Wie schützen Sie Ihre Website vor WordPress-Brute-Force-Angriffen?
· Время на чтение: 13мин · von
·
Veröffentlicht
· Aktualisiert
Hören Sie sich diesen Artikel an
Brute-Force-Angriff oder (Brute-Force-Angriff) WordPress unterdrückt, noch bevor der Angriff erfolgreich ist. Viele Site-Administratoren stellen fest, dass ihre Serverressourcen schnell erschöpft sind, ihre Sites nicht mehr reagieren oder sogar vollständig abstürzen, was dazu führt, dass echte Benutzer gesperrt werden. Das Problem besteht darin, dass Sie sich hilflos fühlen können, wenn Brute-Force-Bots die Anmeldeseite verstopfen und versuchen, an Ihren wp-admin zu gelangen.
Aber du bist nicht hilflos. Wenn Sie mehrere fehlgeschlagene Anmeldeversuche für denselben Benutzer sehen, möglicherweise von mehreren IP-Adressen, sind Sie hier richtig. In diesem Artikel erkläre ich, wie ein WordPress-Brute-Force-Angriff aussieht und wie Sie Ihre Website davor schützen können.
Der Inhalt des Artikels:
- Was ist ein WordPress-Brute-Force-Angriff?
- Wie schützen Sie Ihre Website vor WordPress-Brute-Force-Angriffen?
- Auswirkungen eines Brute-Force-Angriffs in WordPress
- Beseitigen Sie die Auswirkungen der WordPress-Iteration
- Ist Ihre Website anfällig für Brute-Force-Angriffe?
- Arten von Brute-Force-Angriffen
- Weitere Best Practices für die Sicherheit
- Abschluss
Was ist ein WordPress-Brute-Force-Angriff?
Brute-Force-Angriff auf WordPress sind Versuche, sich unbefugten Zugriff auf Ihren wp-admin zu verschaffen, indem Sie verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren. Hacker haben Bots entwickelt, die durch Versuch und Irrtum die Anmeldeseite kontinuierlich mit Anmeldeinformationen bombardieren.
Bots probieren oft eine Reihe von Wörterbuch-Passwörtern aus und werden daher auch als Wörterbuch-Angriffe oder Passwort-Rate-Angriffe bezeichnet. Angriffe können so konfiguriert werden, dass sie von verschiedenen IP-Adressen ausgehen und so grundlegende Sicherheitsmaßnahmen umgehen. Es gibt noch andere Arten von Brute-Force-Angriffen, auf die ich später in diesem Artikel eingehen werde.
Das Ziel eines Brute-Force-Angriffs besteht darin, Zugriff auf Ihren wp-admin zu erhalten und dann normalerweise Malware auf Ihrer Website zu installieren.
Wie schützen Sie Ihre Website vor WordPress-Brute-Force-Angriffen?
Es ist beängstigend, einen Brute-Force-Angriff zu erleben, vor allem, weil es den Anschein hat, als gäbe es nichts, was man tun kann, um ihn zu stoppen. Zudem sind die Auswirkungen des Angriffs sofort sichtbar. Die meisten Websites verfügen über begrenzte Serverressourcen, die schnell erschöpft sind, und oft stürzt die angegriffene Website vollständig ab.
Glücklicherweise können Sie viel tun, um Brute-Force-Angriffe auf WordPress zu verhindern. Hier ist eine Liste von WordPress-Brute-Force-Schritten, die die meisten Angriffe blockieren und die schlimmsten abmildern.
1. Begrenzen Sie die Anzahl der Anmeldeversuche
Der beste Weg, einen WordPress-Brute-Force-Angriff zu stoppen, besteht darin, die Anzahl der Anmeldeversuche zu begrenzen. Wenn auf der Anmeldeseite zu oft das falsche Passwort eingegeben wird, wird das Konto vorübergehend gesperrt. Dies blockiert die Wirksamkeit des Brute-Force-Bots, da dieser mithilfe von Versuch und Irrtum die Anmeldeinformationen errät. Da der Bot außerdem nicht mehrere tausend Kombinationen ausprobieren kann, werden keine Anfragen an den Server gesendet und es werden keine Ressourcen für die Aktivität des Bots aufgewendet.
Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl an Anmeldeversuchen und ist daher vor allem anfällig für Brute-Force-Angriffe. Mit Sicherheits-Plugins können Sie Anmeldeschutzbeschränkungen automatisch aktivieren.
Wenn ein Benutzer sein Passwort tatsächlich vergessen hat, kann er ein Captcha lösen, um die Sperre einfach zu umgehen. Durch die Begrenzung der Anmeldeversuche wird somit das Eindringen von Brute-Force-Bots verhindert, ohne dass sich dies negativ auf echte Benutzer auswirkt.
2. Blockieren Sie schädliche und unerwünschte Bots
Brute-Force-Angriffe werden fast immer von Bots ausgeführt. Bots sind kleine Programme, die darauf ausgelegt sind, eine einfache Aufgabe wiederholt auszuführen, was sie ideal für Brute-Force-Angriffe macht. Der Bot probiert auf der Anmeldeseite eine Reihe von Anmeldeinformationen aus, bis er eine Übereinstimmung findet.
Darüber hinaus stammen über 25% des gesamten Website-Verkehrs von Bots, daher gibt es viele Sicherheitssysteme, die vor Bots schützen. Hier muss jedoch ein wichtiger Unterschied gemacht werden: Nicht alle Bots sind schlecht. Es gibt gute wie andere Suchmaschinen-Crawler und Bots zur Verfügbarkeitsüberwachung.
Sie möchten, dass sie auf Ihre Website zugreifen können. Daher ist es wichtig, einen Bot-Schutz zu erhalten, der nur schädliche und unerwünschte Bots intelligent blockiert. Es gibt viele Anti-Bot-Plugins wie All In One WP Security und Wordfence Security, aber standardmäßig blockieren sie alle Bots, einschließlich Googlebot.
3. Installieren Sie eine Webanwendungs-Firewall
Der Anmeldeschutz schützt vor Brute-Force-Angriffen, während die Firewall vor allen Arten von Angriffen schützt. inklusive roher Gewalt.
Firewalls verwenden Regeln, um böswilligen Datenverkehr zu blockieren und tragen wesentlich zum Schutz Ihrer Website bei. Darüber hinaus mildern Firewalls eines der schwerwiegendsten Probleme von Brute-Force-Angriffen – die übermäßige Belastung der Serverressourcen –, indem sie wiederholte fehlerhafte Anfragen blockieren.
Brute-Force-Angriffe sind oft so konfiguriert, dass sie von mehreren IP-Adressen aus angreifen und können daher die meisten Firewalls umgehen. Mit einer Firewall wird Ihre Website jedoch Teil des globalen Schutzes geistigen Eigentums. Die Firewall erkennt anhand des protokollierten Verhaltens auf über 153.470 Websites, welche IP-Adressen bösartig sind, und blockiert aktiv den Datenverkehr von diesen. Durch diese Maßnahmen wird die Menge an böswilligem Traffic auf Ihrer Website erheblich reduziert, bevor der Bot überhaupt die Anmeldeseite Ihrer Website hacken kann.
4. Fügen Sie WordPress die Zwei-Faktor-Authentifizierung hinzu
Benutzernamen und Passwörter können erraten werden, daher hat sich die Zwei-Faktor-Authentifizierung – oder sogar die Multi-Faktor-Authentifizierung – als eine Möglichkeit herausgestellt, dynamische Elemente für die Benutzerauthentifizierung bereitzustellen. Bei der Zwei-Faktor-Authentifizierung wird ein Echtzeit-Anmeldetoken, beispielsweise ein OTP oder ein QR-Code, auf das Gerät des Benutzers übertragen. Die Lebensdauer ist begrenzt, normalerweise etwa 10–15 Minuten, und kann den Benutzer nur für diese Sitzung authentifizieren.
Ein zusätzlicher Token außer Login und Passwort ist schwer zu hacken. Dadurch wird der Anmeldeseite eine weitere Sicherheitsebene hinzugefügt. Sie können ein Plugin wie WP 2FA installieren, um Ihrer Website ganz einfach eine Zwei-Faktor-Authentifizierung hinzuzufügen.
5. Verwenden Sie sichere und eindeutige Passwörter
Die größte Sicherheitslücke liegt beim Nutzer selbst und dementsprechend bei den von ihm gesetzten Passwörtern. Passwörter stellen die größte Schwachstelle in jedem Sicherheitssystem dar, da der Mensch (verständlicherweise) dazu neigt, leicht zu merkende Passwörter festzulegen und diese für verschiedene Konten wiederzuverwenden. Dabei handelt es sich eigentlich um zwei separate und unterschiedliche Passwortprobleme.
- Erstens: Verwenden Sie niemals Passwörter für verschiedene Konten. Viele Brute-Force-Bots nutzen aufgrund von Datenlecks gestohlene Passwörter, um Anmeldeseiten anzugreifen.
- Zweitens ist ein Passwort wie „Passwort“, wie Sie wissen, sehr leicht zu erraten. Verwenden Sie mindestens 12 Kauderwelschzeichen oder, noch besser, eine Passphrase als Passwort.
Ich empfehle die Verwendung eines Passwort-Managers wie LastPass oder 1Password, um die Wiederverwendung von Passwörtern zu vermeiden und bei Bedarf sichere Passwörter zu erstellen. Wenn Sie den Verdacht haben, dass ein Konto kompromittiert wurde, können Sie ein Zurücksetzen aller Passwörter erzwingen.
6. Deaktivieren Sie XML-RPC in WordPress
Eine XML-RPC-Datei ist eine weitere Möglichkeit, Benutzer zu authentifizieren. Mit anderen Worten: Es handelt sich um eine alternative Möglichkeit, auf Ihr Admin-Panel zuzugreifen, sodass es auch anfällig für Brute-Force-Angriffe ist. Dabei handelt es sich um eine weitgehend veraltete Datei, die von vielen Plugins oder Themes nicht aktiv genutzt wird. Aus Gründen der Abwärtskompatibilität ist es immer noch in WordPress enthalten und kann daher relativ sicher deaktiviert werden.
7. Überprüfen und löschen Sie nicht verwendete Benutzerkonten regelmäßig
Inaktive Konten geraten häufig ins Visier von Hackern, da die Möglichkeit besteht, dass Benutzer nicht bemerken, wenn ihre Konten gehackt werden. Darüber hinaus haben ruhende Konten über längere Zeiträume hinweg dieselben Passwörter, sodass sie leichter durch Brute-Force-Angriffe genutzt werden können.
Überprüfen Sie daher regelmäßig Benutzerkonten und löschen Sie diejenigen, die nicht aktiv genutzt werden. Um zusätzliche Punkte zu sammeln, stellen Sie sicher, dass jedes Konto über die zur Verwaltung seines Kontos erforderlichen Mindestbenutzerrechte verfügt. Es ist beispielsweise leichtsinnig, jeden zum Administrator zu machen.
8. Erwägen Sie Geoblocking in WordPress
Wenn Sie von einem Ort aus viel Bot-Verkehr sehen, können Sie das ganze Land blockieren. Allerdings rate ich zur Vorsicht beim Einsatz von Geoblocking. Dies ist nur dann sinnvoll, wenn Sie von dem Standort überhaupt keine legitimen Benutzer erwarten.
Bedenken Sie außerdem, dass dadurch gute Bots von dieser Region ferngehalten werden können. Beispielsweise kann der Googlebot von jedem seiner Server auf der Welt ausgeführt werden, und Sie möchten auf jeden Fall, dass der Googlebot auf Ihre Website zugreift.
