Angriffswelle auf WordPress-Seite – was tun?

Der ein oder andere von euch wird die letzten Tage sicherlich mitbekommen haben, dass momentan speziell Webseiten und Blogs, die mit dem WordPress-CMS betrieben werden, unter Beschuss stehen. Zugriffe von mehr als 90.000 verschiedenen IP-Adressen wurden bisher registriert, weshalb man die Situation nicht gerade auf die leichte Schulter nehmen sollte. Wir zeigen euch in diesem Artikel, was ihr gegen die Attacken tun könnt.

Eine WordPress-Installation kann auf verschiedene Wege abgesichert werden. Wie man WordPress grundlegend absichern kann, haben wir schon einmal in einem Artikel beschrieben. Da die aktuellen Angriffe aber gezielt über die Passwörter und WordPress-Accounts abgewickelt werden, möchten wir zu diesem Thema noch einmal ein paar kurze Tipps geben, die einfach umzusetzen sind.

Die sogenannte Brute-Force-Methode ist eine der „beliebtesten“ Möglichkeiten, um an Daten oder in Nutzerkonten zu gelangen. Grob erklärt, versuchen dabei viele hunderte oder gar tausende Rechner an ein Passwort zu gelangen, in dem einfach alle möglichen Passwörter und Kombinationen „durchprobiert“ werden. Wer dann ein sehr einfaches Passwort, wie beispielsweise seinen Namen benutzt, der kann leider direkt einpacken.

Quick-Tipps gegen WordPress Angriffe

1. Zuerst einmal solltet ihr einen neuen Benutzernamen sowie ein sicheres Passwort festlegen. Wer WordPress schon einmal installiert hat, wird festgestellt haben, dass der Standard-Benutzer immer „admin“ lautet. Da die Bots bei einer Brute-Force-Attacke aber Passwort und Benutzernamen für einen erfolgreichen Login benötigen, erhöht ihr natürlich die Sicherheit eurer Webseite, in dem ihr den Admin-Benutzer löscht und einen neuen Administrator mit einem anderen Benutzernamen anlegt. Des Weiteren solltet ihr natürlich ein sicheres Passwort benutzen. Wir empfehlen dabei eine sinnfreie Mischung aus Zahlen, Buchstaben und Sonderzeichen sowie natürlich Groß- und Kleinschreibung. Das Passwort sollte mindestens 8 Zeichen lang sein.
2. Des Weiteren empfehlen wir ein wirklich sehr wertvolles Plugin. Das Ganze nennt sich „Limit Login Attempts“ und sperrt eine IP/einen Rechner bei zu vielen falschen Login-Versuchen. Wenn ich hier in unsere Logs schaue, sehe ich beispielsweise, dass sich rund 30 verschiedene Rechner mit dem Benutzername „admin“ einloggen wollten. Zum guten Glück gibt es diesen Benutzer erstens nicht und zweitens wurden die IPs direkt gesperrt.
3. Auch sehr effektiv ist es, den Login-Bereich unter domain.de/wp-admin oder domain.de/wp-login via .htaccess zu schützen. Dabei müsst ihr euch jedoch doppelt einloggen, was es potenziellen Angreifern aber natürlich um einiges schwerer macht.