WordPress vor Botnet-Attacken schützen

Nachdem ich gestern von zunehmenden Botnet-Angriffen auf WordPress-Blogs (heise.de) gelesen hatte, dachte ich mir „ein bisschen Sicherheit kann nicht schaden“ und machte mich schlau, wie ich Keinehosensonntag vor Skript-Kiddies und automatischen Attacken schützen könnte. Damit nicht nur dieses Blog was davon hat, hier eine kurze Zusammenfassung.

Wie ein Botnet funktioniert
Wie ein Botnet funktioniert – Illustration: Tom-b

Nur kurz vorweg: Es geht nicht darum, „richtige“ Hacker aufzuhalten. Die meisten Blogs werden eh nicht Ziel eines ernst gemeinten Angriffs, sondern Opfer eines Botnets, dass versucht, weitere Rechner zu infizieren oder von Skript-Kiddies, die spaßeshalber Websites entstellen oder offline nehmen wollen.

Beide Gruppen nutzen dafür meist „Fertig-Attacken“ für bekannte Sicherheitslücken oder nutzen, wie im heise-Artikel beschrieben, häufig vorkommende Nutzer/Passwort-Kombinationen. Ein erster einfacher Schritt war es daher, den Standardnutzer „admin“ zu entfernen. Denn sonst „weiß“ der Angreifer bereits den Nutzernamen und muss nur noch das Passwort raten. Das ging ganz einfach unter „Benutzer“, da ich eh alles mit meinem eigenen Nutzer mache.

Für den nächsten Schritt benötigte ich dann allerdings die Hilfe eines Plugins: Ich wollte die Anzahl der möglichen Versuche beim Einloggen begrenzen. Standardmäßig tut WordPress das leider nicht, sodass Angreifer beliebig viele Versuche haben, Zugangsdaten zu erraten. Mit moderner Technik und riesigen Rechnernetzen ist es dann nur eine Frage der Zeit.

Nachdem ich zuerst einen speziell dafür geschaffenen Plugin ausprobiert hatte (Limit Login Attempts), bin ich zum Schluss bei „Better WP Security“ gelandet, da es die wichtigsten Funktionen vereint und nebenbei den Backup-Plugin ersetzt, der bisher für die regelmäßige Sicherung der Datenbank zuständig war.

Neben dem Entfernen des admin-Nutzers und dem Begrenzen der Logins konnte ich damit auch die Admin- und Login-Seiten „verstecken“, sodass der im Artikel beschriebene Angriff kaum noch möglich erscheint. Regelmäßige Backups hatte ich bereits vorher, aber dafür jetzt alles unter einem Dach. Einige Funktionen musste ich allerdings auslassen, da sie bei bestehenden Blogs zu Problemen führen können. Beim nächsten Blog mach ich’s dann gleich von Beginn an richtig.

 TL;DR: Wenn du WordPress-Blog betreibst, und sei es noch so klein, entferne den admin-Nutzer und verwende Sicherheits-Plugins, denn „out-of-the-box“ ist WordPress sehr leicht angreifbar.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.