9. Deaktivieren Sie das Durchsuchen von Verzeichnissen
Standardmäßig sind die meisten wichtigen WordPress-Ordner und -Dateien über den Browser öffentlich zugänglich. Sie können beispielsweise yourwebsite.ru/wp-includes in die Adressleiste Ihres Browsers eingeben und der gesamte Inhalt des Ordners ist sofort sichtbar.
Obwohl das Durchsuchen von Verzeichnissen an sich keine Sicherheitslücke darstellt, können dadurch Informationen über eine Website preisgegeben werden, die wiederum zum Ausnutzen von Sicherheitslücken genutzt werden können.
Der Ordner /wp-content enthält Plugins und Themes. Wenn ein Hacker sehen kann, welche Plugins installiert sind und welche Versionsnummern sie haben, kann er möglicherweise Schwachstellen finden und ausnutzen. Dabei handelt es sich um eine weniger beliebte Art von Brute-Force-Angriff, den so genannten Brute-Force-Angriff. Daher ist es vorsorglich sinnvoll, das Durchsuchen von Verzeichnissen ganz zu deaktivieren.
Lösungen, die Sie möglicherweise an anderer Stelle kennenlernen, die Sie aber nicht auf Ihrer Website implementieren sollten
Es gibt viele gut gemeinte, aber sehr schlechte Sicherheitshinweise. Deshalb werde ich zusätzlich zu dieser Liste, was zu tun ist, auch auflisten, was man nicht tun sollte.
- Schützen Sie das wp-admin-Verzeichnis mit einem Passwort: Tu es überhaupt nicht. Es erscheint in fast jedem Artikel über Brute-Force-Prävention. Das Passwort, das das wp-admin-Verzeichnis schützt, unterbricht AJAX für nicht registrierte Benutzer, indem es den Zugriff auf die Datei admin-ajax.php einschränkt. AJAX wird häufig zur Unterstützung der dynamischen Aspekte von Websites verwendet. Nehmen wir an, Sie haben eine Suchleiste auf Ihrer Website. Wenn ein Besucher damit nach Produkten sucht, werden nur die Suchergebnisse neu geladen, nicht die gesamte Website. Dies spart viele Ressourcen und beschleunigt und verbessert das Benutzererlebnis von Websites erheblich. Sie werden auch viele Problemumgehungen sehen, um die Datei admin-ajax.php auszuschließen, aber diese funktionieren nicht immer ohne Probleme. Unterm Strich spiegelt der Aufwand, der mit Workarounds verbunden ist, kein angemessenes Maß an Sicherheit wider. Das ist also ein großer Schritt für einen kleinen Zusatznutzen.
- Änderung der wp-Anmelde-URL: Dieser Tipp findet sich häufig in Artikeln zur Härtung der WordPress-Sicherheit. Ich rate jedoch dringend davon ab, die Anmelde-URL zu ändern, da eine Wiederherstellung bei Verlust nahezu unmöglich ist. (es sei denn natürlich, Sie haben es auf einem Blatt Papier aufgeschrieben, das in einem Safe liegt)
- Vermeiden Sie die Verwendung von „admin“ als Benutzernamen: Da Brute-Force-Bots effektiv versuchen, Kombinationen aus Benutzername und Passwort zu erraten, ist es sinnvoll, offensichtliche Benutzernamen wie „admin“ zu vermeiden. WordPress erlaubt es Ihnen nicht, Benutzernamen über die Systemsteuerung zu ändern, daher müssen Sie dazu ein Plugin installieren. Allerdings ist diese Maßnahme von begrenztem Nutzen und ich rate Ihnen, nicht zu viel Zeit und Mühe darauf zu verwenden. Es gibt andere Möglichkeiten, Benutzernamen von bestimmten Arten von Websites wiederherzustellen, beispielsweise von Mitgliederseiten. Der Aufwand, der erforderlich ist, um eindeutige Benutzernamen für Mitglieder zu haben, Richtlinien durchzusetzen und dann mit den unvermeidlichen Folgen umzugehen, wenn Menschen ihre eindeutigen Benutzernamen vergessen, ist den begrenzten Nutzen nicht wert.
