Mit CMS (Content Management Systemen) werden Softwarepakete angeboten, die mit wenig technichem Hintergrund das Erstellen und Betreiben einer Webseite erlauben. Die Flexibilität und einfache Handhabung macht es aber Hackern auch einfacher in das System einzudringen. Beim Betrachten der steigenden Zugriffszahlen wird mitunter deutlich, dass nicht die Anzahl der interessierten Besucher explodiert, sonder die Seite Hacker Angriffen ausgelieferte ist. Anpassungen in der .htaccess Datei oder Plugins können zwar keine absolute Sicherheit geben, aber abhelfen. Am Beispiel des Fotoprojektes Fotomobil.at wird mit dem WordPress Plugin WP Cerber die Brute Force Methode adressiert.
Nach 4 Jahren Projektlaufzeit wurde im Jahr 2008 das Fotoprojekt Fotomobil.at von statischen HTML Seiten auf WordPress umgestellt und mit der Entwicklung des WP OpenStreetMap Plugin begonnen. Tipps, um die Seite vor ungewünschten Eindringlingen zu schützen, waren vorallem das Verwenden von sicheren Passwörtern und möglichst den admin User, der auch Administrator am System ist, zu löschen und durch einen neuen zu ersetzen. Plugins, die sich mit der Sicherheit auseinandersetzen, gab es kaum.
Heute, sieben Jahre später, gibt es vermutlich keine bekannte WordPress Seite, die nicht Angriffen ausgesetzt ist. Eine wenig einfallsreiche, aber sehr beliebte Methode, ist das automatisiert Erraten von Passwörtern: Brute Force.
Mehr als 90.000 Loginaktivitäten in ca 30 Stunden.
Die Benutzernamen werden dabei entweder den Artikeln entnommen oder Standarduser erraten (zB admin, administator, root, …) und die Passwörter werden aus Wortlisten entnommen.
Angezeigter Name sollte nicht Benutzername sein
Wenn man in WordPress einen neuen Benutzer anlegt, dann muss man auch einen Spitznamen angeben, es empfiehlt sich hier den Namen so zu wählen, dass dieser vom Benutzernamen beim Login abweicht. Ein paar Zeilen weiter kann man unter “öffentlicher Name” dann auswählen, welcher Name beim Veröffentlichen eines Artikels angezeigt werden soll. Zur Auswahl steht dann auch der “Spitzname”. Noch besser ist freilich, auch den Benutzernamen zB schon mit Zahlenbuschstabenkombinationen zu versehen und nur den Spitznamen aussagekräftigt für die Anzeige beim Artikel zu wählen.
Plugin zum Sperren von fremden Rechnern
Nicht die effektivste, aber häufig die einfachste Variante ist der Schutz per Plugin. Inzwischen gibt es auch hier ein Unmenge im WordPress Plugin Directory und es ist nicht ganz einfach mit dem Suchbegriff “Limit Login Attempt” das passende Plugin zu finden. Wer länger mit WordPress arbeitet weiß, dass Pluginentwickler nicht selten die Entwicklung und Wartung einstellen und man zu spät erkennt, dass man auf das falsche Pferd gesetzt hat. Für Fotomobil fiel die Entscheidung auf WP Cerber, das relativ einfach gehalten ist und sich aber durch schnelle Support auszeichnet.
WP Cerber Limit Login Attempts
Vorsichtig sollte man mit dem Ändern der Login-Seite bzw dem Sperren der wp-login.php sein, schnelles Klicken an dieser Stelle kann leicht dazu führen dass man auch selber keinen Zugriff mehr über den Standardweg hat.
Fix ist: Wer schon länger eine WordPress Seite betreibt und sich über große Zugriffszahlen freut, sollte die Auswertung etwas genauer betrachten und auch Zeit für das Absichern der Seite reservieren.
Danke für den Beitrag!
Ich hatte in letzter Zeit Probleme mit Bruteforce Attacken. Trotz verstecktem Backend. Habe die Login-Versuche pro User dann auf max. 3 gestellt mit Aussperrung. Leider ging es mir dann genau so wie du es beschreibst. Ich hatte selbst kein Zugriff mehr auf das Backend (da es permanent gesperrt war). Die Lösung bei mir war das Deaktivieren der XMLRPC-SST.