So schützen Sie sich gegen Brute Force Attacken auf WordPress
am von in Hosting Blog
In den letzten Monaten wurde ein massiver Anstieg an Brute Force Attacken auf das Content Management System WordPressverzeichnet. Dabei wird auf das Administrationspanel der Webseiten zugegriffen, indem eine Kombination aus häufig verwendeten Passwörtern
verwendet wird.
In den letzten Monaten wurde ein massiver Anstieg an Brute Force Attacken auf das Content Management System WordPress verzeichnet. Dabei wird auf das Administrationspanel der Webseiten zugegriffen, indem eine Kombination aus häufig verwendeten Passwörtern verwendet wird. Als Benutzername wird häufig der Name "admin" verwendet. Bei einer erfolgreichen Brute Force Attacke wird ein sogenannter Backdoor eingeschleust, der die Steuerung der Website durch die Hacker ermöglicht. Durch gezielte und einfach durchzuführende Massnahmen kann die Sicherheit gegen diese Angriffe stark erhöht werden.
Ein sicheres Passwort gegen Brute Force Attacken
Den grössten Sicherheitsfaktor bietet ein sicheres Passwort. Ein sicheres Passwort ist mindestens 8 Zeichen lang. Es setzt sich aus Gross- und Kleinbuchstaben und Ziffern sowie Sonderzeichen zusammen. Je länger das Passwort ist und je abwechslungsreicher Ziffern, Sonderzeichen und Gross- und Kleinbuchstaben eingesetzt werden, umso sicherer ist das Passwort. Inzwischen gibt es auch Online-Tools, um einfach und schnell sichere Passwörter zu erstellen (»Link). Mit dem speziellen Plugin Ask Apache Password Protect für WordPress können Sie für zusätzliche Sicherheit sorgen.
Ändern Sie den Benutzernamen "admin"
In den meisten Fällen wird im Administrationsbereich der Benutzername "admin" verwendet. Dies ist den attackierenden Hackern bekannt. Wird mit diesem Benutzernamen ein Passwort mit geringer Sicherheit verwendet, ist es nur eine Frage der Zeit, bis der Angriff erfolgreich ist.
Sie können WordPress entweder neu installieren, und während der Neuinstallation für den Administrationsbereich unkompliziert einen beliebigen und nur schwer zu erratenden Phantasienamen vergeben. Das voreingestellte Adminkonto wird gelöscht. Bei einer bestehenden WordPress-Installation kann das aktuelle Konto über einen MySQL-Client oder im Control Panel über phpMyAdmin umbenannt werden. Bei der Umbenennung über den MySQL-Client wird der Befehl [UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin'] eingegeben.
Weitere Sicherheitsmassnahmen
Über htaccess besteht die Möglichkeit, das Verzeichnis /wp-admin mit einem Passwort zu sichern. Spezielle Sicherheitsplugins wie beispielsweise Wordfence können so konfiguriert werden, dass alle IPs, deren Anmeldeversuch fehlschlägt, beim nächsten Versuch gesperrt werden.
Kompetentes Webhosting unterstützt im Kampf gegen Brute Force Attacken
Unsere Systeme werden kontinuierlich auf auffällige WordPress Anfragen untersucht, um Angriffe proaktiv erkennen und abwehren zu können. Sollte es einem Angreifer dennoch gelingen sich anzumelden, werden Uploads von Maleware auf Ihren Webhosting Account sofort gelöscht und unser Support informiert. Wie zu allen anderen Fragen zum Thema Webhosting steht Ihnen das Team von webkeeper bei Fragen zu Brute Force Attacken auf WordPress gerne zur Verfügung.
