Es ist ein Grauen. Man nutzt WordPress, um über das zu schreiben, was einen bewegt. Viele WordPress-Installationen sind zum reinen Zeitvertreib überhaupt in Betrieb. Und die werden derzeit attackiert. Es handelt sich dabei um WordPress-Installationen bei deutschen Hostern.
Es handelt sich hier um eine ernste Sache. Es laufen derzeit Brute-Force-Attacken ab. Ziele sind ausschließlich WordPress-Installationen bei deutschen Hostern wie 1&1. Es sollen auch Joomla-Installationen dabei sein. Aber der Großteil scheint WordPress zu betreffen.
1&1 hat als prominentes Beispiel auf einer Statusseite seine Kunden informiert. Ob das andere auch tun, kann ich nicht beurteilen. Mein Anbieter, 1Blu, hat jedenfalls noch keinen Hinweis. Ob man als Betreiber eines Blogs ein Betroffener ist, erfährt man daher also nicht.
Mittels Ausschlussverfahren (Brute Force Attacke) versuchen Angreifer, sich Zugang zum Content Management System (WordPress, Joomla) zu verschaffen. In einem zweiten Schritt soll dann im Blog Schadsoftware installiert werden.
Dass der eigene Blog Ziel einer solchen Brute-Force-Attacke ist, stellt man fest, wenn man gewaltige Einbußen in der Geschwindigkeit feststellt. Die meisten Angriffe laufen dabei in Richtung Shared Hosting Systeme ab, also Blogs, die nicht auf eigenen Servern sondern als Webspace-Pakete laufen. Wie man das gefiltert hat, kann ich mir nicht im Traum ausmalen. Es würde vielleicht sogar darauf hinauslaufen, dass zuerst Kundendaten entwendet wurden und dann aufgrund der Daten die Angriffe gezielt gestartet wurden.
Alles Spekulation. Was man aber weiß, ist die Erkenntnis, dass WordPress abgesichert gehört. Man sollte nicht darauf bauen, dass der Login-Bereich sicher genug ist. Man sollte lieber Sicherheitsmechanismen einbauen, die solche Brute-Force-Attacken unterbinden. So gibt es Plugins, die die Anzahl fehlgeschlagener Anmeldungen pro Benutzer mitzählen und dann ab einer eingestellten Zahl von Versuchen den Benutzer sperrt.
Sinnvoll ist es hier, die Zahl von Versuchen recht niedrig zu setzen. Sinnvoll ist es auch, den Benutzer „admin“ entweder nicht zu verwenden oder umzubenennen. Der wird standardmäßig installiert und ist jedem bekannt. Wenn der umbenannt ist, ist ein Zugriff schon einmal um einiges schwieriger. Das Sicherste ist dabei, sich beim Provider um die Zugangsdaten zu Datenbank zu kümmern und dann sich direkt mit der Datenbank zu verbinden. Dort sucht man in der Tabelle „wp_users“ nach dem „admin“ und benennt ihn um.
Freilich ist das ein großes Risiko. Aber der Weg funktioniert. Mit Ihrem neuen Benutzernamen können Sie sich dann wieder wie gehabt an WordPress anmelden. Sinnvoll ist auch, wenn Sie ein komplexes Passwort verwenden. Komplex bedeutet, dass man drei der vier folgenden Teile ins Passwort einbaut: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Aber:
- „Wert1“ ist kein komplexes Passwort. Einerseits liegen die Buchstaben auf einer deutschen Tastatur nebeneinander. Und zweitens findet sich das Wort „Wert“ im Duden.
- „@CHtun6“ hingegen, also eine Umschreibung von „Achtung“ ist ein komplexes Passwort. Worin der Unterschied besteht, erklärt sich wahrscheinlich von selbst.
Was man auch unbedingt tun sollte, ist die Aktualität von Plugins, Themes und WordPress-Installation im Auge zu behalten. Es ist wie bei Windows. Man ist besser geschützt, wenn alles aktuell gehalten ist. Die Entwickler haben sich bei Updates schon etwas dabei gedacht.
Man kann auch weiteren Schutz einbauen. So ist es möglich, den Zugriff auf die Verzeichnisstruktur mittels .htaccess Datei zu regeln. Das führt aber in den meisten Fällen zu weit. Von daher habe ich mal einen kleinen Aktionsplan, den Sie einmal bei WordPress durchgehen können:
- Verbinden Sie sich mittels PHPMyAdmin zu Ihrer Datenbank, suchen die Tabelle wp_users und benennen den „admin“ um, falls das noch nicht geschehen ist.
- Melden Sie sich dann mit Ihrem neuen Benutzernamen bei Ihrem WordPress an und prüfen den Bereich „Aktualisierungen“. Dort sollten keine Updates herumliegen. Plugins, WordPress und Themes sollten auf dem neuesten Stand sein.
- Installieren Sie ein Plugin zum Schutz vor Brute-Force-Attacken. Empfehlenswert sind hier z.B. die Plugins „Limit Logon Attempts“ oder „User Locker“.
- Beobachten Sie – soweit es Ihnen möglich ist – das Verhalten Ihres Blogs. Sollten sich Dinge wie unerklärliche Verzögerungen oder Fehler beim Aufbau der Verbindung zur Datenbank herausstellen, ist eine Brute-Force-Attacke nicht auszuschließen. Es ist allerdings auch möglich, dass die beteiligten Server (also der für den Webspace und der für die Datenbank) irgendein temporäres Lastproblem haben.
- Nehmen Sie notfalls Kontakt zum Support Ihres Hosters auf. Das macht aber nur Sinn, wenn Sie genügend Anhaltspunkte haben, dass etwas technisch nicht stimmt.
Es hilft Ihnen wenig, wenn Sie sagen: Ja ja, das betrifft mich schon nicht. Doch, jeden Betreiber eines Content Management Systems wie WordPress oder Joomla kann eine solche Attacke betreffen. Und da ist es doch besser, wenn man vorgesorgt hat.
Und immer daran denken, nutzen Sie geeignete Backup-Strategien. Bewährt hat sich bei mir das Plugin „WordPress Backup To Dropbox“. Das hat mir z.B. bei einem Komplettcrash vor einer Weile gute Dienste erwiesen.
Wenn Sie Ihren Blog weitgehend abgesichert haben, können Sie eigentlich nur abwarten, was passiert. Ich hoffe, die Provider bekommen das Problem schnell in den Griff.
One Reply to “Verstärkte Angriffe auf WordPress-Blogs in Deutschland”