Botnet-Attacke auf WordPress

In den vergangenen zwei Wochen konnten wir eine alarmierende Brute-Force-Attacke zur Ermittlung der Passwörter von Webseiten verzeichnen, die WordPress nutzen – das beliebteste Content Management System, das heutzutage eingesetzt wird (Avira Techblog verwendet ebenfalls WordPress).

wordpress

Im Folgenden sieht man, wie unterschiedliche IP-Adressen (hier aus China) versuchen, sich mit den bekannten Dateien einer WordPress-Installation zu verbinden, die für den Login und die Anmeldung zuständig sind.

china-attack

WordPress besitzt einen Standard-Administrator („Admin“), der nach der Installation beliebig abgeändert werden kann. Laut mehrerer Quellen werden bei der Attacke bis zu 1.000 der am häufigsten genutzten Passwörter ausprobiert (siehe folgende Beispiele).

Brian Krebs berichtete, dass infizierte Seiten mit einer Hintertür versehen werden, damit die Angreifer die Seite per Fernzugriff steuern können (die Hintertür bleibt auch dann bestehen, wenn der rechtmäßige Seiteninhaber sein Passwort ändert). Die infizierten Seiten werden dann zu einem Server-Botnet vereint und müssen Attacken zur Passwortermittlung gegen andere Seiten ausführen, die WordPress einsetzen.

Wenn Ihr ein paar einfache Vorsichtsmaßnahmen beachtet, beugt Ihr einem Hackerangriff gezielt vor:

- Ändert das Standard-Passwort, das ihr seid der Installation von WordPress nutzt

- Ändert den Namen des Standard-Administratorkontos eurer WordPress-Installation

- Wählt ein komplexes Passwort für das Administratorkonto. Hier erfahrt ihr, wie das geht

- Aktiviert die Zwei-Faktor-Authentifizierung für WordPress. Hier erfahrt ihr, wie das geht

 

Viel Spaß beim Bloggen!

 

Sorin Mustaca

IT Security Expert