In eigener Sache: Brute Force Angriffe auf WordPress-Blogs

Seit einigen Tagen läuft eine Welle von Brute Force Angriffen auf WordPress Blogs. Es wird der Versuch unternommen, durch automatisch generierte Usernames und Passwörter Zugang zum Admin-Bereich zu bekommen. Das Ziel ist unklar, aber sicher ist nichts Gutes beabsichtigt.

Die Angriffe laufen auch gegen dreiminutenei.de. Zurzeit kann ich sie mit meinen Sicherheitsmaßnahmen noch abwehren, ohne dass legitime Nutzer ausgesperrt oder behindert werden.

Wenn Du einen Blog unter WordPress betreibst, kannst Du Dich relativ einfach schützen:

Die einfachste Maßnahme

Zunächst mal: Wer immer noch »Admin« oder »Ich« oder so etwas als Username verwendet, sollte das schleunigst ändern. »Hase123« ist auch nicht gut. Das gleiche gilt für Passwörter wie »password« oder das ebenso beliebte wie unsichere »qwertz«. Tipps zu sicheren Passwörtern gibt’s überall im Web.

Weitere technische Maßnahmen

Tipps zum Absichern Eurer WordPress-Blogs gibt’s zum Beispiel von dem in WordPress-Kreisen gut bekannten Sergej Müller in zwei Artikeln:

Empfehlenswerte Plugins

Wer die paar Programmzeilen nicht selbst schreiben möchte, sollte ein oder mehrere Security-Plugins installieren (unbedingt über die Admin-Oberfläche suchen und installieren!), zum Beispiel

  • »Limit Login Attempts«. Das sorgt dafür, dass Bösewichte vom Login ausgesperrt werden, wenn ein falsches Passwort eingegeben wird, und ist in wenigen Minuten installiert.

Andere, wie zum Beispiel

  • »Better WP Security«,
  • »WordFence« oder
  • »Bullet Proof Security«

sind umfangreicher, aber auch etwas aufwändiger zu konfigurieren. Doch das ist gut investierte Zeit.

Schreibe einen Kommentar