Dieser Beitrag wurde bereits am 07. 07. 2013 veröffentlicht. Das ist eine ganze Weile her. Der Inhalt ist daher möglicherweise nicht mehr auf dem neuesten Stand.


wordpress-logoBereits im April starteten Hacker einen weltweiten Angriff auf WordPress-Blogs. Einige Online-Magazine aus der WordPress-Szene berichten von mehreren 10.000 Blogs, die bereits gekapert worden sein sollen. Hier erfahren Sie, welche einfachen Schutzmaßnahmen Sie bereits mit Bordmitteln von WordPress ergreifen können, um es den Angreifern nicht allzu leicht zu machen.

Kürzlich hat es auch einen Blog eines meiner Projektpartner erwischt.  An einem Wochenende konnten Hacker nach mehreren tausend Anmeldeversuchen den Blog übernehmen und ihn in ein Bot-Netzwerk integrieren. Dann verteilten sie SPAM-Mails über den Blog. Der Blogbetreiber bemerkte dies nur, weil er montags in seinem Mailpostfach viele unerklärbare Benachrichtungen über unzustellbare Mails fand, die unter seinem Namen versendet wurden aber nicht zustellbar waren. Es wurden zehntausende SPAM-Mails versendet. So wurde sein Blog zur Spamschleuder.

Wie kann man sich schützen?

Einen 100%-igen Schutz kann es nicht geben. Hacker werden immer einen Weg finden, Ihre Ziele zu erreichen. In diesem Beitrag werde ich nur am Rande auf die zahlreichen Sicherheits-Plugins für WordPress eingehen. Sie erfordern meist fundierte Kenntnisse und können, bei unsachgemäßen Einstellungen, den Blogbetrieber selbst aus seinem eigenen Blog aussperren. Einige dieser Plugins stelle ich Ihnen in einem der nächsten Beiträge vor.

Die Frage lautet also:

Was kann man als Blogbetreiber tun, um es potenziellen Angreifern schwerer zu machen zum Ziel zu kommen?

Meist richten sich Angriffe wahllos gegen Blogs. Erfolgreich sind die Angreifer bei Blogs mit älteren Versionen von WordPress oder einzelner Plugins. Sie können hier gezielt die meist schon bekannten Sicherheitslücken dieser alten Versionen nutzen, um sich Zugang zu verschaffen. Dabei haben Sie es meist auf das Administrator-Konto des Blogs abgesehen.

Tipp 1: Installieren Sie Aktualisierungen. 

Aus der Kenntnis des o. a. Sachverhalts ergeben sich bereits zwei einfache Lösungsansätze, die jeder Blogger (mit einem selbst gehosteten WordPress-Blog) mit Bordmitteln selbst angehen kann:

  1. Verwenden Sie stets die aktuellste Version von WordPress.
    Im Allgemeinen wird WordPress als recht sicheres System betrachtet. Dennoch tauchen immer wieder Sicherheitslücken auf, die erst mit einer Aktualisierung wieder geschlossen werden können. Genau dies machen sich die Angreifer zu Nutzen.
  2. Verwenden Sie stets die aktuellste Version Ihrer Plugins.
    Auch die installierten Plugins sollten Sie regelmäßig aus den unter Punkt 1. genannten Gründen aktualisieren. Löschen Sie auch Plugins, die sie nicht mehr benötigen. Verwenden Sie nur Plugins aus sicheren Quellen. Googlen Sie Ihr Wunschplugin doch einfach mal. Oft erhält man dabei Hinweise anderer User, die eine Verwendung empfehlen oder Warnhinweise geben.

Tipp 2: Verwenden Sie nicht das Standardkonto „admin“.

Hauptziel vieler Angriffsarten ist das Adminkonto des Blogs. Jeder, einschließlich des Hackers, weiß, dass das Adminkonto von WordPress mit dem Benutzernamen „admin“ bei der Installation eingerichtet wird.  Vermutlich verwenden die meisten Blogger dieses Adminkonto weiter und ahnen nicht, dass sie genau damit dem Angreifer helfen Zeit beim Hacken ihres Blogs zu sparen. Jetzt braucht dieser nämlich nur nach dem passenden Kennwort zu suchen. So werden Unwissen oder Bequemlichkeit schnell zu einer ungewollten Einladung für Angreifer.

Der Angriff selbst erfolgt übrigens recht einfach: Der Angreifer versucht zuerst, sich mit dem Benutzernamen „admin“ einzuloggen. Jetzt braucht er noch dass Passwort. Um dies herauszufinden, wird jetzt einfach eine Liste mit tausenden Einträgen in kurzer Zeit abgearbeitet. Diese massiv erhöhte Zahl von Login-Versuchen nennt man „Brute Force Attack“. Dabei können übrigens eine große Menge bereits infizierter PCs oder Webseiten zum Einsatz kommen. Im Grunde geht der Angreifer so vor, als ob er einfach ein Wörterbuch von A-Z abarbeitet – entweder bis er fündig  oder aber von einem Sicherheitstool rausgeworfen wird.

