5 Tipps, Deine Worpress-Seite vor einem Brute-Force-Angriff zu schützen

Am 21.12. ging die Schreckensnachricht um, dass es in den vergangenen Tagen einen massive Brute-Force-Angriff auf bis zu 190.000 WordPress-Seiten gab. Seit Montag letzter Woche versuchen Hacker mit 14,1 Millionen Angriffen pro Stunde, sich Zugang zu den Seiten zu verschaffen, um dort ein Schürftool zum sogenannten Kryptomining zu platzieren. Zum Kryptomining, also zum „Schürfen“ von Kryptowährungen wie Bitcoin und Co, werden unglaublich hohe Rechenleistungen benötigt. Um die Kosten hierfür zu umgehen, versuchen die Hacker, fremde Rechner zu missbrauchen.

Wie kannst Du also Deine Seite und somit auch Deinen Rechner vor einem derartigen Angriff schützen? Hierzu ist erst einmal wichtig zu wissen:

Was ist überhaupt ein Brute-Force-Angriff?

Ziel eines derartigen Angriffs ist meist das Entschlüsseln eines Passworts und wie der Name Brute Force (rohe Gewalt) bereits vermuten lässt, gehen die Angreifer hier nicht mit Feingefühl vor.

Normalerweise nutzen Hacker Schwachstellen oder Sicherheitslücken, um sich Zugang zum gewünschten System zu verschaffen. Bei einer Brute-Force-Attacke jedoch werden systematisch alle möglichen Kombinationen von User und Passwort durchprobiert, um das Ziel zu erreichen. Hierzu werden riesige Datenbanken von häufig gebrauchten Passwörtern angelegt oder Zufallsalgorithmen durchgespielt. Je komplexer das Passwort also ist, desto länger dauert der Angriff eines Angriffs und entscheidet am Ende über dessen Erfolg oder Nichterfolg. Um allerdings überhaupt erst die Passwörter durchprobieren zu können, müssen die Angreifer ihre Versuche auch am richtigen Ort (Login-Seite) platzieren können.

So machst Du es Angreifern schwerer, Dein Passwort zu knacken:

Tipp 1: Verwende ein starkes Passwort

Unglaublich, aber leider wahr: Das Passwort 123456 führt auch 2017 wieder die Liste der meistverwendeten Passwörter an. Gerne genommen werden auch der Name des Haustieres, der oder des Liebsten, Geburtsdatum, Hochzeitsdatum oder andere persönliche Daten. Nicht stark, nicht gut – nicht sicher! Hier drei einfache Regeln für ein gutes, sicheres Passwort:

Benutze keine persönlichen Daten, auch wenn sie noch so leicht zu merken sind
Nicht zu kurz – ein gutes Passwort sollte mindestens 8 Stellen (schon fast zu kurz), besser 10 oder sogar mehr Stellen haben
Kombiniere Zahlen und Groß- und Kleinbuchstaben PLUS Sonderzeichen

Ein starkes Passwort könnte also z.B. so aussehen: IbiMg,was7iB!

Das ist jetzt natürlich wirklich ätzend, sich das merken zu müssen. Wenn Du keinen Passwort-Manager wie z.B. LastPass verwendest oder verwenden möchtest, dann denke Dir doch einen Satz aus, den Du Dir gut merken kannst und verwende hieraus z.B. die Anfangsbuchstaben.

Mein oben genanntes Beispiel: Ich bin in München geboren, wohne aber seit 2007 in Berlin! Diesen Satz kannst Du Dir notfalls auch notieren, ohne dass Außenstehende damit groß etwas anfangen können (empfehlen würde ich es Dir dennoch nicht).

Tipp 2: Ändere Deinen Benutzernamen

Ändere den von WordPress standardmäßigen Benutzernamen „admin“ um. Ansonsten hast Du den Hackern bereits 50% ihrer Arbeit abgenommen.

Aber es gibt einen kleinen Umweg und der geht so:

Mache vorab vorsichtshalber ein Backup für den Fall der Fälle. Das solltest Du ohnehin immer tun, wenn Du wesentliche Veränderungen an Deiner Seite machst.
Anschließend legst Du einen neuen Benutzer mit Admin-Rechten an. Hier wählst Du idealerweise einen Benutzernamen aus, der nicht ganz üblich ist. Über die Notwendigkeit, ob der Benutzername einfach nur nicht admin oder Administrator lauten oder auch komplizierter gestaltet sein sollte, gibt es unterschiedliche Meinungen. Unbestritten ist jedoch, dass es keinesfalls admin bleiben sollte.
Nun meldest Du Dich von Deiner Seite ab und gleich wieder mit dem neuen Benutzer an.
Zuletzt löscht Du Deinen alten Benutzernamen. Doch Vorsicht! Achte darauf, dass Du Deine bisherigen Beiträge und Inhalte, die Du in der Vergangenheit unter diesem Namen erstellt hast, an Deinen neuen Benutzernamen überträgst. Hierzu musst Du bei der Löschung das entsprechende Kästchen abhaken, welches beim Löschvorgang seitens WP abgefragt wird. Sonst ist am Ende alles weg und das willst Du nicht.

Tipp 3: Schränke die Login-Versuche ein

Hackern das Leben erschweren kannst Du auch, indem Du Anzahl der Zugriffsversuche eingrenzt. Auch hierfür gibt es diverse Plugins, die diese Arbeit für Dich übernehmen und den Zugang zum Beispiel nach 3 oder 5 Fehlversuchen (zeitweise) sperren.

Tipp 4: Führe eine IP-Blacklist

Viele Hackversuche kommen aus dem asiatischen Raum oder aus Russland. Daher ist es ratsam, IP-Adressen aus diesen Ländern von vorneherein zu blocken (es sei denn, ein Teil Deiner Kunden kommt aus dem Raum). Besucher mit entsprechenden IP-Adresse können Deine Login-Seite dann gar nicht mehr aufrufen, sondern erhalten eine 404-Meldung. Eine Blacklist ist beliebig erweiterbar, so dass Du theoretisch so viele IP-Adressbereiche sperren kannst, wie Du magst. Dies jedoch kann gewisse Probleme mit sich bringen. So solltest Du zum Beispiel aufpassen, Dich nicht selbst auszusperren, was vor allem leicht passieren kann, wenn Du viel auf Reisen bist. Planst Du einen Ortswechsel, solltest Du überprüfen, ob der IP-Adressbereich Deines Aufenthaltsorts am Ziel gesperrt ist und diese Sperre VOR Deiner Abreise aufheben oder größer eingrenzen. Ansonsten bleibt Dir nur der Weg durchs Hintertürchen per FTP, wofür ein wenig mehr Hintergrundwissen vonnöten ist.

Tipp 5: Ändere Deinen Standard-Login-URL

Der Standard-Login bei WordPress ist www.domain.de/wp-login.php. In meinem Fall also www.online-assistentin.net/wp-login.php

Das Wissen darum machen sich die Hacker zunutze, macht es doch deren Versuche um einiges einfacher, sich Zugang zu Deiner Seite zu verschaffen.

Zur Änderung des Login-URL gibt es verschiedene Plugins, mit denen Du den URL-Teil „wp-login“ beliebig ändern kannst. Was Du hierfür wählst, ist ganz Dir überlassen, z.B. „eingang“, „zugang“ oder auch völlig abwegige Begriffe. Völlig egal, nur solltest Du Dir den URL leicht merken können.

Mein Login-URL könnte dann z.B. so aussehen: www.online-assistentin.net/miezekatze.php

Kurzes Fazit & ein kleiner Tipp

Wenn Du diese Tipps beherzigst, bist Du zwar noch immer nicht 100%ig sicher (das ist man quasi nie), aber die Wahrscheinlichkeit, einem Brute-Force-Angriff zum Opfer zu fallen, ist um ein Vielfaches geringer, da der Aufwand für Angreifer zu hoch ist, und sie sich lieber leichteren Zielen zuwenden. Es gibt noch weitere Maßnahmen, die ich Dir bei Gelegenheit in einem weiteren Artikel vorstellen werde.

Welches Plugin solltest Du nehmen?

Abschließend noch ein paar Worte zu den Plugins. Wie bereits geschrieben, gibt es verschiedene Plugins für einzelne Maßnahmen, aber auch welche, die gleichzeitig mehrere der oben genannten Punkte für Dich erledigen.

Welches Plugin Du nutzt, ist Geschmackssache. Achte jedoch bei der Auswahl auf die Bewertungen und, ob es mit Deiner WP-Version kompatibel ist. Weiterhin sollte die letzte Aktualisierung des Plugins nicht länger als 1 Monat zurückliegen. Das kann gerade bei sicherheitsrelevanten Angelegenheiten fatale Folgen haben.

Cookie	Dauer	Beschreibung
_pk_id.b20df032-559e-4fdb-ac17-b0ae07b86c26.4bec	12 Monate	Anonymisierte User-ID zur Unterscheidung der einzelnen Seitenbesucher und Speicherung spezifischer Einstellungen je Besucher. Wird für einen Monat gespeichert.
_pk_ses.b20df032-559e-4fdb-ac17-b0ae07b86c26.4bec	30 Minuten	Session-ID zur eindeutigen Identifizierung einer einzelnen aktiven Browser-Sitzung. Das Cookie wird für 30 Minuten gespeichert, solange die Session aktiv ist.