WordPress Brute Force Attacke abwehren: So geht’s
„Der Mensch ist die größte Schwachstelle im System.“ Obwohl man diesen Satz in letzter Zeit vor allem in der Diskussion um selbstfahrende Autos immer wieder aufschnappt, passt er leider in vielen Fällen auch auf einen ganz anderen Bereich: die Absicherung von Websites gegenüber Hacker-Angriffen und Zugriffen dritter Personen. Das hat dazu geführt, dass in letzter Zeit vermehrt sogenannte „Brute Force Attacks“ auf WordPress Seiten gefahren werden mit dem Ziel, die Kontrolle über das Backend zu übernehmen und Malware zu platzieren bzw. sonstigen Schaden anzurichten. Damit Ihnen dieses verhängnisvolle Los erspart bleibt, erfahren Sie in diesem Artikel, was eigentlich genau hinter solchen Brute Force Angriffen steckt und welche Sicherheitsvorkehrungen Sie auf Ihrer WordPress Seite dagegen treffen können.
Definition und Ablauf einer WordPress Brute Force Attacke
Leider entwickeln sich nicht nur die Sicherheitssysteme von Browsern und Anbietern wie WordPress immer weiter, sondern auch die verbrecherischen Taktiken von Hackern und Internet-Kriminellen. Grund dafür sind die zahlreichen Möglichkeiten, die sich für solche Cyberverbrecher ergeben, sobald Sie die Macht über eine fremde Website übernommen haben. Das Verschicken von Spam-Mails oder das Platzieren von Schadcode, der Ihrer Website gefährliche Features oder Eigenschaften hinzufügen kann, sind nur zwei dieser vielen Möglichkeiten. Der Ablauf einer Brute Force Attacke gestaltet sich wie der Name schon sagt (dt. Angriff mit roher Gewalt) eher stumpf und wenig innovativ. Alles was bei einer solchen Attacke auf Ihre WordPress Seite nämlich passiert, ist dass man so viele Zusammensetzungen von Benutzernamen und Passwort miteinander ausprobiert, bis die Login-Daten korrekt waren.
Das einzige, was die Angreifer brauchen, um die Attacke auf Ihre Website zu starten, ist die passende URL Ihrer Login-Seite. Da jedoch enorm viele Seitenbetreiber die in WordPress standardmäßig eingestellte URL nicht individuell anpassen, ist der Login-Bereich vieler WordPress Seiten unter …/wp-admin.php bzw. …/wp-login.php öffentlich abrufbar. Das spielt Brute Force Attacken leider extrem in die Hände, da Sie ihnen so den Tresor, den es zu knacken gilt, schon auf dem Präsentierteller servieren. Ist der Login-Bereich einmal ausfindig gemacht, kommen für den Rest nur noch bestimme Brute Force Tools zum Einsatz. Deren einzige Aufgabe besteht darin, einfach so lange den oben beschriebenen Anfrage-Prozess durchzuführen und zu wiederholen, bis sie die korrekte Kombination aus Username und Passwort gefunden und damit den Zugang in Ihr Backend geknackt haben.
Die Attacke war leider erfolgreich: Was passiert jetzt?
Eine verblüffend simple Art und Weise auf die Hacker bei der Brute Force Methode arbeiten oder? Mit Zauberei und übermenschlichen Programmierkenntnissen hat das herzlich wenig zu tun. Aber gibt es nicht quasi unbegrenzt viele Konstellationen, die sich dort ergeben können? Eigentlich schon, leider sieht das in der Praxis aber oft ganz anders aus: Viele belassen die von WordPress getätigten Voreinstellungen nämlich so wie sie sind und benutzen Passwörter, deren Schwierigkeitsgrad sich sagen wir mal in Grenzen hält. So ergeben sich schlussendlich dann immer gleiche Kombinationen und Logindaten wie z.B. „admin“ und „123456“ oder „root“ und „abcdef“.
Genau diesen Umstand nutzen die Brute Force Tools leider aus und starten unzählige Abfragen mit Standard-Benutzernamen und sehr simplen Passwörtern. Daraus ergeben sich zwar immer noch tausende potentielle Verbindungen, allerdings schicken solche Tools auch gerne mal mehrere zehntausend Abfragen hintereinander ab. Das begründet den das verstärkte Auftreten solcher Brute Force Angriffe, da die Erfolgschance relativ hoch liegt, sobald die oben genannten Kriterien erfüllt sind. Bis Sie die Übernahme Ihrer Seite bemerken, kann es dann leider schon viel zu spät sein: Für die Hacker ist es aufgrund vorgeschriebener Quellcodes möglich, auch in kürzester Zeit schon immensen Schaden an und mit Ihrer WordPress Seite anzurichten. Noch schlimmer: Geübtere Brute Force Angreifer verwehren Ihnen bereits nach einigen Sekunden mit einfachen Mitteln den Zugriff auf Ihre eigene Seite, indem Sie schlicht und ergreifend Ihr altes Passwort ändern.
Hier einige Beispiele für verhängnisvolle Auswirkungen, die eine erfolgreiche Brute Force Attacke haben kann:
- das Verschicken von Spam- und Viren-Mails von Ihrer Adresse aus
- Downloads, die auf Ihrer Seite angeboten werden, wird schädliche Malware hinzugefügt
- die unzähligen Login-Anfragen führen zu einem Ausfall Ihres Servers, wodurch auch Ihre Seite vom Netz geht (selbst möglich, wenn eigentlicher Loginversuch am Ende scheitert)
- Google fügt Ihre Seite durch den darauf vorhandenen Schadcode seiner Blacklist hinzu, was eine SEO-Katastrophe für Ihren WordPress Blog darstellt
- das Vertrauen und das Image Ihrer Seite gegenüber Ihren Nutzern sinkt erheblich
- Die Reanimierung der Seite zieht einen enormen Kosten- und Zeitaufwand mit sich
- Ausbleibende Aktionen und Aktivitäten auf Ihrer Website führen zu finanziellen Einbußen
Drei Tipps zum Schutz Ihrer WordPress Seite gegen Brute Force Angriffe
Um potentiellen Cyber-Kriminellen zuvor zu kommen, gibt es einige Sicherheitsvorkehrungen, die Sie auf Ihrer Website gegen Brute Force Attacken vornehmen sollten. Deshalb haben wir Ihnen drei Tipps zusammengestellt, die Sie auch ohne tiefgreifende Programmierkenntnisse auf Ihrer WordPress Seite anwenden können:
1. An erster Stelle steht das Anpassen Ihres Benutzernamens und die Generierung eines starken Passworts. „admin“ oder „default“ sind keinesfalls für eine längere Benutzung geeignet und sollten umgehend geändert werden. Wie überall im Internet sind Passwörter wie „000000“ nicht mehr zeitgemäß und sollten ebenfalls vermieden werden. Weitere Informationen zum Ändern Ihres WordPress Passworts und was ein starkes Passwort ausmacht, erfahren Sie in dem verlinkten Artikel. Auch die Änderung Ihrer Administrator ID ist in diesem Zusammenhang von Belang, mehr dazu erfahren Sie hier.
2. Außerdem ist es ratsam, die Adresse zum Auffinden des Login-Bereichs abzuwandeln und somit den Weg dahin zu verschleiern. Da viele der gängigen Brute Force Tools ausschließlich die Standard-URLs ansteuern, haben Sie mit dieser Änderung schon eine sehr gute Chance, einer Brute Force Attacke zuvor zu kommen. An dieser Stelle können wir Ihnen das Plugin „Move Login“ empfehlen, was in wenigen Schritten die Verschiebung des Login-Bereichs Ihrer Website auf eine andere URL ermöglicht.
3. Des weiteren kann es helfen, nur eine eingeschränkte Anzahl an Login-Vorgängen hintereinander zuzulassen. Leider kommt es auch vor, dass Brute Force Bots mehrere hundert alternative IP-Adressen zu Verfügung haben, wenn sie auf eine solche Login-Sperre stoßen. Dennoch legen wir Ihnen ans Herz, eine solche Schranke einzurichten, da Sie somit auch das Risiko einer Server-Überlastung erheblich verringern können. In vielen Fällen geht der IP-Pool eines Bots nämlich schneller zu Neige, als die Belastbarkeit Ihres Webservers an ihre Grenzen kommt. Zahlreiche Sicherheits-Plugins können Ihnen bei diesem Unterfangen unter die Arme greifen.
P.S.: Auch unabhängig von Brute Force Attacken sollten Sie stets darauf achten, dass Sie keine veralteten WordPress Versionen auf Ihrer Website im Einsatz haben. WordPress selbst schließt laufend kleinere Sicherheitslücken, die sich immer wieder ergeben. Halten Sie Ihr WordPress also immer auf dem neuesten Stand und halten profitieren Sie von diesen Sicherheitsupdates.
Schutz vor Brute Force Attacken: Kleiner Aufwand, große Wirkung
Der Absicherung Ihrer WordPress Seite gegen Brute Force Attacken steht jetzt nichts mehr im Wege: Einfachen den Schritten in diesem Tutorial folgen und die nötigen Plugins installieren. Eine allumfassende Abwehr gegen Hacker-Angriffe ist leider nahezu unmöglich, da auch diese sich ständig neue Verfahren und gemeine Methoden ausdenken. Angst vor einer Brute Force Attacke müssen Sie nach dieser Anleitung immerhin nahezu keine mehr haben.
Sie möchten die Sicherheit Ihrer WordPress-Seite nicht dem Zufall überlassen und bestmöglich absichern lassen? Dann sind Sie bei uns an der richtigen Adresse, gerne nehmen unsere Sicherheits-Experten sich Ihrer Situation an und erstellen ein individuelles Schutz-Konzept für Sie. Die WordPress-Helden aus Köln verfügen über langjährige Erfahrung in der Erstellung von WordPress Seiten mit modernsten Funktionen und höchsten Sicherheitsansprüchen – natürlich auch gegen Brute Force Angriffe. Nehmen Sie einfach über das Formular auf unserer Website Kontakt mit uns auf und wir treffen uns gerne für ein kostenloses Beratungsgespräch mit Ihnen.