Warum Limit Login Attempts & Co keinen zuverlässigen Schutz vor Bruteforce Attacken bieten

Publiziert am: 19.01.2017

Da WordPress eines der beliebtesten Content-Management-Systeme ist, ist es auch für Hacker ein interessantes Ziel. Gerade die sogenannten Brute-Force-Attacken sind ein sehr beliebtes Mittel, um einen Blog mittels massenhafter Login-Versuche zu hacken. Auf vielen Blogs und in Foren werden nach wie vor noch Sicherheits-Plugins wie Login Attemps, Login LockDown & weitere Tools empfohlen, um sich vor dieser Art der Angriffe zu schützen. Ich kann dir persönlich nur davon abraten, alleine auf diese Form des Schutzes zu vertrauen, denn es ist ein riesiger Trugschluss! Warum das so ist und vor allem, was du für grundlegende Maßnahmen ergreifen kannst, um deinen Blog besser zu schützen, erfährst du in diesem Artikel.

Brute-Force-Attacken (Massen-Anmeldeversuche) – des WordPress Hackers Liebling

Eines der beliebtesten Angriffsziele von WordPress Hackern ist das Anmeldeformular (wp-login.php). Hierfür gibt es zahlreiche Software-Tools (beispielsweise für Linux), die den Hackern die Arbeit abnehmen. Mittels passender Software und Passwortliste lassen sich schlecht gesicherte Blogs mit schwachen Passwörtern dann schon fast kinderleicht kapern.

Wenn Hacker hier also Software einsetzen, die vollkommen automatisiert Benutzer-Accounts und Passwörter auf deinem Blog ausprobieren bis zu sie richtigen gefunden haben, dann scheint dir jetzt auf den ersten Blick natürlich die Beschränkung von Login-Versuchen als die perfekte Lösung, nicht wahr? Und genau hier liegt der Trugschluss!!! Diese Sicherheitsplugins machen zwar nach beispielsweise 3 fehlerhaften Login-versuchen erst einmal dicht, aber nur für die IP-Adresse, über die der Angriff versucht wurde. Wenn jetzt ein Hacker allerdings Zugriff auf ein Bot-Netzwerk mit vielleicht 900.000 Rechnern (und somit auch IP-Adressen) hat, dann kannst du dir vorstellen, dass sein Angriff mit den schieren Massen an IP-Adressen deinen Login-Schutz ganz einfach aushebeln kann.

Was kannst du also unternehmen, um deine WordPress Seite besser vor Brute-Force-Angriffen zu schützen?

2 Einsteiger-Schutzmaßnahmen

Im Folgenden möchte ich dir ein paar einfach umzusetzende Tipps geben, wie du deinen WordPress Login etwas sicherer machen kannst. Umfangreichere Maßnahmen folgen vielleicht noch in einem zukünftigen Artikel:

  • Benutzernamen checken: Auf gängige Benutzernamen wie „admin“, „Administrator“, „default“, etc. solltest du verzichten, da diese leicht auslesbar bzw. zu erraten sind.
  • Passwort: Das A und O – nicht nur bei WordPress – ist ein sicheres Passwort. Kurze, einfache Passwörter (12345, 000000, qwertz, passwort, etc.) oder solche Kombinationen, die ein Hacker fast schon einfach aus deinem Facebook-Profil erraten kann (Hund, Katze, Maus, Kind, Geburtstag, etc. Kombinationen) sind eines der häufigsten Ursachen, warum sich Fremde Zugang zu deinem Backend oder anderen Accounts verschaffen.

Diese beiden Basics kann jeder durchführen und somit schon mal den Zugang für Hacker deutlich schwieriger gestalten. Es gibt selbstverständlich noch viele technische Möglichkeiten, die Sicherheit einer WordPress Installation zu erhöhen. Doch auf dieses Thema werde ich in einem separaten Artikel zum Thema „WordPress absichern“ noch genauer eingehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.