Seit einigen Tagen läuft eine Welle von Brute Force Angriffen auf WordPress Blogs. Es wird der Versuch unternommen, durch automatisch generierte Usernames und Passwörter Zugang zum Admin-Bereich zu bekommen. Das Ziel ist unklar, aber sicher ist nichts Gutes beabsichtigt.
Die Angriffe laufen auch gegen dreiminutenei.de. Zurzeit kann ich sie mit meinen Sicherheitsmaßnahmen noch abwehren, ohne dass legitime Nutzer ausgesperrt oder behindert werden.
Wenn Du einen Blog unter WordPress betreibst, kannst Du Dich relativ einfach schützen:
Die einfachste Maßnahme
Zunächst mal: Wer immer noch »Admin« oder »Ich« oder so etwas als Username verwendet, sollte das schleunigst ändern. »Hase123« ist auch nicht gut. Das gleiche gilt für Passwörter wie »password« oder das ebenso beliebte wie unsichere »qwertz«. Tipps zu sicheren Passwörtern gibt’s überall im Web.
Weitere technische Maßnahmen
Tipps zum Absichern Eurer WordPress-Blogs gibt’s zum Beispiel von dem in WordPress-Kreisen gut bekannten Sergej Müller in zwei Artikeln:
- »Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs« gibt allgemeine Tipps zur sicheren Einrichtung eines neuen Blogs, die zum Teil auch nachträglich noch umgesetzt werden können, wenn der Blog schon live ist
- In »Initiative: Mehr Sicherheit für WordPress durch den “Admin”-Schutz« beschreibt er, wie man ein zusätzliches Passwort einbaut, bevor man überhaupt auf die Login-Seite gelassen wird.
Empfehlenswerte Plugins
Wer die paar Programmzeilen nicht selbst schreiben möchte, sollte ein oder mehrere Security-Plugins installieren (unbedingt über die Admin-Oberfläche suchen und installieren!), zum Beispiel
- »Limit Login Attempts«. Das sorgt dafür, dass Bösewichte vom Login ausgesperrt werden, wenn ein falsches Passwort eingegeben wird, und ist in wenigen Minuten installiert.
Andere, wie zum Beispiel
- »Better WP Security«,
- »WordFence« oder
- »Bullet Proof Security«
sind umfangreicher, aber auch etwas aufwändiger zu konfigurieren. Doch das ist gut investierte Zeit.