Inhaltsverzeichnis
An die WordPress User: Checkt eure WordPress-Sicherheit!
Aktuell (Stand: 09.11.2014) beobachte ich vermehrt automatisierte Massen-Angriffe auf WordPress Installationen. Die so genannten Brute-Force-Attacken versuchen sich mit dem User „admin“ und diversen Standardpasswörtern im WordPress Backend einzuloggen, um dann bei Erfolg das CMS mit Schadcode zu verändern. Teilweise werden dann die WP-Installationen dann für weitere Brute-Force-Angriffe genutzt, teilweise werden Advertising-Elemente eingebunden. Wenn ein Hacker erst einmal Zugang zum Backend hat, dann kann er bei einer unzureichend geschützten Website theoretisch alles verändern.
Ich beobachte die Angriffe verstärkt am Wochenende und in regelmäßigen Abständen (siehe Screenshot links). Von diesen Mails bekomme ich pro Seite etliche! Betroffen sind, prozentual gesehen, ca. 40% unserer Kundenprojekte, welche aber schon vor geraumer Zeit entsprechend abgesichert wurden. Auch im Bekannten- und Freundeskreis höre ich gerade viel über Angriffe auf WordPress Installationen. Daraus schließe ich, dass diese Angriffe zur Zeit vermehrt vorkommen.
Warum gerade WordPress?
Ca. 60% aller Webseiten mit einem CMS laufen unter WordPress. 2014 existierten weltweit schon über 1 Milliarde Webseiten. Allein eine Milchmädchenrechnung zeigt, wie viele Seiten WordPress nutzen. Entsprechend attraktiv ist das natürlich für Hacker und Kriminelle. Dadurch das WordPress Lücken hat (im Core, PlugIns, Templates, Backend), die theoretisch bei jeder WP-Website zutreffen, ist die Chance, bei einem automatisierten Großangriff nicht gesicherte Webseiten zu erwischen relativ hoch.
Schützt Eurer WordPress!
Ich rate deshalb dringend jedem WordPress-Admin, seine Seite entsprechend zu schützen. Falls es Standard-Nutzernamen wie „admin“ gibt so löscht diese! Schützt unbedingt auch den Zugang zum WP-LogIn! Am besten serverseitig. Diese und noch ein paar andere Methoden habe ich erst kürzlich im Beitrag „WordPress sicher machen im Jahr 2014“ behandelt.
Weiterhin empfehle ich dringend, WordPress und WordPress-PlugIns zu aktualisieren. Das gilt vor allem für die User, die sich nur selten und unregelmäßig in ihrer Seite einloggen und diese nur sporadisch pflegen.
Ich weiß, dass so etwas besonders für Laien immer zeitaufwendig und nervig ist. Die o.g. Maßnahmen und die im genannten Beitrag sind jedoch relativ schnell und einfach durchgeführt.