Angriffe auf WordPress-Webseiten - so können Sie sich schützen

Zur Zeit läuft eine massive Angriffswelle auf WordPress-Webseiten. In diesem Artikel geben wir ein paar Tipps, wie Sie Ihre Website schützen können.

Über ein sogenanntes Botnet läuft derzeit ein weltweiter Angriff auf WordPress-Installationen. Dabei ist der Angriff selber relativ einfach aufgebaut: es wird versucht, über das WordPress-Standard-Benutzerkonto "admin" Zugang zum WordPress-Dashboard zu erhalten. Dabei werden einfach in kurzer Zeit tausende verschiedene Passwörter versucht, der Angriff läuft automatisiert ab (Brute-Force-Attacke).

Ziel ist wahrscheinlich, den Webserver, auf dem WordPress gehostet wird, selbst zum Teil des Botnets zu machen. Dieses neue, noch größere Botnet kann dann für Angriffe auf andere Websites genutzt werden.

So können Sie WordPress schützen

  1. Die erste Maßnahme sollte die Vermeidung des Benutzernamens "admin" sein. Wenn Sie WordPress neu installieren, können Sie bei der Installation direkt einen anderen Usernamen wählen. Aber auch bei einer bestehenden WordPress-Installation kann der Benutzername ganz einfach geändert werden, ohne das Verknüpfungen zu Artikeln oder Kommentaren verloren gehen. In diesem Artikel wird beschrieben, wie man den Benutzer "admin" loswerden kann.
  2. Sie sollten auf jeden Fall sichere Passwörter verwenden. Sicher Passwörter sind mindestens 16 Zeichen lang und bestehen aus einer zufälligen Kombination von Buchstaben, Zahlen und Sonderzeichen. Zur Erzeugung und auch Verwaltung von Passwörtern gibt es zahlreiche kostenlose oder auch kostenpflichtige Tools, zum Beispiel KeePass oder 1Password.
    Verwenden Sie auf keinen Fall Passwörter, die in einem Wörterbuch zu finden sind, oder einfach zu erratende wie Ihren Vornamen oder den Namen der Ehefrau, der Kinder, Geburtsdaten oder ähnliches.
  3. Sie können auch den gesamten Admin-Bereich von WordPress mit einem Passwort schützen. Dabei kommt ein Schutz über die .htaccess-Datei zum Einsatz. Wie man einen .htaccess-Schutz einrichtet, finden Sie in diesem Artikel.
  4. Über das WordPress-Plugin "Limit Login Attempts" kann man die Zahl der erfolglosen Anmelde-Versuche einschränken. Das Plugin kann zum Beispiel so konfiguriert werden, dass nach 3 erfolglosen Versuchen die IP-Adresse des Angreifers für einen bestimmten Zeitraum gesperrt wird. Zusätzlich kann, falls von der selben IP-Adresse später ein weiterer Versuch unternommen wird, diese für einen noch längeren Zeitraum gesperrt werden. Optional kann man sich auch per E-Mail über die Sperrungen informieren lassen. Obwohl das Plugin offiziell nur bis WordPress 3.3.2 kompatibel ist, funktioniert es auch problemlos mit der momentan aktuellen Version 3.5.1.

Allgemeiner Tipp

Halten Sie WordPress durch Updates auf einem aktuellen Stand. Neue Versionen bringen nicht nur neue Funktionen, sondern schließen auch bekannte Sicherheitslücken. Gerade bei WordPress ist die Aktualisierung einfach durchzuführen. 

Das Aktualisieren gilt natürlich nicht nur für WordPress, sondern für alle Systeme, auch TYPO3, Drupal, Joomla oder andere.