Über 90.000 WordPress-Blogs attackiert – so schützt du dich

Derzeit werden Meldungen über eine enorme Angriffswelle auf WordPress-Blogs laut. Die Angreifer nutzen eine eher unpopuläre Art, um sich Zugang zu verschaffen. Hierbei versuchen sie sich mit dem Nutzernamen „admin“ einzuloggen, indem das Passwort via brute force aus etwa 1000 möglichen Passwörtern ermittelt wird.

Betroffen sind hierbei dann Accounts, welche Standard-Passwörter verwenden, die leicht zu erraten sind. Aufgefallen war der Angriff vor allem durch überdurchschnittlich hohe Login-Zahlen auf WordPress in der vergangenen Woche.

Die Angreifer nutzen offenbar derzeit für ihren Angriff ein relativ schwaches Botnet aus Heim-PCs. Ein Ziel der Attacke wird es sein, aus den gehackten WordPress-Konten ein weit mächtigeres Botnet aufzubauen, in dem die Server stark miteinander vernetzt sind, miteinander kommunizieren und einen weitreichenderen Internet-Zugriff haben. Die infizierten Systeme wiederum attackieren ihrerseits neue Konten.

Laut CloudFare ähnelt die aktuelle Angriffswelle einem Vorfall im Vorjahr, bei dem US-Banken attackiert wurden.

Es gibt einige Möglichkeiten, seinen eigenen WordPress-Blog vor den Angriffen zu schützen. t3n hat ein paar Tipps für deine Account-Sicherheit zusammengestellt.

So schützt du dein eigenes WordPress

• Vermeide nach Möglichkeit den Nutzernamen „admin“. Da dieser als Dreh- und Angelpunkt des aktuellen Angriffs fungiert, ist dies der Grundstein, um dich zu schützen. Weise hierfür einem neuen oder anderen Konto einfach die Administratoren-Rolle zu und lösche schlichtweg das Admin-Konto. Einzig die E-Mail-Adressen der beiden Accounts müssen sich hierfür unterscheiden.
• Achte darüber hinaus darauf, auf jedem Konto ein sicheres Passwort zu verwenden. Heutzutage weiß wohl jeder, dass 12345 kein Passwort ist, das man ernsthaft benutzen sollte. Doch ein sicheres Passwort besteht tatsächlich aus Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und ist möglichst lang. Wörter und Zahlenfolgen solltest du stattdessen vermeiden.
• Darüber hinaus kannst du für den Admin-Bereich ein eigenes Master-Passwort festlegen und dem Bot so den Zugang zum Login verwehren. Playground erklärt hier, wie das funktioniert.
• Auch durch spezielle Plugins für WordPress kann man sich schützen. „Limit Login Attempt“ lässt, wie der Name schon sagt, nur eine begrenzte Anzahl an Einlog-Versuchen über eine einzelne IP-Adresse zu. Das nimmt Bots, welche eine Liste von möglichen Passwörtern ausprobieren, die Grundlage. Kommen die Angriffe jedoch von verschiedenen IPs, hilft dieses Plugin nicht.