Haben Sie schon mal davon gehört, dass Diebe versuchen, in ein verschlossenes Haus einzubrechen, indem sie verschiedene Schlüssel ausprobieren? So ähnlich funktioniert ein Brute-Force-Angriff auf WordPress-Websites. Angreifer zielen auf Benutzer mit schwachen Administratorpasswörtern ab, um sich per Brute-Force-Angriff Zugang zu verschaffen. Falls Sie sich fragen, wie es dazu kam, erklären wir es Ihnen. Vor einigen Versionen verwendete WordPress standardmäßig den Benutzernamen „admin“. Angreifer nutzen diese Konten aus, indem sie verschiedene Passwörter mit demselben Benutzernamen ausprobieren und sich so Zugang zu allen Bereichen verschaffen, die ihnen Zugriff gewähren.
Wie lassen sich Brute-Force-Angriffe auf WordPress verhindern?
- Als ersten Schritt sollten Sie Ihren Benutzernamen ändern, falls Sie noch „admin“ verwenden, und stattdessen einen eindeutigeren wählen. Dadurch vermeiden Sie, dass Sie automatisch in die Liste der gefährdeten Personen fallen, die Angreifer im Visier haben. Dies ist auch die wirksamste Maßnahme, um sich vor diesem Angriff zu schützen.
- Verwenden Sie keine schwachen Passwörter! Sicher, „123456“ ist leicht zu merken, aber es erinnert auch an die Vorstellung, einem bekannten Dieb Ihre Hausschlüssel zu geben. Wenn Ihnen nichts Schwieriges einfällt, nutzen Sie Passwortgeneratoren, um ein starkes und schwer zu erratendes Passwort zu erstellen. WordPress erleichtert Ihnen außerdem die Überprüfung der Passwortstärke mit einer Anzeige, die beim Erstellen eines Passworts erscheint.
- Halten Sie Ihre WordPress- und Computersoftware auf dem neuesten Stand und aktivieren Sie die Zwei-Faktor-Authentifizierung, falls Sie WP.com nutzen. Dadurch werden Sie benachrichtigt, wenn ein Zugriffsversuch von einem anderen Gerät oder aus einer anderen Region erfolgt.
- Wenden Sie sich an Ihren Hosting-Anbieter, wenn Sie Schwierigkeiten beim Einloggen in Ihre Administrationsseiten haben und diese langsam reagieren. Er kann Ihnen sicher weiterhelfen.
- Verwenden Sie ein zusätzliches Tool oder ein Plugin, das die Anzahl der Anmeldeversuche begrenzt. Falls Ihre Website keine Anmeldung mehrerer Personen erfordert, können Sie sogar Plugins hinzufügen, die alle Zugriffsversuche (außer Ihren eigenen) auf wp-admin blockieren.
- Wenn Sie in der Vergangenheit bereits Opfer solcher Angriffe geworden sind und ein Muster bei den IP-Adressen oder Regionen, aus denen die Angriffe stammen, festgestellt haben, können Sie eine zusätzliche Schutzebene einrichten. Dies gelingt durch das Erstellen einer Sperrliste mit IP-Adressen, die versuchen, aus diesen Regionen auf Ihre Website zuzugreifen. Leider würden Sie dadurch auch einige legitime Nutzer aussperren, die Ihre Website besuchen möchten.
