Wie Heise Online und Spiegel Online bereits berichteten,
sind Wordpress- und Joomla-Installationen derzeit einer Brute-Force-Attacke
ausgesetzt. Demnach wird derzeit wohl über ein Botnet versucht, über
wiederholte Loginversuche (mit wechselnden Passwörtern nach der
Wörterbuch-Methode) auf den Admin-Account Zugriff auf die
Wordpress-Installationen zu erlangen. Nach erfolgreicher Attacke werde eine Backdoor
installiert, über welche das System in ein Botnet eingebunden würde.
Diese Mitteilung kann ich nur bestätigen: Meine Blogseiten
registrierten heute Nacht mehrere vergebliche Login-Versuche über den User „admin“
– alle ausgehend von derselben IP-Adresse.
Was kann man dagegen tun? Eigentlich ist es recht einfach:
- Sicheres Passwort wählen
Man kann es eigentlich nicht oft genug erwähnen: Ein sicheres Passwort ist die halbe Miete. Mindestens 8 Zeichen mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Warum nicht einen ganzen Satz nehmen oder zumindest die Anfangsbuchstaben eines Satzes (Bsp: MNiHMuib25Ja. für „Mein Name ist Hans Maier und ich bin 25 Jahre alt.“) – der Begriff ist leicht zu merken, findet man aber in keinem einer Brute-Force-Attacke zugrundeliegendem Wörterbuch und ist auch durch reines Ausprobieren nur sehr schwer zu ermitteln. - Standards ändern
Den Standard-Admin (User: admin) löschen und einen anderen Admin-User eintragen. In der Regel – wie auch in dem von mir geschilderten Fall – wird ein Login über den Standard-Admin-User versucht. Über mache Wordpress-Plugins können auch die URL der Standardanmeldeseiten von Wordpress geändert werden – auch das macht es einem Angreifer schwieriger. - Sperren einbauen
Über Wordpress-Plugins wie z.B. „Limit Login Attemps“ die Anzahl der zulässigen Login-Versuche begrenzen. Nach einer festgelegten Anzahl von fehlgeschlagenen Logins werden Login-Versuche ausgehend von derselben IP-Adresse automatisch für eine gewisse Zeit geblockt. Diese Maßnahme verringert die Anzahl der durchzuführenden Angriffe (zumindest von derselben IP-Adresse) deutlich.