Auswirkungen eines Brute-Force-Angriffs in WordPress
Es gibt zwei Möglichkeiten, über die Folgen eines Brute-Force-Angriffs nachzudenken. Erstens, was während des Angriffs passiert, und zweitens, was passiert, wenn der Angriff erfolgreich ist.
Typischerweise wird die erste Frage bei Angriffen nicht oft gestellt, da der Angriff kaum oder gar keine Auswirkungen auf die Website hat. Die Folgen werden nach einem erfolgreichen Angriff deutlich. Dies gilt jedoch nicht für Brute-Force-Angriffe.
Was passiert, wenn Ihre Website brutal erzwungen wird?
Sie werden eine unmittelbare Auswirkung auf die Serverressourcen feststellen. Da der Angriff Ihre Anmeldeseite mit Anfragen bombardiert, muss der Server auf jede einzelne dieser Anfragen antworten. Daher werden Sie alle Konsequenzen einer zunehmenden Servernutzung auf Ihrer Website sehen: langsamere Website, einige Benutzer können sich nicht anmelden, Ausfallzeiten, Nichtverfügbarkeit usw. Webhoster schränken die Servernutzung auch schnell ein, da dies ihre Leistung beeinträchtigt, insbesondere wenn Sie Shared Hosting verwenden.
Was passiert, wenn ein Brute-Force-Angriff erfolgreich ist?
Wenn der Angriff erfolgreich ist, können Sie mit Malware oder irgendeiner Art von Korruption rechnen. Es gibt mehrere Gründe, warum Hacker auf Ihre Website zugreifen wollen, und keiner davon ist gut.
Wenn das nicht ausreicht, könnte Ihre Website Teil eines Botnetzes werden und ohne Ihre Zustimmung zum Angriff auf andere Websites genutzt werden. Dies kann schwerwiegende Folgen haben, da andere Sicherheitssysteme Ihre Website als bösartig markieren, wenn sie Teil eines Botnetzes ist.
Beseitigen Sie die Auswirkungen der WordPress-Iteration
Wenn ein Brute-Force-Angriff erfolgreich war, sollten Sie vom Schlimmsten ausgehen: Ihre Website wurde kompromittiert. Daher ist der Schutz Ihrer Website Ihre erste Priorität. Hier sind die wichtigsten Schritte, die Sie unternehmen sollten, um den Schaden zu begrenzen:
- Abmeldung aller Benutzer erzwingen und alle Passwörter ändern;
- Scannen Sie Ihre Website sofort auf Malware.
Sobald Sie sichergestellt haben, dass Ihre Website frei von Malware ist, ergreifen Sie die oben aufgeführten Präventionsmaßnahmen.
Ist Ihre Website anfällig für Brute-Force-Angriffe?
Ja, alle Systeme sind anfällig für Brute-Force-Angriffe. Aufgrund ihrer Funktionsweise können Brute-Force-Angriffe gegen jedes System mit einer Anmeldeseite durchgeführt werden. Bei WordPress-Websites ist das nicht anders. Die Popularität von WordPress macht es zu einem Ziel für Hacker.
- Erstens liegt es daran, dass der Großteil des Internets auf WordPress basiert.
- Zweitens, weil einige Aspekte von WordPress bekannt sind.
In einem für Brute-Force-Angriffe besonders relevanten Beispiel schränkt WordPress ungültige Anmeldeversuche nicht ein. Sie können dies mit der Anmeldebeschränkungsfunktion mit Sicherheits-Plugins beheben.
Außerdem neigen viele Websitebesitzer dazu, leicht zu merkende Benutzernamen und Passwörter zu verwenden. Zu den gebräuchlichsten gehören „admin“ als Benutzername und „password1234“ oder „12345678“ als Passwort. Diese Faktoren machen Ihre Website anfällig für Brute-Force-Angriffe.
