Verstärkt Botnet-Angriffe auf WordPress-Seiten – Was ist zu tun?
Wie Heise Online und Spiegel Online bereits berichteten, sind WordPress- und Joomla-Installationen derzeit einer Brute-Force-Attacke ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über wiederholte Loginversuche (mit wechselnden Passwörtern nach der Wörterbuch-Methode) auf den Admin-Account Zugriff auf die WordPress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor installiert, über welche das System in ein Botnet eingebunden würde.
Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“ – alle ausgehend von derselben IP-Adresse.
Was kann man dagegen tun? Eigentlich ist es recht einfach:
- Sicheres Passwort wählen Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja. für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln.
- Standards ändern Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache WordPress-Plugins können auch die URL der Standardanmeldeseiten von WordPress geändert werden – auch das macht es einem Angreifer schwieriger.
- Sperren einbauen Über WordPress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe