Vermehrte Angriffe auf WordPress-Installationen

• 24 April 2013
• von: Nicole Kühne
• Kategorien: Tipps & Tricks
• Tags: Sicherheit, WordPress

Wie Sie in den vergangenen Tagen eventuell bereits verschiedenen Medien entnommen haben, sind derzeit vermehrt WordPress-Installationen weltweit in das Visier von Angreifern geraten.

 

Hintergrund:

Vorrangig wird durch die bis dato unbekannten Angreifer über ein Botnet versucht, Standardinstallationen der beliebten Blog-Software WordPress zu kompromittieren in dem versucht wird, einen Administrator-Zugang mittels sog. Wörterbuch-Attacken zu erlangen.

Gelingt dieser Angriff, wird die WordPress-Installation anschließend häufig für das Verteilen von Malware genutzt. Das bedeutet, dass ein Besucher der WordPress-Installation potentiell Gefahr läuft, dass sein Rechner durch gefährliche Software kompromittiert wird.

 

Wie können Sie sich schützen?

Zunächst sollten Sie, wie bei allen Software-Installationen, darauf achten, dass Sie die jeweils neueste Version einsetzen. WordPress erleichtert dies dem Anwender in dem es bei Verfügbarkeit einer neuen Version automatisch im Backend darauf hinweist, dass eine neue Version zur Verfügung steht.

Unabhängig davon, schützt natürlich selbst die neueste Software-Version nicht vor möglichen Angriffen, wenn die für den Login erforderlichen Zugangsdaten nicht ausreichend sicher sind. Beispiele hierfür sind Standard-Benutzernamen wie „Admin“ oder kurze und unsichere Kennwörter wie „test123“.

Es ist daher ratsam, möglichst einen vom Standard abweichenden Benutzernamen für Ihre WordPress-Installation zu vergeben. WordPress bietet hierfür leider keine gesonderte Funktion an, so dass man den User „Admin“ nur über Umwege ändern kann. Entweder kann dies direkt über die zugehörige MySQL-Datenbank (Tabelle „wp_users“) geschehen oder man legt einen neuen Benutzer mit Administratorrechten und abweichendem Namen an und löscht anschließend den ursprünglichen Benutzer „Admin“.

Weiterhin ist es neben der Wahl eines vom Standard abweichenden Benutzernamens sinnvoll und wichtig, ein ausreichend langes und sicheres Kennwort zu wählen. Dabei sollten die grundlegenden Richtlinien für die Auswahl eines Kennworts beachten werden.

Wir hatten bereits in unserem Blogbeitrag vom 14.09.2012 über die zu beachtenden Regeln bei der Vergabe eines Kennwortes berichtet.

 

Kurz zusammengefasst:

Hierzu zählt zunächst ein ausreichend langes Kennwort (möglichst mehr als 8 Zeichen) sowie die Verwendung von Groß- / Kleinbuchstaben und Ziffern in diesem Kennwort. Weiterhin sollte darauf geachtet werden, dass ein solches Kennwort nicht leicht zu erraten oder sogar bereits bekannt ist.

Ein schlechtes Beispiel für ein solches Kennwort, welches zwar die o. a. Kriterien erfüllt, jedoch nicht sicher ist wäre „Eiffelturm2013“. 🙂

Sinnvoller, jedoch schwieriger zu merken, wären Buchstaben- und Zahlenkombinationen wie z. B. „s4iUrdvF0AxUd“.  In der Praxis bereitet ein solches Passwortschema, gerade wenn man für verschiedene Dienste abweichende Kennwörter verwendet (was zu empfehlen ist), häufig Probleme.

Es gibt jedoch einen sinnvollen Mittelweg, mit dem sich sichere Kennwörter generieren lassen, die jedoch dennoch leicht zu merken sind. Ein Beispiel ist z. B. ein Satz den nur Sie kennen. Die Anfangsbuchstaben des Satzes

Mein Auto hat die Farbe Rot und ist aus dem Baujahr 2010

ergeben das Kennwort: MAhdFRuiadB2010

Einige weitere Anregungen für die Auswahl eines sicheren Kennworts bieten z. B. auch die folgenden Webseiten:

• https://de.wikipedia.org/wiki/Passwort#Passwort-Formeln
• http://www.spiegel.de/netzwelt/web/sichere-passwoerter-sindsieschongeknackt-a-790936.html

Wir hoffen, dass wir Ihnen Anregungen für die Absicherung Ihrer WordPress-Installation und – allgemein- für die Wahl sicherer Zugangsdaten liefern konnten. Sollten Sie Rückfragen haben, steht Ihnen das Power-Netz Team wie immer gerne zur Verfügung.