WordPress Sicherheit
6 effektive Mittel für WordPress-Seiten gegen Bruteforce-Angriffe
Vorwort
Angreifer könnnen sich mit Hilfe von Bruteforce Zugang zu Ihrer Webseite verschaffen, indem innerhalb von kurzer Zeit systematisch unterschiedliche Eingaben in Ihrer Login-Maske, oder auch XML-RPC bei WordPress, durchprobiert werden. Diese Art von Angriff ist einfach durchzuführen und funktioniert automatisiert.
1. Verwenden Sie starke Passwörter
Das Wichtigste zu Beginn: Starke Passwörter. Viel zu oft werden Passwörter verwendet, welche sich sehr leicht merken lassen. Das Problem hierbei ist jedoch, dass diese Passwörter nicht komplex genug sind, um Sie vor einem Bruteforce-Angriff zu schützen.
Ein Passwort bestehend aus 7 Buchstaben (Groß- und Kleinschreibung) lässt sich in Rund 6 Minuten knacken, fügt man eine Zahl hinzu sind es bereits 60 Minuten. Ergänzen wir noch ein Sonderzeichen, wie „+“ oder „%“, sind es bereits 10 Stunden!
Verwenden Sie einen Passwortmanager (Achtung: Nicht der Ihres Browsers!) und schalten Sie die Autofill-Funktion nur ein, wenn dies durch ein Masterpasswort geschützt werden kann. Für das Masterpasswort gelten natürlich die selben Regeln eines starken Passworts.
Weitere Informationen:
https://passwordsgenerator.net/
https://bitwarden.com/password-strength/
2. Deaktivieren Sie die Enumeration von Benutzerkonten
WordPress hat eine bekannte Sicherheitslücke im Zusammenhang mit der Autorenfunktion. Bei einer WordPress-Installation mit aktivierter „User-Enumeration“ kann der Benutzername des Adminkontos ausgelesen werden, und zwar indem folgender Befehl an die Domain der Webseite angefügt wird:
https://domain-der-wordpress-webseite.de/?author=1
Dies öffnet eine Seite, welche den öffentlichen Namen des Kontos ausgibt, meist ist dies der Login-Name, sofern dies nicht vom Webseitenbetreiber geändert wird. Somit haben potenzielle Angreifer bereits den Benutzernamen und können mithilfe einer „Wortliste-Datei“ einen Brute-Force-Angriff auf Ihre Webseite durchführen.
Es empfiehlt sich daher diese Funktion zu deaktivieren, am einfachsten funktioniert dies mit einem Sicherheit-Plugin. Sofern Sie jedoch einen Blog betreiben und es Ihnen wichtig ist, dass die Autoren aufrufbar sind, sollten Sie zumindest den öffentlichen Namen Ihrer Konten auf einen Spitznamen ändern.
3. Begrenzen Sie die Anmeldeversuche
Verwenden Sie Sicherheitstools, um die Anmeldeversuche auf eine gewisse Anzahl, wie z.B. 5 Versuche, zu limitieren. Dies erschwert in Kombination mit einem starken Passwort einen Brute-Force-Angriff enorm.
4. Aktivieren Sie eine 2FA-Authentifizierung
Sie sollten ebenfalls eine 2FA-Authentifizierung aktivieren. 2FA steht für Zwei Faktor, das heißt der erste Faktor ist Ihr Benutzername und Passwort und der zweite Faktor ein Code, meist bestehend aus Zahlen, welcher durch eine Authentifizerungs-App generiert wird.
Beachten Sie jedoch, dass Sie unbedingt die Backup-Codes, welche generiert werden wenn Sie 2FA aktivieren, abspeichern müssen, da Sie sonst keinen Zugang mehr zu Ihrer Seite haben werden, sollte das Gerät mit der 2FA-App verloren gehen oder nicht mehr funktionieren.
5. Verwenden Sie eine Firewall
Eine Firewall in WordPress überwacht die Aktionen, die auf Ihrer Webseite getätigt werden und prüft, ob diese ein Sicherheitsrisiko darstellen. Dies kann Sie vor gewissen Attacken, wie XSS (Cross-Site-Scripting) schützen.
6. Deaktivieren Sie die XML-RPC-Funktionalität
Diese Funktion ermöglicht es Benutzern, Inhalte auf Websites, auf denen WordPress-Software läuft, aus der Ferne zu bearbeiten, ohne sich zuvor mit ihren eigenen Anmeldedaten bei diesen Websites angemeldet zu haben. Das Problem mit XML-RPC ist es, dass diese Funktion meist vergessen wird, wenn Webseitenbetreiber Ihre Webseite vor Brute-Force-Angriffen schützen. Wir empfehlen Ihnen, diese Funktion vollständig zu deaktivieren, sofern Sie diese nicht zwingend benötigen. Sollten Sie die Funktion jedoch benötigen, sollten Sie die oben genannten Limitierung von Anmeldeversuchen ebenfalls auf die XML-RPC-Funktionalität anwenden sowie zumindest die „Pingback-Funtion“ von XML-RPC deaktivieren.
Sie möchten dies lieber einem Experten überlassen? Wir haben jahrelange Erfahrung mit WordPress sowie WordPress-Sicherheit und stehen Ihnen gerne zur Verfügung!
Angreifer könnnen sich mit Hilfe von „Bruteforce“ Zugang zu Ihrer Webseite verschaffen, indem innerhalb von kurzer Zeit systematisch unterschiedliche Eingaben in Ihrer Login-Maske, oder auch XML-RPC bei WordPress, durchprobiert werden. Diese Art von Angriff ist einfach durchzuführen und funktioniert automatisiert. Dennoch ist es möglich, sich vor einem Brute-Force-Angriff zu schützen – besonders bei der Sicherheit von WordPress.
