ihrer Seite gegen Brute Force Attacken also schon erheblich verbessern. Leider entwickeln sich nicht nur die Abwehr-Maßnahmen für Ihre WordPress Seite weiter, sondern auch die Angriff-Methoden Ihrer Gegenspieler. Hundertprozentigen Schutz kann man daher für seine Website nie gewährleisten, besonders die Schwachstellen in Bezug auf eine Brute Force Attacke lassen sich aber mit wenigen Schritten erheblich reduzieren.

Sie würden die Sicherheit Ihrer Seite lieber in die Hände von Profis legen? Das verstehen wir gut, schließlich gehört ein maximaler Schutz mit zu den wichtigsten Kriterien einer Website. Gerne beraten wir Sie umfassend und sichern Ihre Internetpräsenz bestmöglich gegen Angriffe von außen ab – egal ob Brute Force Attacke oder  anderes, unerwünschtes Eindringen von außen. Das eLancer-Team aus Köln kennt sich bestens mit zeitgemäßer Absicherung im Web aus und kümmert sich gewissenhaft um das Wohl Ihrer WordPress Seite. Kontaktieren Sie uns einfach für ein erstes kostenloses Beratungsgespräch in unseren Räumen in Köln oder bei Ihnen im Hause.

IT erscheint Ihnen kompliziert?

Wir helfen gerne

Sie müssen nicht verstehen, was eine Programmiersprache ist, um erfolgreich im Web zu sein. Wir helfen gerne bei der Technik. Sie konzentrieren sich auf Ihr Business.

Wir haben die Profis

Das eLancer-Team vereinigt junge Profis aus allen Bereichen der IT und des Online-Marketing. Sie müssen nicht länger suchen, wir vermitteln Ihnen bezahlbare Freelancer, die für Ihr Projekt passen.

Wir geben gratis Tipps

Beschreiben Sie uns doch kurz Ihren Bedarf. Hinterlassen Sie bitte auch Ihre Telefonnummer. Wir rufen Sie zurück, wann immer Sie Zeit haben. Fragen zu Aufwand und Komplexität eines Projektes beantworten wir natürlich kostenlos.