Navigation

AKTUELL: WordPress Sicherheitswarnung

Christian Faller  17. April 2013  Keine Kommentare  2 Minuten zu lesen  Internet und Social Web

Wordpress Hackerattacke

Da wir selbst für diesen Blog WordPress benutzten und sicher auch viele von euch in der ein oder anderen Form damit Kontakt haben, möchten wir heute aus gegebenem Anlass auf die aktuellen Sicherheitswarnungen kurz eingehen.

Laut mehreren Meldungen von gestern u.a. vom Spiegel und einiger unserer Provider, hat eine Gruppe von Hackern sich eine größere Menge Rechner (ein sog. Botnet) gemietet – laut Quelle wohl im fünf-stelligen Bereich – und nutzt die kombinierte Rechenleistung nun für eine globale Brute-Force Welle auf WordPress Seiten.

Wem der Begriff Brute-Force nichts sagt: Wie das Wort schon vemuten lässt, handelt es sich dabei keinesfalls um ein raffiniertes Hackerverfahren, sondern vielmehr um immense Rechenkapazitäten, mit denen ganz plump Milliarden von Password-Nutzername-Kombinationen innerhalb kürzester Zeit durchprobiert werden können. Der Provider CloudFare meldete laut Spiegel beispielsweise über 60 Millionen illegitime Login-Versuche innerhalb einer einzigen Stunde.

Da leider sehr viele User äußerst unkreativ sind und die Kombis „admin“ „admin123“ oder ähnliche verwenden, hat die Attacke bislang erschreckenden Erfolg.

Wie kann man seine WordPress Seite schützen?

Dabei ist eine Verteidigung im Grunde denkbar einfach und wir halten euch an, diese Tipps (wenn nicht schon geschehen) zu befolgen:

Wählt ein sicheres Passwort und einen guten Nutzernamen!

Dabei geht es darum möglichst weit von der Norm abzuweichen, die durch Zufall geknackt werden kann. Habt ihr beispielsweise euren Namen als User und ein Passwort das nicht euren Namen wiederholt und auch keine typische Kombination enthält, dann seid ihr ziemlich sicher nicht in Gefahr.

Wer einen Schritt weiter gehen will kann den oftmals vorhandenen „admin“ Account ganz löschen, so dass auch hier kein Zufallstreffer gelandet werden kann. Schließlich spielen die Hacker quasi Schiffe versenken. Wenn ihr eure Schiffe nicht auf das vorgegebene Spielfeld steckt, haben sie auch kein Chance, diese zu treffen.

Zuletzt können diejenigen, die selbst hosten, das schützende Plugin Limit Login Attempts verwenden, welches die Login-Versuche schlichtweg limitiert. Wenn nach fünf Versuchen Schluss ist, läuft jede Brute-Force-Attacke gegen die Wand und Personen die euch näher stehen und das Passwort daher tatsächlich durch Glück erraten könnten, haben ebenfalls keine Chance, denn sie müssten sofort richtig tippen.

Also: Nicht lange fackeln, Passwort ändern, ruhig schlafen.


Christian Faller

Christian Faller

Christian Faller ist Geschäftsführer bei deepr, einer Stuttgarter Werbeagentur und leitet den Digitalbereich bei Yaez. Wenn er nicht an digitalen Marketingstrategien feilt, verfolgt er sein Lebensziel, jedes Land der Welt zu bereisen. Er hat in Singapur, Frankreich, Amerika und Südafrika gelebt und gearbeitet.