Arten von Brute-Force-Angriffen
Brute-Force-Angriffe unterscheiden sich von anderen Arten von Bedrohungen und Angriffen wie Social-Engineering-Angriffen oder XSS-Angriffen. Social-Engineering-Angriffe wie Phishing manipulieren Menschen dazu, ihre Anmeldedaten weiterzugeben, indem sie sich als vertrauenswürdige Person ausgeben, während XSS-Angriffe Schwachstellen in einer Website ausnutzen. Brute-Force-Angriffe sind auf schwache oder gestohlene Zugangsdaten angewiesen, um erfolgreich zu sein.
In freier Wildbahn werden Sie verschiedene Arten von Brute-Force-Angriffen sehen. Sie folgen alle dem gleichen Versuch-und-Irrtum-Muster, aber die Anmeldeinformationen, die sie ausprobieren, oder der von ihnen verwendete Mechanismus können unterschiedlich sein. Hier sind einige der häufigsten Arten von Brute-Force-Angriffen:
- Einfache Angriffe: Einfache Brute-Force-Angriffe nutzen Logik, um Anmeldeinformationen basierend auf ihrem Wissen über den Benutzer zu erraten, wie z. B. Kosenamen oder Geburtstage, die beispielsweise von sozialen Netzwerken stammen.
- Anmeldedaten ausfüllen: Diese Art von Angriff nutzt gehackte Daten aus, basierend auf der Annahme, dass Benutzer dazu neigen, auf mehreren Systemen dieselben Benutzernamen und Passwörter zu verwenden.
- Wörterbuchangriff: Wie der Name schon sagt, verwenden diese Bots Wörterbuchdateien für Passwörter. Dabei kann es sich um ein echtes Wörterbuch oder um ein speziell zum Erraten eines Passworts erstelltes Wörterbuch handeln.
- Rainbow-Table-Attacken: Ähnlich wie bei einem Wörterbuchangriff handelt es sich bei einer Rainbow Table um eine spezielle Art von Wörterbuchliste. Anstelle einer Liste von Passwörtern enthält die Regenbogentabelle eine Liste von gehashten Passwörtern.
- Passwort-Sprühen: Diese Art von Angriff ist logischerweise ein Brute-Force-Angriff. Bei typischen Brute-Force-Angriffen ist das Ziel ein bestimmter Benutzername und das Ratespiel wird mit einem Passwort gespielt. Umgekehrt wird beim Passwort-Spraying eine Liste von Passwörtern mit mehreren Benutzernamen verglichen, um eine mögliche Übereinstimmung zu finden. Dies ist ein eher verteilter als ein gezielter Angriff.
Als Site-Administrator müssen Sie die Unterschiede zwischen verschiedenen Arten von Brute-Force-Angriffen möglicherweise nicht kennen. Allerdings werden diese Begriffe oft synonym verwendet, daher ist es hilfreich, die zugrunde liegenden Mechanismen zu verstehen.
Weitere Best Practices für die Sicherheit
Das Verhindern von Brute-Force-Angriffen auf WordPress ist ein großes Ziel, aber es ist nur ein Teil der Website-Sicherheit. Hier sind einige Top-Tipps zum Schutz Ihrer Website vor Malware:
- Installieren Sie ein Sicherheits-Plugin mit einem guten Malware-Scanner und -Reiniger;
- Halten Sie alles auf dem neuesten Stand (Theme, Plugins, WP);
- Verwenden Sie tägliche Backups.
Abschluss
Brute-Force-Angriffe können eine Website lahmlegen, auch wenn sie nicht erfolgreich sind. Der beste Weg, dieser potenziellen Bedrohung zu begegnen, ist die Installation einer Firewall mit integriertem Bot-Schutz.
Selbst wenn ein Brute-Force-Angriff erfolgreich ist, hilft Ihnen die Firewall, Schadsoftware schnell zu erkennen und zu entfernen. Wie bei allen Infektionen kann schnelles Handeln den Schaden erheblich begrenzen.
Lesen dieses Artikels:
- Wie blockiere ich ein Land in WordPress?
- WordPress SQL-Injection: Eine vollständige Anleitung zum Schutz
Danke fürs Lesen: SEO HELPER | NICOLA.TOP
