Bruteforce-Angriffe – Schützt euren Blog, Kollegen!

Veröffentlicht am 18. August 20148. November 2018 von Thomas Rader

Bereits seit September 2013 wird macht sich jemand beinahe täglich die Mühe, mittels Bruteforce in den Admin-Bereich unseres Blogs zu gelangen. In der Nacht vom 16. auf den 17. August 2014 erfolgte der Angriff gebündelt. Mehrere hundert Login-Versuche innnerhalb eines Zeitraums von etwas über einer Stunde. Die Anzahl der verschiedenen angreifenden IPs lassen auf ein Bot-Netzwerk schließen. Bislang die heftigste Attacke.

Screenshot 2014-08-18 08.01.10

Wir haben den letzten Angriff zum Anlass genommen, uns mit weiteren Sicherheitsmaßnahmen zu beschäftigen. Zwar hatten wir unseren Blog auch bislang durch diverse Security-Plugins gegen Angriffe abgesichert, so dass – unter anderem – ungültige Anmeldeversuche sofort an uns gemeldet und die angreifenden IPs mit einem Ban gestraft wurden. Nach Sperrung der jeweils angreifenden IP wurde der Angriff jedoch mit neuen IPs fortgesetzt.

Nunmehr haben wir zusätzliche Maßnahmen ergriffen, weiteren Angriffen wirksam vorzubeugen und möchten allen bloggenden Kollegen, die sich bislang nicht oder nicht ausführlich mit dem Thema (WordPress-)Sicherheit beschäftigt haben, empfehlen, auch den eigenen (WordPress-)Blog auf ausreichende Sicherheit zu überprüfen. Wie man sieht, sind auch „langweilige“ Anwalt-Blogs von Interesse für die Hacker.

Unter zahlreichen Sicherheitsvorkehrungen soll insbesondere eine Zugangssperre mittels .htaccess hervorgehoben werden. Hierdurch wird jeder Versuch, den Anmeldebereich überhaupt zu Gesicht zu bekommen, mit einem Zugriffsschutz verhindert.

WordPress-Benutzer, die ihren Blog nicht hinreichend absichern, seien noch darauf hingewiesen, dass ein Hack ihrer Seite keinenfalls nur Konsequenzen für sie selbst haben kann. Sergej Müller weist in seinem WP Letter Sonderausgabe 29.5.2013 darauf hin, dass einmal gehackte Blogs als Bot-Netzwerke missbraucht werden und Malware verbreiten können – mit ärgerlichen Konsequenzen für alle Besucher der infizierten Seiten.

Sinnvolle Plugins, mit denen Sie Ihren WordPress-Blog gegen Angriffe absichern können, lassen sich über den Menüpunkt „Plugins“ im Admin-Bereich Ihres Blog finden und installieren. Dort einfach das Suchwort „Security“ eingeben.

Eine interessante Übersicht zum Theme Security-Plugins für WordPress stellt Mike Kuketz in seinem Blog dar. Eine ausführliche Anleitung, wie ein Wordpress-Blog mittels .htaccess geschützt werden kann beschreibt Mike Kuketz in einem weiteren Artikel.

Vergesst nicht, Kollegen: 1 Stunde Aufwand für die Sicherheit des Blogs wiegt nichts gegen die Zeit, die nach einem erfolgreichen Angriff für die Schadensbehebung aufgewendet werden muss!