Angriffe auf Admin-Konten von WordPress-Systemen

In den vergangenen Tagen gab es immer mehr Meldungen über Brute
Force Attacken auf WordPress-Systeme, auch die
Sicherheitssysteme, auf den von mir verwalteten Seiten, zeigen
erhöhte Login-Versuche mit dem „Admin“ Benutzer. Bots versuchen
bei WordPress-Webseiten die Passwörter mittels Wörterbuch und
bekannten, viel genutzten, Kennwörter zu erraten. Als
Benutzername wird in der Regel auf „admin“ zurückgegriffen, der
Standard WordPress-Administrator Account.


Anzeige:









Der Angriff werde von einem Botnetz durchgeführt, berichtet
Matthew Prince, Chef des Content Delivery Networks Cloudflare, im
Unternehmensblog. Per Brute Force werde versucht, die Passwörter
für den Nutzer Admin auszulesen: Es würden lange Listen von
möglichen Passwörter ausprobiert, um in eine
WordPress-Installation einzudringen. Das Botnetz umfasse mehrere
zehntausend IP-Adressen. (Golem.de)


Brute Force Attacken sind in der Regel relativ einfach
abzuwehren, gerade in WordPress ist die Sache mit ein paar
Kniffen schnell erledigt. In dieser kurzen To-Do Liste möchte ich
euch Tipps zur Absicherung eures WordPress-Systems geben:
Sichere Kennwörter verwenden

Das oberste Gebot gilt nicht nur für die Nutzung von WordPress,
sondern generell für alle Online-Dienste: Verwendet immer sichere
Kennwört. „Hallo“ oder „1234“ zählen definitiv nicht dazu, haltet
euch eher an zufällig generierte Kennwörter, die dann z.B.
mittels eines Tools, wie 1Password, abgespeichert werden.


So ein sicheres Kennwort könnte dann z.B. so aussehen:
b33gkBDQ:vN2p,EE[CEg


Auf diese Weise wird es dem Angreifer schon fast unmöglich
gemacht, dass Kennwort in einer realistischen Zeit zu „erraten“.
Admin Nutzer in WordPress nicht verwenden oder entfernen

Seit der WordPress Version 3.0 lässt sich der Benutzername
„admin“ in der Installationsroutine entsprechend ändern. Eine
nachträgliche Änderung ist über WordPress selber nicht möglich,
er kann aber über die Datenbank angepasst werden.


Öffnet hierzu über phpMyAdmin eure WordPress Datenbank und sucht
dort die Tabelle „wp_users“, dort solltet ihr euch den Eintrag
mit der „ID“ 1 genauer ansehen, hier sollte im Feld „user_login“
der Name „admin“ stehen. Diesen müsst ihr jetzt über phpMyAdmin
ändern, dass war es schon.
Login-Versuche einschränken mit Limit Login Attempts

Das WordPress Plugin „Limit Login Attempts“ schütz euren
WordPress Login vor zu vielen ungültigen Logins. Es funktioniert
relativ simpel, es sperrt einfach die entsprechende IP-Adressen,
die sich mehrmals falsch anmelden, die entsprechenden Sperrzeiten
und Login-Versuche lassen sich einfach konfigurieren.


Da das Botnetzwerk in dieser Angriffsserie mehr als 90,000 IP
Adressen umfasst, ist ein alleiniger Schutz über Limit Login
Attempts nicht ausreichend.
WordPress richtig absichern

WordPress ist von Haus aus ein sehr sicheres System, durch den
offenen Quellcode werden Sicherheitslücken allerdings relativ
schnell bekannt und auch aktiv ausgenutzt. Der erste Aspekt der
Sicherheit sollte also ein zeitnahes Update-Verhalten sein.
Selbiges gilt natürlich nicht nur für das WordPress-Kern-System,
sondern auch für entsprechende Plug-Ins.


Neben den wichtigen Updates gibt es noch einige weitere Plug-Ins
und Schritte, die ihr durchführen könnt, um die Sicherheit eures
WordPress-Systems zu verbessern. Die wesentlichen Punkte möchte
ich euch in diesem Video-Training vorstellen:


Limit Login Attempts

Snitch



Podcast Info:
Titel: WordPress richtig absichern
Autor: Pascal Bajorat
Länge: 12 Min
Dateigröße: 64 MB



Auf Vimeo ansehen


Du möchtest noch mehr über WordPress erfahren und lernen? Dann
schau dir doch einmal mein beiden WordPress-Video-Training an.
Diese behandeln die verschiedensten Themen rund um WordPress
praxisnah und gut verständlich, wie z.B. Theme-Erstellung,
MultiSite / Blognetzwerk, eigene Plugins, Custom-Post-Types,
Suchmaschinenoptimierung, WordPress Security, Woocommerce und
vieles mehr: WordPress-Video-Training Vol. 1
& WordPress-Video-Training Vol.
2 von Pascal Bajorat


Bild: fotolia.com – vege



Ähnliche Artikel:
Störung im Podcast Feed – PodPress Unsere guten Vorsätze für
2011 WordPress 3.1 MultiSite / Blognetzwerk Installation