Bei Brute Force Attacken wird mit unterschiedlichen Anmeldedaten versucht den Benutzernamen bzw. das Passwort ausfindig zu machen. Bei Webseiten die auf WordPress basieren wird daher meist der Standard-Benutzername admin und eine Liste der am häufigsten verwendeten Passwörter abgearbeitet. Da das meistens von einem Programm ausgeführt wird, kann es zu mehreren Anmeldeversuchen pro Sekunde kommen.
Das Passwörter wie password, 123456 oder ähnliche sehr schnell ausfindig gemacht werden können, dürfte den meisten Lesern wahrscheinlich klar sein.
Aber was kann man dagegen machen?
Neben dem Löschen bzw. Umbenennen des Standard-Users admin sollten Sie auch noch auf ein Passwort setzen, das sowohl klein und groß geschriebene Buchstaben sowie Zahlen und im Idealfall sogar Sonderzeichen enthält. Das Passwort sollte zudem mehr als 8 Zeichen beinhalten. Je mehr, desto besser!
Ob Ihr Passwort wirklich sicher ist, können Sie hier überprüfen: howsecureismypassword.net.
Sonstige Maßnahmen
Wer den obigen Anweisungen gefolgt und dennoch um die Sicherheit seines Blogs besorgt ist, kann mit dem WordPress-Plugin Limit Login Attempts die Anzahl der Anmeldeversuche pro IP-Adresse beschränken.
Limit Login Attempts
Nach der Installation des Plugins finden Sie die Konfiguration unter Einstellungen -> Limit Login Attempts.
Die Standard-Einstellungen sorgen dafür, dass nach vier ungültigen Anmeldeversuchen die IP-Adresse der Person, die sich einloggen wollte, für 20 Minuten gesperrt wird.
Nach den 20 Minuten dürfen abermals vier Anmeldeversuche gestartet werden.
Dieser Vorgang wiederholt sich bis zur vierten Sperrung. Nach dieser ist erstmals für 24 Stunden Schluss.
Die Einstellung Stunden bis fehlgeschlagene Anmeldeversuche wieder zurückgesetzt werden ist mir jedoch nicht ganz klar, da die oberen Einstellungen eigentlich schon Alles regeln. Falls jemand weiß was diese zu bedeuten hat, bitte in den Kommentaren mitteilen.
Die restlichen Einstellungen finde ich eigentlich okay bis auf die Tatsache, dass ich über einen versuchten Angriff nicht einmal informiert werde.
Daher, und da mir die Standardeinstellungen ein bisschen zu tolerant sind, habe ich meine Einstellungen ein bisschen verschärft.
Mit diesen Einstellungen hat der Benutzer nur drei Versuche das richtige Passwort bzw. den richtigen User zu erraten.
Danach muss er erst einmal 30 Minuten warten bis ein erneuter Anmeldeversuch von derselben IP-Adresse durchgeführt werden kann. Bereits jetzt werde ich über die drei fehlgeschlagenen Anmeldeversuche per E-Mail informiert.
War die Anmeldung danach wieder drei Mal ungültig, wird die IP-Adresse für 72 Stunden gesperrt.
Wie kann man die Sperrung umgehen?
Durch einen VPN oder das Tor-Netzwerk kann man einfach seine IP-Adresse ändern bzw. verschleiern. Da das WordPress-Plugin Limit Login Attempts die Anmeldeversuche einer IP-Adresse sperren, kann man mit mehreren Proxys erneut Anmeldeversuche starten.
Sollten Sie sich selbst ausgeschlossen haben, können Sie entweder durch das Tor-Netzwerk mehrere Anmeldeversuche erlangen oder einfach via FTP den Ordner limit-login-attempts
aus dem Plugin-Verzeichnis Ihrer WordPress-Installation löschen.
Vielen Dank für den Artikel (auch wenn er schon etwas älter ist). Er hat mich veranlasst, meine eigenen Einstellungen zu überprüfen. Selbstverständlich habe ich die zulässigen Fehlanmeldungen verschärft.
Dabei ist mir etwas merkwürdiges passiert. Obwohl ich eingeloggt war, habe ich die Meldung erhalten, dass ich mich falsch eingeloggt hätte, und ich deshalb jetzt 24 Stunden warten müsste. Habe jetzt mal alles soweit wieder korrigiert… Und jetzt gehts an die Ursachenforschung. Hoffentlich keine Malware oder ähnliches.
Viele Grüße
Rainer
Dieselbe Meldung habe ich auch einmal erhalten. Dürfte aber keine Malware sondern eher ein Fehler des Plugins sein.
Beste Grüße,
Lukas
Dieselbe Meldung habe ich auch einmal erhalten. Dürfte aber keine Malware sondern eher ein Fehler des Plugins sein.
Beste Grüße,
Lukas
Hallo Lukas,
ich weiß nicht so recht, ob das ein Fehler des Plugin´s ist. Ich habe nämlich auf einer Seite das selbe Problem wie Rainer aber auf meinen anderen Seiten nicht, obwohl dort die selbe Version des Plugin´s läuft. Komme jetzt leider nicht weiter. Hat jemand noch das selbe Probleme oder eine Lösung?
Viele Grüße
Marcel
Ich kann nur sagen…, mittlerweile nerven mich die Einbruchsversuche in den Administrationsbereich meiner Seite. Es sind fast ausschließlich Scharlatane, die über ein Tor Netzwerk kommen. Admin ist deren Lieblings-User (Administrator) zum Login. Von Mitte Oktober bis heute (ein Monat) waren es 68 gescheiterte Einbruchsversuche. Dazu kommen noch die kleinen schlitzäugigen Typen aus China (zumindest steht da der Server), die offensichtlich IP Adressen ohne Ende verfügbar haben. Meine Blacklist zählt derzeit 15 gesperrte Adressen. Interessant ist, dass die innerhalb von einigen Minuten 20 bis 30 Logins mit offenbar wechselnden Anmeldedaten und Passwörtern versuchen. Ich hatte in der Vergangenheit das Thema nicht ganz so ernsthaft verfolgt und erst vor ca. vier Monaten diesbezügliche Vorsorge getroffen. Wenn ich denke wie unbedarft ich war, da wird mir heute noch warm und kalt ums Herz. Also unbedingt eine Sperre für unberechtigte Logins schaffen…, sonst…, schaffen es irgendwann die Hacker. Übrigens das vorgestellte Login hatte ich auch getestet. Ich denke es ist empfehlenswert. Ich nutze jedoch zwischenzeitlich das Plugin „WP-Cerber“ und finde es super. Es ist aber egal welches Plugin, Hauptsache ihr tut was gegen solche Angriffe. Gruß Dieter