In eigener Sache: Brute Force Angriffe auf WordPress-Blogs

Seit eini­gen Tagen läuft eine Welle von Brute Force Angrif­fen auf Word­Press Blogs. Es wird der Ver­such unter­nom­men, durch auto­ma­tisch gene­rierte User­na­mes und Pass­wör­ter Zugang zum Admin-Bereich zu bekom­men. Das Ziel ist unklar, aber sicher ist nichts Gutes beab­sich­tigt.

Die Angriffe lau­fen auch gegen dreiminutenei.de. Zur­zeit kann ich sie mit mei­nen Sicher­heits­maß­nah­men noch abweh­ren, ohne dass legi­time Nut­zer aus­ge­sperrt oder behin­dert wer­den.

Wenn Du einen Blog unter Word­Press betreibst, kannst Du Dich rela­tiv ein­fach schüt­zen:

Die einfachste Maßnahme

Zunächst mal: Wer immer noch »Admin« oder »Ich« oder so etwas als User­name ver­wen­det, sollte das schleu­nigst ändern. »Hase123« ist auch nicht gut. Das glei­che gilt für Pass­wör­ter wie »pass­word« oder das ebenso beliebte wie unsi­chere »qwertz«. Tipps zu siche­ren Pass­wör­tern gibt’s über­all im Web.

Weitere technische Maßnahmen

Tipps zum Absi­chern Eurer Word­Press-Blogs gibt’s zum Bei­spiel von dem in Word­Press-Krei­sen gut bekann­ten Ser­gej Mül­ler in zwei Arti­keln:

Empfehlenswerte Plugins

Wer die paar Pro­gramm­zei­len nicht selbst schrei­ben möchte, sollte ein oder meh­rere Secu­rity-Plugins instal­lie­ren (unbe­dingt über die Admin-Ober­flä­che suchen und instal­lie­ren!), zum Bei­spiel

  • »Limit Login Attempts«. Das sorgt dafür, dass Böse­wichte vom Login aus­ge­sperrt wer­den, wenn ein fal­sches Pass­wort ein­ge­ge­ben wird, und ist in weni­gen Minu­ten instal­liert.

Andere, wie zum Bei­spiel

  • »Bet­ter WP Secu­rity«,
  • »Wor­d­Fence« oder
  • »Bul­let Proof Secu­rity«

sind umfang­rei­cher, aber auch etwas auf­wän­di­ger zu kon­fi­gu­rie­ren. Doch das ist gut inves­tierte Zeit.

Schreibe einen Kommentar