Verstärkt Botnet-Angriffe auf WordPress-Seiten – Was ist zu tun? (Update)

Datensicherheit Beratung

Brute-Force-Attacken auf WordPress- und Joomla-Installationen

Wie Heise Online und Spiegel Online bereits berichteten, sind WordPress- und Joomla-Installationen derzeit einer Brute-Force-Attacke ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über wiederholte Loginversuche (mit wechselnden Passwörtern nach der Wörterbuch-Methode) auf den Admin-Account Zugriff auf die WordPress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor installiert, über welche das System in ein Botnet eingebunden würde.

Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“ – alle ausgehend von derselben IP-Adresse.

Vorschläge zur Vorbeugung

Was kann man dagegen tun? Eigentlich ist es recht einfach:

  1. Sicheres Passwort wählen
    Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja.  für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln.
  2. Standards ändern
    Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache WordPress-Plugins können auch die URL der Standardanmeldeseiten von WordPress geändert werden – auch das macht es einem Angreifer schwieriger.
  3. Sperren einbauen
    Über WordPress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.

Update vom 20.04.2013
Die Intensität der Login-Versuche hat heute Nacht erheblich zugenommen – ich kann nun eine Vielzahl von Versuchen über verschiedene IP’s verzeichnen. Gemein ist allen Versuchen der (vergebliche) Zugriff auf den User „admin“.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe