Brute-Force-Angriffe auf WordPress-Installationen

11. April 2013 | Aktuelles, Blog, Featured, Webdesign | Geschrieben von: | 5 Kommentare

Mal eine kurze Zwischenmeldung, die ich nicht für unwichtig halte.

In letzter Zeit kommt es nämlich vermehrt zu „Brute-Force„-Angriffen auf WordPress-Installationen, wobei testweise eine Reihe an Passwörtern und Benutzernamen ausprobiert werden, wie etwa den Namen „admin“ und das Passwort „root“.

Mit ein wenig Glück und ein paar Anläufen hat der Angreifer dann Zugriff auf euren Blog oder eurer Webseite. Nutzt ihr dasselbe Passwort noch woanders, eventuell dann auch dort.

Wieso, weshalb, warum weiß letztendlich niemand so genau, jedoch sollte man darauf ein Auge haben. Plötzlich könnte eure Webseite nämlich wem anders gehören…

Gegen dieses potentielle Problem kann man relativ leicht vorgehen, indem man eine Beschränkung an Login-Versuchen bei WordPress einbaut. Das geht entweder per PHP oder aber einfacher mithilfe des Plugins „Limit Login Attempts„. Schlägt eine bestimmte Anzahl an Logins fehl, weil zum Beispiel das Passwort nicht stimmt, dann wird die entsprechende IP desjenigen für eine festgelegte Zeit gesperrt. Somit schauen BruteForce-Angreifer total in die Röhre.

Auf dieses Problem hat mich Alex aufmerksam gemacht, dem ich an der Stelle hierfür danken mag!

Geschrieben von

Crave hat bereits 171 Artikel auf Blogkollektiv geschrieben.

  1. Phasenkasper | am 11. April 2013 um 12:38 Uhr:

    Gut, dass ich das Plugin schon länger installiert habe. Habe eben mal wieder reingeschaut und es hat sich schon eine lange Liste an Sperrungen angesammelt.

    • Crave | am 11. April 2013 um 12:39 Uhr:

      Hab es erst seit kurzem installiert. Habe beinahe direkt eine Rückmeldung auf Sperrung einer IP bekommen.

  2. Ramses Revengeday | am 11. April 2013 um 22:55 Uhr:

    Man kann es auch ganz böse machen und einfach /wp-admin und die Login-Datei umbenennen ;)
    Muss halt nur noch angepasst werden in der Config o/

    • Crave | am 12. April 2013 um 08:48 Uhr:

      Das ginge natürlich auch. Ist ja jedem freigestellt. Habe nur Vorschläge gemacht! ;)

  3. Sumi | am 31. Mai 2013 um 20:37 Uhr:

    Danke für das Plugin. Ich hab zwar schon doppelten Passwortschutz, aber sicher ist sicher :D Mein Blog ist mir schließlich heilig.

Hinterlasse ein Kommentar!

Deine E-Mail Adresse wird nicht veröffentlicht! Pflichtfelder sind mit einem * markiert.


Erlaubte Benutzung von HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>