In eigener Sache: Brute Force Angriffe auf WordPress-Blogs

Seit eini­gen Tagen läuft eine Wel­le von Bru­te For­ce Angrif­fen auf Wor­d­Press Blogs. Es wird der Ver­such unter­nom­men, durch auto­ma­tisch gene­rier­te User­na­mes und Pass­wör­ter Zugang zum Admin-Bereich zu bekom­men. Das Ziel ist unklar, aber sicher ist nichts Gutes beabsichtigt.

Die Angrif­fe lau­fen auch gegen dreiminutenei.de. Zur­zeit kann ich sie mit mei­nen Sicher­heits­maß­nah­men noch abweh­ren, ohne dass legi­ti­me Nut­zer aus­ge­sperrt oder behin­dert werden.

Wenn Du einen Blog unter Wor­d­Press betreibst, kannst Du Dich rela­tiv ein­fach schützen:

Die einfachste Maßnahme

Zunächst mal: Wer immer noch »Admin« oder »Ich« oder so etwas als User­na­me ver­wen­det, soll­te das schleu­nigst ändern. »Hase123« ist auch nicht gut. Das glei­che gilt für Pass­wör­ter wie »pass­word« oder das eben­so belieb­te wie unsi­che­re »qwertz«. Tipps zu siche­ren Pass­wör­tern gibt’s über­all im Web.

Weitere technische Maßnahmen

Tipps zum Absi­chern Eurer Wor­d­Press-Blogs gibt’s zum Bei­spiel von dem in Wor­d­Press-Krei­sen gut bekann­ten Ser­gej Mül­ler in zwei Artikeln:

Empfehlenswerte Plugins

Wer die paar Pro­gramm­zei­len nicht selbst schrei­ben möch­te, soll­te ein oder meh­re­re Secu­ri­ty-Plugins instal­lie­ren (unbe­dingt über die Admin-Ober­flä­che suchen und instal­lie­ren!), zum Beispiel

  • »Limit Log­in Attempts«. Das sorgt dafür, dass Böse­wich­te vom Log­in aus­ge­sperrt wer­den, wenn ein fal­sches Pass­wort ein­ge­ge­ben wird, und ist in weni­gen Minu­ten installiert.

Ande­re, wie zum Beispiel

  • »Bet­ter WP Security«,
  • »Wor­d­Fence« oder
  • »Bul­let Pro­of Security«

sind umfang­rei­cher, aber auch etwas auf­wän­di­ger zu kon­fi­gu­rie­ren. Doch das ist gut inves­tier­te Zeit.

Schreibe einen Kommentar