Brute-Force Angriffe auf WordPress
Was sind Brute-Force Angriffe?
Brute-Force Angriffe werden von Hackern durchgeführt, die versuchen, ein Passwort zu knacken, in dem eine Software schlicht in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert. Diese Methode wird besonders gerne bei Content Management Systeme verwendet weil der Betreiber einer solchen Software möglicherweise gerne gut zu merkende Passwörter benutzt. Bei einem CMS haben oftmals auch mehrere Administratoren und, im Falle eines Blogs, Nutzer Zugang zu dem Administratoren-Bereich.
Der Algorithmus für ein Brute-Force Angriff ist sehr einfach und beschränkt sich auf das Ausprobieren möglichst vieler Zeichenkombinationen, weshalb auch von eine „erschöpfender Suche“ gesprochen werden kann. Dabei verwendet der Angreifer normalerweise einen Hochleistungsrechner, der sehr viele Berechnungen pro Sekunde durchführt und entsprechend eine hohe Anzahl an Kombinationen in kürzester Zeit austesten kann.
In der Praxis ist diese Methode häufig erfolgreich da viele Benutzer kurze Passwörter welche oftmals nur aus Zeichen des Alphabets bestehen verwenden.
Brute-Force Angriffe auf WordPress
Wie z.B. Joomla, Typo 3 und Drupal benutzt auch WordPress ein Content Management System auf Open Source Basis und ist somit auch ein gern anvisiertes Angriffsziel von Häckern.
Allgemein bekannt ist das die zum Backend-Login führende Seite, bei WordPress die an die Domain angehängte Verzeichnisname …/wp-admin oder …/wp-login, Ziel eines Brute-Force Angriffes ist.
Brute-Force Angriffe abwehren
Bei Schutzmaßnahmen gegen eine Brute Force Attacke gibt es zwei Ebenen. Einmal sollten die Nutzer selbst dafür sorgen, dass ihre Passwörter nicht einfach geknackt werden können. Der heutige Standard für ein sicheres Passwort beinhaltet heutzutage Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen und besteht aus mindestens 8 Zeichen.
Die andere Ebene sind die Entwickler der Websites und die Betreiber der Server oder Dienste aus dem Internet. Um den Erfolg einer Brute-Force Angriff zu verhindern, kann man bei WordPress einen Plugin verwenden der den Angreifer nach wenige versuche aussperrt. Mit dieses Hilfsmittel wird der Account anschließend für eine gewisse Zeit gesperrt. +
Ein solches Plugin wirkt in den meisten Fälle sehr zu verlässlich hat aber den Nachteil das der Angriff zu nach einer bestimmten Zeit wieder aufgenommen werden kann. Auch das sperren des Accounts könnte in der Praxis zu unerwünschte Nebeneffekte führen.
Eine weitere und bessere Möglichkeit ist das Vorschalten einer Sicherheitsabfrage. Bei dieser Lösung kommt der Angreifer erst gar nicht zu der Login-Seite. Demzufolge ist es auch nicht notwendig diese Seite bei einem Angriff zu sperren.
Auf der Ebene der Website-Entwickler und der Betreiber gibt es noch weitere Möglichkeiten der Absicherung, wie z.B. das Setzen von Dateirechten und das Entfernen des Generator-Metatags aus dem Quellcode.
Wie sicher ist eine WordPress Website?
WordPress ist mit weit über 60 Prozent Marktanteil das weitverbreitetste Content Management System der Welt. Und das ist auch einer der Gründe, warum WordPress gerne zur Zielscheibe für kriminelle Angriffe wird.
Der hohe Marktanteil von WordPress wird oft vorschnell als Nachteil – zumindest in Bezug auf die Sicherheit, bewertet. Ganz korrekt ist das jedoch nicht. Gerade der hohe Marktanteil und die damit eingehende Verbreitung und der stetig wachsenden Beliebtheit geht nämlich auch eine große Entwicklercommunity einher, die sich stets um die Weiterentwicklung von WordPress und dessen Sicherheit kümmert. Werden etwaige Sicherheitsprobleme bekannt dann schließt das WordPress Entwicklerteam diese meist innerhalb weniger Stunden und liefert ein entsprechendes Update dafür aus.
Auch nach einer Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI, hat ergeben das WordPress keineswegs unsicher ist.