Website-Sicherheit: WordPress-Login-Spionage

Anhand eines Beispiels möchte ich zeigen, warum du die Sicherheit deiner Website nicht vernachlässigen solltest. Mit 7 Schritten einen großen Zuwachs an Sicherheit bekommen.

Fallbeispiel: WordPress-Login-Spionage

Das Fallbeispiel ist keineswegs ausgedacht, sondern sehr real.
Suchmaschinen und andere IT-Firmen nutzen sogenannte Crawler-Bots, um das Internet nach Informationen zu durchforsten. In der Regel ist das auch alles okay, von den meisten Website-Betreibern auch erwünscht. Besonders natürlich die Crawler der Suchmaschinen wie Google.

Gute Crawler, schlechte Crawler

Im Gegensatz zu den Suchmaschinen-Crawlern sind die Kerlchen, um die es nun geht, nicht erwünscht auf unseren Websites.
Crawler-Bots, die für kriminelle Handlungen eingesetzt werden, sind natürlich nicht sehr beliebt.

Denn diese Bots versuchen z.B. die Login-Daten für WordPress herauszufinden, indem sie Benutzer- und Passwort-Kombinationen ausprobieren.

Das Ratespiel geht ratzfatz und schon hat ein Dritter Zugriff auf deine WordPress-Installation.

Ein Blick auf die leider immer noch häufigsten Passwörter beweist, wie einfach es Kriminellen gemacht wird:

Top Ten deutscher Passwörter 2021:

1. 123456
2. passwort
3. 12345
4. hallo
5. 123456789
6. qwertz
7. schatz
8. basteln
9. berlin
10. 12345678

Quelle hpi.de

Oh je… Wenn dann noch der Benutzer schlicht “admin” heißt, ist es so, wie wenn du deine Haustür offen lässt – grob fahrlässig.

Selbstverständlich wissen die Entwickler der fiesen Bots auch, welche Passwörter beliebt sind und kennen auch die Standard-Adresse der Login-Seite von WordPress.

Anzeige:

Angriff

Der folgende Screenshot zeigt die unbefugten Login-Versuche auf meinem privaten Comic-Blog.

In nicht einmal 24 Stunden 24 Anmeldeversuche! Jetzt stell dir vor, nur einer wäre erfolgreich gewesen. Bei Erfolg meldet der Bot dies seinem „Besitzer“. Wenn er möchte, könnte er sich unbemerkt einloggen und Beiträge ändern oder löschen. Natürlich könnte er auch dein Passwort ändern, so dass du keinen Zugriff mehr auf deine Seite hast. Der nette Mensch kann mit deiner Seite also tun und lassen, was er will.

Nur durch meine Sicherheitsbemühungen habe ich überhaupt von den Versuchen erfahren.
Einige meiner Bemühungen möchte ich in 7 kurzen Schritten mit dir teilen.

Verteidigung

Schritt 1: Anmeldeversuche limitieren

Limit Login Attempts – Dank diesem Plugin für WordPress weiß ich von den Login-Versuchen. Der Clou dabei ist die Möglichkeit, nach x Fehlversuchen die IP-Adresse des Angreifers zu blockieren.

Leider habe ich es versäumt, später am Tag einen weiteren Screenshot anzufertigen, denn am Ende des Tages protokollierte Limit Login Attempts bereits über 200 Anmeldeversuche! Das war eine beachtliche Attacke auf meinen kleinen Blog.

Am nächsten Tag war plötzlich Schluss, die Versuche gingen gegen Null. Letztlich war dieser Vorfall nur eine Bestätigung, dass eine gute Absicherung wirklich wichtig ist.

Schritt 2: Geheimtür

Das Ändern der Login-Adresse bietet einen gewissen Basis-Schutz. Die Geheimtür kennst nur du.
Siehe dazu das Plugin WPS Hide Login in meinem Beitrag 13 unverzichtbare WordPress Plugins.

Schritt 3: Mehrere Benutzer

Als effektiv hat sich die Verwendung von mehreren Benutzerkonten erwiesen. Einen Administrator- Benutzer, der natürlich nicht “Administrator” oder “Admin” heißen sollte, und einen Benutzer, der für das Erstellen von Seiten und Beiträgen verwendet wird.

Schritt 4: Starke Passwörter

Ein starkes Passwort und ein Benutzername, der nicht durch den Inhalt der Website hergeleitet werden kann, sind das absolute Minimum!

Schritt 5: 2-Faktor-Authentifizierung

Nutze das WordPress-Plugin Two Factor, um es Angreifern noch schwerer zu machen. Ähnlich wie beim Online-Banking muss zum Einloggen zusätzlich zum Benutzernamen und Passwort noch ein Code eingegeben werden. Diesen Code erhält man wahlweise per E-Mail oder über eine Smartphone-App.

Schritt 6: Backups

Eine gute Datensicherungsstrategie ist ein essentieller Baustein jedes Sicherheitskonzepts.
Deine Datensicherungsstrategie sollte beinhalten, wie oft du eine Datensicherung erstellst und wo du sie speicherst. Speichere die Datensicherungen an einem Ort, der nicht für Dritte zugänglich ist.

Passt deine Strategie und du weißt, was im Notfall zu tun ist, hält sich nach einem kurzen Schockmoment die Panik in Grenzen.
Für eine saubere, unkomplizierte Datensicherungslösung unter WordPress empfehle ich UpDraftPlus.

Schritt 7: Updates

Checke mindestens einmal im Monat, ob Updates für WordPress und / oder Plugins bereitstehen.
Bevor du die Updates installierst, erstelle eine Datensicherung, und prüfe hinterher, ob die betreffenden Plugins noch ordnungsgemäß funktionieren.

Checkliste

Für ein Vielfaches mehr an Sicherheit kannst du meinen Empfehlungen folgen, die Plugins installieren und einrichten. Zusätzlich empfehle ich dir:

• Automatisiere deine Datensicherung oder mache dir Erinnerungen, um sie manuell durchzuführen
• Speichere deine Datensicherung an mindestens zwei Orten – einer davon sollte nicht mit dem Internet verbunden sein
• Notiere deine benötigten Zugangsdaten auf eine Weise, die für andere natürlich nicht zugängig ist
• Prüfe in regelmäßigen Abständen, ob die Plugins reibungslos funktionieren
• Mach dir eine eigene Checkliste (oder eine Anleitung), wie du im Ernstfall vorgehen musst

Im Panikmodus vergisst man schnell etwas und trifft eventuell eine falsche Entscheidung. Eine Schritt-für-Schritt-Anleitung in eigenen Worten ist für den Worst Case also absolut sinnvoll.

Fazit

Ein Sicherheitskonzept inklusive Checkliste ist etwas Arbeit, aber im Notfall wie eine Hausrat- oder Haftpflichtversicherung, damit du nicht auf dem entstandenen Schaden sitzenbleibst.