Deswegen gilt es Usernamen und Passwörter für WordPress zu schützen

Sicherheit & Privatsphäre, Tipps & Tricks 

WordPress ist eine vielfach genutzte freie Web-Anwendung zur Verwaltung der Inhalte einer Website. Wer eine auf WordPress basierende Website betreibt, sollte wissen, dass Kriminelle auf der ganzen Welt darüber gerne ihre Malware verbreiten.

Im vergangenen Monat identifizierte F-Secure Labs „Flash-Redirector“-Code, der automatisch Besucher auf eine Website umleitet, um sie mit Malware zu infizieren, in diesem Fall mit dem Exploit-Kit Angler. Die Quellen waren kompromittierte Websites, speziell WordPress-Websites. Diese Entdeckung war nichts Neues für die Sicherheitsexperten von F-Secure Labs. Das Besondere war eine der Taktiken dieses Angriffs: die Suche nach WordPress-Usernamen.

Warum? Das erklärt Patricia von F-Secure Labs:

Nachdem er sich den Usernamen besorgt hatte, musste der Angreifer nur noch das Passwort herausfinden. Das vom Angreifer verwendete Tool probierte etwa 1.200 Passwörter aus, bevor es in der Lage war, sich erfolgreich anzumelden.

Wer nun zufällig eines jener Passwörter nutzt, den erwischt es. Die eigene Website verbreitet dann Malware, was nicht nur schädlich für die Besucher ist, sondern auch jede Menge Traffic kostet, wenn Google die Website von der Liste nimmt.

Server und Plugins auf dem neuesten Stand zu halten ist daher von wesentlicher Bedeutung, um die meisten Angriffe zu vermeiden. Darüber hinaus verdeutlicht dieser Angriff die Notwendigkeit, sowohl den WordPress-Usernamen zu schützen als auch möglichst einzigartige, sichere Passwörter zu verwenden.

Um diese Art von WordPress-Angriff zu verhindern, sollten Sie darüber hinaus nicht den WordPress-Admin-Account nutzen, um etwas zu veröffentlichen.

Zudem können Sie Ihre Server vor Enumeration-Angriffen, die die Usernamen Ihrer Blogger erfassen, schützen. Mehr dazu erfahren Sie in den News des F-Secure Labs Blog.

Es ist schon erstaunlich, was fremde Menschen über Sie herausfinden können, nur anhand Ihres Usernamens und Passworts. Wenn Sie eine Website betreiben und damit einen Teil oder Ihre gesamte Lebensgrundlage bestreiten, sollten Sie jetzt handeln. Der einzige Weg, um Kriminelle fernzuhalten, ist, dafür zu sorgen, dass Ihr Passwort nicht herausgefunden werden kann. Und falls Sie es noch nicht tun: Setzen Sie Zwei-Schritt-Authentifizierung ein.

Schlagwörter

Diesen Beitrag bewerten

0 Bewertungen

2 Kommentare

Weitere Maßnahmen um das Login zu schützen wären:

Mit dem Plugin Limit Login Attempts kann sehr einfach die Anzahl der Loginversuche begrenzt werden.

Wem dies nicht ausreicht, der kann die Zugriffe auf die wp-login.php auf eine bestimmte IP-Adresse oder -Adressbereich begrenzen. Der folgende Code muss dazu in die .htaccess eingefügt werden.

Order deny,allow
Deny from all
Allow from 12.34.56.78

Gefällt mir

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen