Wie man sich vor Brute Force Attacken auf WordPress-Blogs schützt

Bereits vor anderthalb Monaten schrieben wir in dem Artikel Botnet-Attacken auf WordPress über die verbreiteten Angriffe auf die WordPress-Plattorm.

WordPress besitzt einen voreingestellten Administrator, den sogenannten „admin”. Dieser lässt sich bei der Installation auf jeden beliebigen anderen Benutzer übertragen. Laut verschiedener Quellen kommen bei den Angriffen bis zu 1000 der meist genutzten Passwörter zum Einsatz (Beispiele findet ihr hier).

Derzeit stellen wir fest, dass bei Angriffen auf die Plattform mittlerweile eine größere Anzahl intelligenter Prüfungsfunktionen zum Einsatz kommen. Jetzt analysieren sie die Blogs, ziehen die Namen von Benutzern heraus, die etwas gepostet haben, und versuchen dann die Passwörter dieser Anwender herauszufinden.

Eine äußerst interessante Tatsache: Diese cleveren Angriffe gehen derzeit nur von einer handvoll Domains aus. Am häufigsten werden hostnoc.net sowie 163data.com.cn verwendet.

Auch alle anderen Versuche, Zugriff auf das voreingestellte „admin”-Konto zu erlangen, gehen weiter und selbst von den zuvor erwähnten Domains gehen noch immer eine Menge Anfragen an dieses Konto.

Es gibt allerdings ein paar einfache Möglichkeiten, einem Angreifer den Zugriff auf eure Blogs zu verwehren:

1. Richten Sie ein starkes Passwort ein: Dabei handelt es sich um die grundlegendste Maßnahme, die in Kombination mit allen anderen Methoden genutzt werden sollte.

2. Benennen Sie das voreingestellte „admin”-Konto um: Bei einer Neuinstallation lässt sich ganz einfach ein neues Administrator-Konto einrichten und das voreingestellte admin-Konto löschen. Im Falle einer bereits bestehenden WordPress-Installation kann das existierende Konto im MySQL-Befehlszeilen-Client mit einem Befehl wie UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’oder durch die Verwendung eines MySQL-Frontends wie phpMyAdmin umbenannt werden.

3. Ändern Sie das table_prefix: Viele der veröffentlichten WordPress-spezifischen SQL-Injektionsangriffe gehen davon aus, dass das table_prefix standardmäßig wp_ lautet.  Mithilfe einer entsprechenden Änderung kann man wenigstens einige der SQL-Injektionsangriffe abblocken.

4. Installieren Sie ein Sicherheitsplugin wie Wordfence: Achten Sie darauf, dass die Konfiguration so ausgerichtet ist, dass IPs mit fehlgeschlagenen Anmeldeversuchen gesperrt werden. Dabei sollte die Einstellung der Anzahl der Versuche 1 betragen.

Nach Einrichtung des Plugins, sehen Sie eine E-Mail wie diese:

wordfence-email

WordPress.org hat eine Seite veröffentlicht, auf der verschiedene Methoden zur Absicherung von WordPress beschrieben werden. Allerdings sind diese äußerst komplex, weniger erfahrene Anwender sollten deshalb besser auf solch einen Versuch verzichten. Falls Sie irgendwelche Zweifel an der Sicherheit Ihrer WordPress.com-Installation haben, setzen Sie sich am besten mit Ihrem Host bzw. ihrem Provider in Verbindung.

 

Sorin Mustaca

IT Security Expert