So ändern Sie das Adminkonto:

  1. Legen Sie ein neues Benutzerkonto mit Adminisitrationsrechten an.
  2. Löschen Sie danach das bisherige Adminkonto.

Bei einigen Angriffen auf Kundenblogs konnte ich feststellen, dass die Angreifer nicht nur nach dem Benutzernamen „admin“ suchen, sondern auch nach anderen üblichen Namen, die gerne verwendet werden. Hier eine Liste aus einem der letzen Angriffe:

  • adm
  • admin
  • Administrator
  • Webmaster

Übrigens, auch der Domain-Name Ihres Blogs ist keine gute Wahl. Dieser lässt sich problemlos auslesen und einsetzen. Die folgenden Bilder zeigen die Vorgehensweise des Angreifers deutlich. Ich verwende in einigen Kundenblogs das Plugin WordFence u. a. um Angreifer, die sich mehrfach falsch anmelden oder Benutzernamen verwenden, die im Blog gar nicht vergeben sind, sofort „auszusperren“. Bei jedem fehlerhaften Login erhalten meine Kunden eine Benachrichtigung per Mail und können so erkennen, ob ein Angriff stattfindet, so dass sie ggfls. handeln können.  Das Plugin stelle ich in einem meiner nächsten Beiträge genauer vor.

angriff-auf-wordpress-blog-1

 

angriff-auf-wordpress-blogs-2

 

Dieser Angriff produzierte 1.033 Benachrichtigungen. Gut zu erkennen ist, dass der Angreifer die IP-Adresse gewechselt hat und verschiedene Benutzernamen verwendet, um seine Passwortliste abzuarbeiten. Es ist nur eine Frage der Zeit, bis er die passende Kombination gefunden hat.

Tipp3: Verwenden Sie nur sichere Passworte

Sie glauben sicher nicht, welche Passworte ich schon sehen durfte, weil meine Kunden sie verwendet haben. Darunter auch die Klassiker „Schatzi“, „Bello“, Geburtsdaten, Telefonnummern, KFZ-Kennzeichen oder (besonders häufig:) „Maxi“. Sie können sicher sein, dass ein Angreifer, der deutsche Blogs angreift, diese auch alle in seiner Liste hat.

Ein sicheres Passwort lautet sicher anders.

Beispiel: muDcLHbAk3Ms

Ich möchte diesen Punkt in diesem Beitrag nicht weiter vertiefen. Das sollte eigentlich jeder „Webber“ schon wissen. Allerdings ist schon frag- oder denkwürdig, wie sorglos Blogbetreiber bei der Wahl ihrer Passwörter sein können. Wie Sie am Beispiel oben sehen können, ist es nur eine Frage der Zeit bis der Angreifer die Kombination aus Standardkonto und unsicherem Passwort „geknackt“ hat. Ohne weitere Sicherheitsmaßnahmen ist das nur ein elementarer Schutz – vergleichbar mit einem Fahrradhelm bei einem Motorradunfall bei 100 km/h.

Hintergrundinformationen über sichere Passworte finden Sie auf der Webseite http://www.sicherespasswort.com.

Reichen die Bordmittel aus?

Die oben beschriebenen Tipps kann jeder Blogger anwenden. Damit legen Sie die Hürde für einen Angreifer schon mal ein Stückchen höher. Sie reichen aber nicht aus, um Ihren Blog dauerhaft vor Hackern zu schützen. Dazu kommt man um das eine oder andere Sicherheitsplugin ganz sicher nicht herum. Einige stelle ich Ihnen in einem meiner nächsten Beiträge vor.

Regelmäßige Updates, die Kombination aus einem neuem Administratorkonto mit einem sicherem Passwort können aber helfen, sich Wörterbuchangriffen länger zur Wehr zu setzen.  Allerdings sind sie nur dann wirklich sinnvoll, wenn man gleichzeitig dafür sorgt, dass der Angreifer automatisch gesperrt wird, sobald er zu viele Fehlversuche hatte. Genau da setzen zahlreiche Sicherheitsplugins an.

Last but not Least noch ein weiterer Tipp: Seien Sie besonders wachsam beim Einsatz kostenloser Themes für WordPress. Nur zu oft finden Angreifer genau hier eine Lücke. Verwenden Sie nur Themes von vertrauenswürdigen Quellen.

Fragen?

Ein besserer und vor allem noch sicherer Schutz vor Angriffen muss nicht teuer sein. Gerne unterstütze ich Sie zu attraktiven Konditionen bei der Auswahl und Installation geeigneter Sicherheitsplugins für Ihren WordPress-Blog.


Fragen?

Wenn Sie Fragen an das Team von ideendetektiv.de richten möchten, senden Sie uns gerne Ihre Anfrage über unser Kontaktformular oder rufen Sie uns unter 02461 3418731 an.
Hackerangriffe auf WordPress Blogs seit April 2013. Was Sie jetzt in Ihrem Blog ändern müssen!
Markiert in: