WordPress-Installationen unter Beschuss
Philippe Krebs
Kategorie:in
CMS & Co.
Veröffentlicht am 23. Apr. 2013
Aktualisiert am 7. März 2024
Seit einigen Tagen werden weltweit WordPress-Installationen von einer grossen Bruteforce-Attacke heimgesucht. Angreifer versuchen dabei, Zugriff auf die Administration einer WordPress-Website zu erlangen. Damit Sie verstehen, was hinter diesen Angriffen steckt und wie Sie sich gegen eine solche Attacke absichern können, haben wir hier einige Tipps für Sie zusammengetragen.
Was kann ich dagegen tun?
Die Angriffe zielen auf den häufig verwendeten Benutzernamen «admin» ab. Mit folgenden Massnahmen sind Sie gegen einen solchen Angriff gewappnet:
Hauptbenutzer umbenennen
Die Angreifer versuchen sich mit dem Benutzernamen «admin» und einem typischen Passwort in Ihr WordPress einzuloggen. Wenn das nicht funktioniert, wird innert kürzester Zeit automatisch ein weiterer Versuch mit einem neuen Passwort gestartet. Mit der Änderung des Benutzernamens «admin», kann bereits ein Grossteil der Angriffe abgewehrt werden.
Sicheres Passwort setzen
Die Angreifer versuchen, sich mit Hilfe der häufigsten Passwörter einzuloggen. Wenn Sie Ihr WordPress mit einem individuellen und sicheren Passwort abgesichert haben, ist die Hürde für solche Bruteforce-Attacken schon sehr hoch. Wie ein sicheres Passwort aufgebaut ist, beschreiben wir in unserem Supportartikel zum Thema Passwortsicherheit.
Weitere Massnahmen
Falls Sie gewillt sind, etwas mehr Zeit in die Absicherung Ihrer WordPress-Seite zu stecken, können Sie zudem Sicherheitsplugins installieren oder den Admin-Bereich mit einem Verzeichnisschutz versehen.
Folgende Sicherheitsplugins sollen ein Eindringen über die Brute-Force-Methode stark erschweren:
- Login Security Solution, welches bei jedem falschen Login-Versuch die Antwortzeit verlängert.
- Limit Login Attempts, limitiert die Anzahl Logins von einer IP.
Eine weitere Sicherheitsstufe können Sie einbauen, indem Sie den Admin-Bereich von WordPress hinter einen Verzeichnisschutz legen. Sie können diesen in Ihrem my.cyon unter «Erweitert > Verzeichnisschutz» aktivieren.
Um den Verzeichnisschutz für die WordPress-Administration zu aktivieren, wählen Sie das Verzeichnis «wp-admin». Damit keine Konflikte mit Weiterleitungen entstehen, müsste in die .htaccess-Datei im Order der WordPress-Installation noch eine Zeile eingefügt werden:
ErrorDocument 401 default
Was macht cyon gegen die Attacken?
Im Normalfall blockieren wir IP-Adressen, welche unsere Server mit zu vielen Anfragen bedrängen. Da die Angriffe von immer wechselnden IP-Adressen stattfinden, helfen solche Sperren jedoch nur begrenzt.
Ausserdem überprüfen wir Ihr Webhosting regelmässig auf Schadsoftware. Bei einem Fund löschen wir die schadhaften Dateien und informieren Sie über weitere Massnahmen. Unsere Supporter geben Ihnen gerne weitere Tipps, wie Sie Ihre WordPress-Installation noch sicherer machen können.
Update vom 26.04.2013
Seit heute ist auf allen Webhostings noch ein zusätzlicher Schutz gegen die Bruteforce-Attacken aktiv. Dabei wird eine IP für 10 Minuten gesperrt, falls diese innerhalb von kurzer Zeit 3 Fehlversuche beim Login ins WordPress-Backend aufweist.
Hintergründe des Angriffs
Die Hacker sind nicht hinter Ihrem WordPress bzw. Ihrer Website her, sondern haben ein Interesse an Ihrem Webhosting. Das Ziel der Angriffe ist es, ein globales Botnetz zu errichten, mit welchem dann wiederum neue Angriffe auf andere Ziele gestartet werden können. Da Webhosting-Pakete, wie wir sie anbieten, sehr leistungsfähig sind und über schnelle Leitungen mit dem Internet verbunden sind, ist ein solches Botnetz leistungsfähiger als ein herkömmliches, auf privaten Computern basierendes.
Weitere Hintergrundinformationen zu diesem Thema finden Sie unter anderem auf dem Blog von sucuri.com (Englisch).
Beteilige dich an der Diskussion
14 Kommentare
Danke für die Infos, werde mir die Plugins fürs WP-Admin anschauen, und gut das mit dem Update (Update vom 26.04.2013), daumen hoch ;-)
Wäre noch super, wenn ihr ne Anleitung schreibt, wie man den Admin Account loswird oder die Daten ändern kann
Hi Marcel,
das oben schon erwähnte Plugin “Better WP Security” erlaubt das ändern von Admin Name und Admin User ID.
Zudem ist mir aufgefallen, dass man bei den meisten Tools, die das Login Limit beschränken wesentlich restriktiver vorgehen kann (Login Limits auf 2-3 setzen und wesentlich längere Sperren).
Ausserdem macht es auch Sinn Login-, Register- und Admin-Slug in der URL zu verstecken. Better WP Security hilft dir auch hier.
Direktes Editieren von Benutzernamen lässt WordPress nicht zu. Du müsstest ein neues Benutzerkonto einrichten und danach das alte löschen. WordPress bietet beim Löschen eines Benutzerkontos die Möglichkeit, alle damit verlinkten Blog-Einträge mit einem anderen Account zu verlinken.
Wer Cablecom Kunde ist, kann sich sogar eine .htaccess im ACP Ordner mit
order deny,allow
deny from all
allow from 0.0.0.0 (eigene IP)
anlegen, da sich die eigene IP bei Cablecom sehr selten ändert. Falls doch kann man das leicht per FTP korrigieren. Kleine Provider wie Intergga haben auch selten IP-Wechsel.
Aber Vorsicht, je nach CMS kann ggf. das Frontend damit beeinflusst werden.
Vielleicht noch ein kleiner Nachtrag zum Thema Sicherheit:
In den Profileinstellungen eures WordPress User einen anderen “Anzeigenname” nehmen. Und nicht den Loginname verwenden.
Bringt leider nur bedingt was, denn die URL des Autor ist zugleich der Loginname
Das erklärt dann wohl dieses Bild:
Dieses Bild kommt mir seeehr bekannt vor… In den letzten sieben Monaten waren’s bei mir knapp 2’500 Login-Versuche (oder täglich rund 10). Höchste Zeit, die fragliche Website zu cyon zu transferieren um bei dieser Gelegenheit endlich auch den unsägliche “admin” auszumerzen.
Sind nicht schon seit einigen Wochen Bruteforce-Attacke im gange auf WordPress?
Für ein noch sicheres Login könnte man eine 2 Faktor Authentifikation in WordPress einbauen , Wie das z.b. LastPass oder Google benutz. Mit dem Google Authenticator geht das ganz einfach.
Da hast Du natürlich Recht, die Attacke läuft schon eine Weile. Habe das sogleich korrigiert. Auch der Tipp mit der 2 Faktor Authentifizierung ist sehr gut. Danke für Dein Feedback!
Vielen Dank für den Hinweis!
Ich nutze schon das Plugin Better WP Security, aber hätte auch gerne den Verzeichnisschutz eingesetzt. Leider hat es bei mir nur über die Weboberfläche nicht funktioniert, da gab es Probleme mit den Rewrite-Rules von WordPress, aber durch die Zeile “ErrorDocument 401 default” klappt jetzt alles wie gewünscht.
Richtig. Den Hinweis mit der Weiterleitung habe ich nachträglich in den Blogpost eingebaut :) Danke für Dein Feedback!
Cyon blockiert unsere IP Adresse seit dem Umschalten auf den neuen Server. Das bedeutet alle unsere eigenen Webseiten können wir im Geschäft seit 3 Wochen nicht mehr anschauen und nicht mehr bearbeiten. Wir arbeiten seit 3 Wochen daran das Problem zu finden was uns Cyon eingebrockt haben und haben ca. 3000 CHF Arbeitszeit bereits verloren! Alle Hinweise von Cyon reichen nicht aus das Problem so einzukreisen das wir wieder arbeiten können. Die Hinweise die wir bekommen helfen uns nicht mehr weiter und wir müssen darüber nachdenken den Provider zu wechseln, weil wir ohnehin im eigenen Geschäft alle unsere Webseiten nicht mehr ansehen können. Mithin ist der Serverwechsel für uns als Kunden eine riesen katastrophe geworden und es gibt zur zeit keinen anderen Ausweg als den Provider zu wechseln. Wir haben keine Ideen mehr wo wir suchen können. Haben andere User ähnliche Probleme und können Ihre eigenen Webseiten seit 3 Wochen nicht mehr sehen?