Home » Headline, plug ins, technik

Zunehmende Angriffe auf WordPress: 6 Tips für sicheres Bloggen

22 April 2013 432 views Kein Kommentar

Heise.de berichtete vor kurzem über die ansteigenden Attacken durch Botnetze auf WordPress-Installationen bzw. -Instanzen. Leider können wir dies nachweislich auch bei unseren eigenen WordPress-Installationen feststellen.

Ein großer Anteil der Angriffe bezieht sich auf die Login-Maske. Diese ist in der Standard-Installation nicht gegen sog. Passwort-Brute-Force-Attacken abgesichert. Eine Passwort-Brute-Force-Attacke ist ein automatisch gesteuerter Prozess, der Passwort-Kombinationen hintereinander ausprobiert. Hier muss also kein Mensch vor der Tastatur sitzen und unendlich viele schwache Passwörter wiederholt eingeben – nein, das machen Computer – und zwar sehr schnell !!! Diese über sog. Botnetze ausgeführte Automatismen werden mit speziellen und großen Passwort-Katalog-Dateien gefüttert. Bestandteile dieser Katalog-Dateien sind männliche und weibliche Vornamen in der jeweiligen Zielsprache, sowie Nachnamen, Jahreszeiten (Frühling, Sommer, Herbst, Winter), Jahreszahlen und Monatsnamen (Januar, Februar, ….).

Das kriminelle Motiv dahinter ist nicht etwa Daten zu klauen (was ist öffentlicher als die Daten eines Blogs?). Vielmehr geht es darum, die Gewalt über ein Web-System zu erhalten, um unter dessen “Identität” die tatsächlichen kriminellen Handlungen durchzuführen. Bei der Rückverfolgung eines Tatbestandes wird dann zunächst das befallene WordPress-System identifiziert und damit der verantwortliche Betreiber des Systems. Die wahren Täter bleiben unerkannt.

Ich empfehle deshalb folgende 6 Maßnahmen als Mindestschutz für WordPress-Installationen, alles andere halte ich für grob fahrlässig.

  1. Nutzen Sie sichere Passwörter und keine schwachen Passwörter. Schwache Passwörter sind z.B. Claudia1971, Sommer2013, Mertens@erfolgreich-loggen.de. Starke Passwörter bestehen nicht aus Wörtern eines Wörterbuches oder aus Namen. Ein starkes Passwort ist beispielsweise dieses: D!1gusPWgBs. Der Trick, um sich ein solches PW zu merken ist ein Hilfssatz und ein paar persönliche Regeln. Das beispielhafte PW wurde mittels dieses Satzes konstruiert: Dies (D) ist (!) ein (1) gutes (g) und (u) starkes (s) Passwort (PW) gegen Bots (Bs). Das “i” wurde durch ein Ausrufezeichen ersetzt, das Wort “ein” durch die Ziffer 1, das Wort Passwort durch PW und von dem letzten Wort Bots wurde der erste und letzte Buchstabe (Bs) angehängt!
  2. Nutzen Sie Sicherheits-PlugIns, zum Beispiel Limited Login Attempts, um die Anzahl der Login-Versuche eines Bots zu begrenzen.
  3. Halten Sie ihre WordPress-Basis-Installation immer aktuell, ebenso die PlugIns
  4. Konfigurieren Sie die Sicherheits-Salt-Werte in der WordPress-Konfigurationsdatei wp-config.php
  5. Loggen Sie sich nach der WordPress-Sitzung immer aus!
  6. Nutzen sie für jede Web-Anwendung einen eigenen dedizierten Datenbank-Nutzer, der ausschließlich Rechte für die jeweilige Anwendungsdatenbank besitzt!

Dies sind lediglich die “Grundhausaufgaben”, natürlich gibt es zahlreiche weitere Einfallstore, die man hier behandelt könnte, zum Beispiel, Sicherheitsmaßnahmen auf der Ebene des Betriebssystems, des Web-Servers, des PHP-Stacks, der Datenbank, des Web-servers usw. usf. Last but not least ist auch der Clientrechner des WordPress-Betreibers abzusichern. Leider werden auch zunehmend Endanwender-PC’s mit Trojaner- und Ausspäh-Software infiziert, um sich auf diesem Wege das Admin-Passwort einer WordPress-Installation zu beschaffen, da nützt dann die komplette Absicherung des Servers nicht, wenn die Angriffsfläche der Anwender-Computer ist!

Nachtrag

  1. Folgender Link beschreibt, wie man eine unfreiwillige Hintertürinstallation (Backdoor) in einer WordPress-Installation entdeckt,
  2. Fluch und Segen zugleich sind die zahlreichen, freien und kostenlose WordPress-Themes. Aber auch hier setzen Hacker an, um den Betreibern infizierte Themes unterzujubeln. Bei der Verwendung eines Themes sollte dieses vorher auf eine mögliche “Hintertür-Infektion” hin untersucht werden! Ein erster Hinweis auf infizierte WordPress-Themes kann ein BASE64-encodierter Programmcode sein, wie hier und hier gezeigt wird.

Über

Bloggt seit 2006 und ist Inhaber der Internetagentur SLTalk & Partner. Als Trainer und Berater ist er im IT-Umfeld bundesweit tätig. Er ist Dozent für Neue Medien an der DHBW Mannheim und an der Hochschule Fresenius tätig. Für den Studiengang Social Media Manager ist er am ILS Fernlehrer. Er ist Gründungsmitglied des BVMM und Mitglied bei der Gesellschaft für Wissensmanagement (GfWM).

Ihr Kommentar!

Fügen Sie hier Ihr Kommentar oder Trackback ihrer Seite hinzu. Diese Kommenatare auch via RSS lesen.

Sie können folgende tags verwenden:
<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Dieser Weblog benutzt Gravatare. Ihr eigenes global gültiges und eindeutiges Web-Avatar erhalten Sie unter Gravatar.