WordPress ist an und für sich sehr sicher. Doch dadurch, dass es das weltweit meistgenutzte CMS ist, werden WordPress Websites immer wieder zum Ziel sogenannter Brute Force Attacken. In diesem Blogartikel erkläre ich dir, was es mit dieser Art des Hacker-Angriffs auf sich hat und wie du deine WordPress Website bestmöglich absicherst.
Inhaltsverzeichnis
Was ist eine Brute Force Attacke?
Eine Brute-Force-Attacke ist ein beliebter Angriff, um Passwörter zu entschlüsseln. In der Hoffnung, die richtige Kombination von Nutzername und Passwort zu erwischen, werden flutartig Buchstabenfolgen bzw. Zeichenketten automatisiert getestet. Je nachdem, wie viele unterschiedliche Kombinationen von den Brute-Force-Bots probiert werden, birgt diese Methode das Risiko, dass sich jemand Zugriff auf das Backend deiner WordPress Installation verschafft.
Laut heise.de soll es weltweit pro Stunde 14 Millionen dieser Attacken auf WordPress Websites geben. 😧
Was kann passieren, wenn jemand deine WordPress Website hackt?
Gelingt es Angreifenden, sich den Zugang zu deiner WordPress Website zu verschaffen, können sie z.B. …
- Spam E-Mails verschicken
- Deine Website für weitere Angriffe missbrauchen
- Sensible Daten stehlen
- (Illegale) Inhalte bei dir hosten
- Deinen Traffic umleiten
Die meisten Brute Force Attacken gehen nicht gerade ausgeklügelt vor. Brute Force bedeutet übersetzt „Rohe Gewalt“. Und genau so wird vorgegangen – in der Hoffnung, irgendwann Erfolg zu haben. In der Praxis sind fast nur unvorsichtige Website-Besitzer*innen Opfer erfolgreicher Brute-Force-Attacken, da sich WordPress durch ein paar einfache Schritte absichern lässt.
Wie das funktioniert, schauen wir uns jetzt an.
WordPress gegen Brute Force Attacken absichern
1. Verwende ein komplexes Passwort
Da eine Brute Force Attacke nur erfolgreich ist, wenn dein Passwort „geknackt“ wird, sollte hier dein Hauptaugenmerk liegen.
Nutze keine Passwörter, die…
- deinen Vornamen, Nachnamen, Firmennamen, Namen deiner Kinder oder sonstige Namen / Begriffe beinhalten, die mit dir in Verbindung gebracht werden können.
- Worte beinhalten, die in einem Wörterbuch zu finden sind (egal welche Sprache)
- kurz sind
- NUR Zahlen oder NUR Buchstaben enthalten
- du bereits für einen anderen Zweck verwendest
Dir fällt kein passendes Passwort ein? Nutze diesen Passwortgenerator und speichere dein neues Passwort hinterher in einem Passwort Manager:
https://www.passwort-generator.com
Dieser Punkt ist übrigens der wichtigste von allen hier aufgeführten. Es erstaunt mich immer wieder, mit welchem Leichtsinn Passwörter ausgewählt werden. Dabei ist es extrem wichtig und auch überhaupt nicht schwer, ein gutes Passwort auszuwählen.
2. Nutze einen komplexen Benutzernamen (nicht „Admin“!)
Bei vielen Standard-WordPress-Installationen wird zu Beginn ein Admininstratorenzugang mit dem Benutzernamen „Admin“ angelegt. Dieser Benutzername gehört zu den unsichersten, die man verwenden kann.
Sollte dein Benutzername also „Admin“ lauten, empfehle ich dir Folgendes:
Erstelle im WordPress Backend einen neuen Admin mit einem komplexeren Namen. Übertrage alle Beiträge, die du über den alten Adminstratorenaccount veröffentlicht hast auf den neuen Administratorenzugang und lösche den alten Account oder entziehe ihm die Admin-Rechte.
3. Ändere den öffentlichen Benutzernamen ab
Der komplexeste Benutzername bringt dir nichts, wenn er unter jedem deiner Beiträge erscheint. Gehe also in dein WordPress Backend und rufe deinen Account auf. Dort stellst du den „Öffentlichen Namen“ so ein, dass er nicht dem Benutzernamen bzw. Login-Namen gleicht.
4. Installiere ein Brute-Force-Blocker Plugin
Auf dem Plugin-Markt gibt es verschiedenste Security Plugins, die deine Website so gut es geht vor Brute Force Attacken schützen.
Das Plugin „Loginizer“ sperrt IP-Adressen von Angreifern, sobald sie eine bestimmte Anzahl an Login-Versuchen erreicht haben.
5. Nutze eine Two Factor Authentication
Ein weiteres Plugin, das dir hilft, dich vor ungewollten Login-Versuchen zu schützen, ist die Two Factor Authentication. Hierbei muss nach jeder korrekten Eingabe von Benutzername und Passwort eine zweite Prüfung bestanden werden. Es wird dann beispielsweise eine E-Mail mit einem Code an die E-Mail Adresse des Accounts gesendet. Erst wenn dieser Code eingegeben wird, gelangst du in das WordPress Backend.
Folgendes kostenfreie Plugin kannst du beispielsweise benutzen:
Wenn du diese Schritte befolgst, solltest du bei zukünftigen Brute-Force Attacken auf der sicheren Seite sein.
An dieser Stelle möchte ich aber noch einmal betonen, dass die Wahl des Passworts der mit Abstand wichtigste Faktor beim Schutz gegen Brute-Force-Attacken ist. Sollte dein Passwort ein wenig wacklig sein, empfehle ich dir, es noch heute zu ändern. Denn der nächste Brute-Force-Angriff kommt bestimmt. Und wie so oft ist auch beim Thema WordPress Sicherheit Vorsorge besser als Nachsorge!
