Mittwoch, 17. April 2013

Verstärkt Botnet-Angriffe auf Wordpress-Seiten - Was ist zu tun?



Wie Heise Online und Spiegel Online bereits berichteten, sind Wordpress- und Joomla-Installationen derzeit einer Brute-Force-Attacke ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über wiederholte Loginversuche (mit wechselnden Passwörtern nach der Wörterbuch-Methode) auf den Admin-Account Zugriff auf die Wordpress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor installiert, über welche das System in ein Botnet eingebunden würde.

Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“ – alle ausgehend von derselben IP-Adresse.

Was kann man dagegen tun? Eigentlich ist es recht einfach:


  1. Sicheres Passwort wählen
    Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja.  für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln.
  2. Standards ändern
    Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache Wordpress-Plugins können auch die URL der Standardanmeldeseiten von Wordpress geändert werden – auch das macht es einem Angreifer schwieriger.
  3. Sperren einbauen
    Über Wordpress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe