Verstärkt Botnet-Angriffe auf WordPress-Seiten – Was ist zu tun? (Update)

Datensicherheit Beratung

Brute-Force-Attacken auf WordPress- und Joomla-Installationen

Wie Heise Online und Spiegel Online bereits berichteten, sind WordPress- und Joomla-Installationen derzeit einer Brute-Force-Attacke ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über wiederholte Loginversuche (mit wechselnden Passwörtern nach der Wörterbuch-Methode) auf den Admin-Account Zugriff auf die WordPress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor installiert, über welche das System in ein Botnet eingebunden würde.

Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“ – alle ausgehend von derselben IP-Adresse.

Vorschläge zur Vorbeugung

Was kann man dagegen tun? Eigentlich ist es recht einfach:

  1. Sicheres Passwort wählen
    Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja.  für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln.
  2. Standards ändern
    Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache WordPress-Plugins können auch die URL der Standardanmeldeseiten von WordPress geändert werden – auch das macht es einem Angreifer schwieriger.
  3. Sperren einbauen
    Über WordPress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.

Update vom 20.04.2013
Die Intensität der Login-Versuche hat heute Nacht erheblich zugenommen – ich kann nun eine Vielzahl von Versuchen über verschiedene IP’s verzeichnen. Gemein ist allen Versuchen der (vergebliche) Zugriff auf den User „admin“.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

 

Creative Commons Lizenzvertrag Alle Textbeiträge von RA Steinle, LL.M. (mit entsprechender Autorenkennzeichnung unter dem Text) stehen unter einer Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland Lizenz. Bitte beachten Sie, dass dies nicht für Beiträge mit einer anderen Autorenkennzeichnung (z.B. bei Pressemitteilungen), Gesetzen, Gerichtsentscheidungen und den dargestellten Bildern gilt. Die Beiträge geben die Meinung des Autors zum Erstellungszeitpunkt wieder.

Fragen? Nehmen Sie doch Kontakt mit uns auf!

Kontaktformular öffnen