Ist deine WordPress Website sicher gegen Brute Force Attacken?

WordPress-Brute-Force-Attacke

WordPress ist an und für sich sehr sicher. Doch dadurch, dass es das weltweit meistgenutzte CMS ist, werden WordPress Websites immer wieder zum Ziel sogenannter Brute Force Attacken. In diesem Blogartikel erkläre ich dir, was es mit dieser Art des Hacker-Angriffs auf sich hat und wie du deine WordPress Website bestmöglich absicherst.

Was ist eine Brute Force Attacke?

Eine Brute-Force-Attacke ist ein beliebter Angriff, um Passwörter zu entschlüsseln. In der Hoffnung, die richtige Kombination von Nutzername und Passwort zu erwischen, werden flutartig Buchstabenfolgen bzw. Zeichenketten automatisiert getestet. Je nachdem, wie viele unterschiedliche Kombinationen von den Brute-Force-Bots probiert werden, birgt diese Methode das Risiko, dass sich jemand Zugriff auf das Backend deiner WordPress Installation verschafft.

Laut heise.de soll es weltweit pro Stunde 14 Millionen dieser Attacken auf WordPress Websites geben.

Was kann passieren, wenn jemand meine WordPress Website hackt?

Hat sich ein Hacker Zugang zu deiner WordPress Website verschafft, könnte er z.B. …

  • Spam E-Mails verschicken
  • Deine Website für weitere Angriffe missbrauchen
  • Sensible Daten stehlen
  • (Illegale) Inhalte bei dir hosten
  • Deinen Traffic umleiten

Die meisten Brute Force Attacken gehen nicht gerade ausgeklügelt vor. Brute Force bedeutet übersetzt „Rohe Gewalt“. Und genau so wird vorgegangen – in der Hoffnung, irgendwann Erfolg zu haben. In der Praxis sind fast nur unvorsichtige Website-Besitzer Opfer erfolgreicher Brute-Force-Attacken, da sich WordPress durch ein paar einfache Schritte absichern lässt.

Wie das funktioniert, schauen wir uns jetzt an.

WordPress gegen Brute Force Attacken absichern

1. Verwende ein komplexes Passwort

Da eine Brute Force Attacke nur erfolgreich ist, wenn dein Passwort „geknackt“ wird, sollte hier dein Hauptaugenmerk liegen.

Nutze keine Passwörter, die…

  • deinen Vornamen, Nachnamen, Firmennamen, Namen deiner Kinder oder sonstige Namen / Begriffe beinhalten, die mit dir in Verbindung gebracht werden können.
  • Worte beinhalten, die in einem Wörterbuch zu finden sind (egal welche Sprache)
  • kurz sind
  • NUR Zahlen oder NUR Buchstaben enthalten
  • du bereits für einen anderen Zweck verwendest

Dir fällt kein passendes Passwort ein? Nutze diesen Passwortgenerator und speichere dein neues Passwort hinterher in einem Passwort Manager:
https://www.passwort-generator.com

Dieser Punkt ist übrigens der wichtigste von allen hier aufgeführten. Es erstaunt mich immer wieder, mit welchem Leichtsinn Passwörter ausgewählt werden. Dabei ist es extrem wichtig und auch überhaupt nicht schwer, ein gutes Passwort auszuwählen.

2. Nutze einen komplexen Benutzernamen (nicht „Admin“!)

Bei vielen Standard-WordPress-Installationen wird zu Beginn ein Admininstrator mit dem Benutzernamen „Admin“ angelegt. Dieser Benutzername gehört zu den unsichersten, die man verwenden kann.

Sollte dein Benutzername also „Admin“ lauten, empfehle ich dir Folgendes:
Erstelle im WordPress Backend einen neuen Admin mit einem komplexeren Namen. Übertrage alle Beiträge, die du über den alten Adminstrator veröffentlicht hast auf den neuen Administrator und lösche den alten Account oder entziehe ihm die Admin-Rechte.

3. Ändere den öffentlichen Benutzernamen ab

Der komplexeste Benutzername bringt dir nichts, wenn er unter jedem deiner Beiträge erscheint. Gehe also in dein WordPress Backend und rufe deinen Benutzer auf. Dort stellst du den „Öffentlichen Namen“ so ein, dass er nicht dem Benutzernamen bzw. Login-Namen gleicht.

4. „Verstecke“ deine Login-Page

Die Standard-Loginpage von WordPress wird über /wp-admin aufgerufen. Um deine Website vor Brute Force Attacken zu schützen, solltest du die URL der Loginpage abändern. Das kannst du beispielsweise durch folgendes Plugin erreichen:
WPS Hide Login

5. Installiere ein Brute-Force-Blocker Plugin

Auf dem Plugin-Markt gibt es verschiedenste Security Plugins, die deine Website so gut es geht vor Brute Force Attacken schützen.
Das Plugin „Loginizer“ sperrt IP-Adressen von Angreifern, sobald sie eine bestimmte Anzahl an Login-Versuchen erreicht haben.

6. Nutze eine Two Factor Authentication

Ein weiteres Plugin, das dir hilft, dich vor ungewollten Login-Versuchen zu schützen, ist die Two Factor Authentication. Hierbei muss nach jeder korrekten Eingabe von Benutzername und Passwort eine zweite Prüfung bestanden werden. Es wird dann beispielsweise eine E-Mail mit einem Code an die E-Mail Adresse des Benutzers gesendet. Erst wenn dieser Code eingegeben wird, gelangt der Nutzer in das WordPress Backend.

Folgendes kostenfreie Plugin kannst du beispielsweise benutzen:

WordPress Plugin Two-Factor


Wenn du diese Schritte befolgst, solltest du bei zukünftigen Brute-Force Attacken auf der sicheren Seite sein.
An dieser Stelle möchte ich aber noch einmal betonen, dass die Wahl des Passworts der wichtigste Faktor beim Schutz gegen Brute-Force-Attacken ist. Sollte dein Passwort ein wenig wacklig sein, empfehle ich dir, es noch heute zu ändern. Denn der nächste Brute-Force-Angriff kommt bestimmt. Und wie so oft ist auch beim Thema WordPress Sicherheit Vorsorge besser als Nachsorge.

Schreibe einen Kommentar

Hey, ich bin Annika!

WordPress Freelancer Annika Gievers

Als WordPress Webdesignerin erstelle ich unwiderstehliche Websites für Selbstständige, die online mit ihren genialen Dienstleistungen und Produkten auffallen und überzeugen wollen.

Aktuelle Artikel

Website Tipps für Selbstständige

Du wünschst dir mehr Erfolg mit deiner Website?
Sichere dir spannende Tipps sowie exklusive Angebote, Checklisten und Freebies, die dir helfen, deinen Website-Erfolg zu maximieren!

Der Newsletterversand erfolgt entsprechend meiner Datenschutzerklärung.
Ich schicke dir ca. 2 – 6 E-Mails pro Monat.

Diese Artikel könnten dir auch gefallen:

Menü schließen