In eigener Sache: Brute Force Angriffe auf WordPress-Blogs

Seit eini­gen Tagen läuft eine Welle von Brute Force Angrif­f­en auf Word­Press Blogs. Es wird der Ver­such unter­nom­men, durch automa­tisch gener­ierte User­names und Pass­wörter Zugang zum Admin-Bere­ich zu bekom­men. Das Ziel ist unklar, aber sich­er ist nichts Gutes beab­sichtigt.

Die Angriffe laufen auch gegen dreiminutenei.de. Zurzeit kann ich sie mit meinen Sicher­heits­maß­nah­men noch abwehren, ohne dass legit­ime Nutzer aus­ges­per­rt oder behin­dert wer­den.

Wenn Du einen Blog unter Word­Press betreib­st, kannst Du Dich rel­a­tiv ein­fach schützen:

Die einfachste Maßnahme

Zunächst mal: Wer immer noch »Admin« oder »Ich« oder so etwas als User­name ver­wen­det, sollte das schle­u­nigst ändern. »Hase123« ist auch nicht gut. Das gle­iche gilt für Pass­wörter wie »pass­word« oder das eben­so beliebte wie unsichere »qwertz«. Tipps zu sicheren Pass­wörtern gibt’s über­all im Web.

Weitere technische Maßnahmen

Tipps zum Absich­ern Eur­er Word­Press-Blogs gibt’s zum Beispiel von dem in Word­Press-Kreisen gut bekan­nten Sergej Müller in zwei Artikeln:

Empfehlenswerte Plugins

Wer die paar Pro­gram­mzeilen nicht selb­st schreiben möchte, sollte ein oder mehrere Secu­ri­ty-Plu­g­ins instal­lieren (unbe­d­ingt über die Admin-Ober­fläche suchen und instal­lieren!), zum Beispiel

  • »Lim­it Login Attempts«. Das sorgt dafür, dass Bösewichte vom Login aus­ges­per­rt wer­den, wenn ein falsches Pass­wort eingegeben wird, und ist in weni­gen Minuten instal­liert.

Andere, wie zum Beispiel

  • »Bet­ter WP Secu­ri­ty«,
  • »Word­Fence« oder
  • »Bul­let Proof Secu­ri­ty«

sind umfan­gre­ich­er, aber auch etwas aufwändi­ger zu kon­fig­uri­eren. Doch das ist gut investierte Zeit.

Schreibe einen Kommentar