Michael Baierl – WordPress-Profi aus Wien.

Hilfe, ich habe 100te Login-Versuche bei WordPress!

Zu viele Login-Versuche bei WordPress?
So oder so ähnlich lauten die E-Mails, die ich von verängstigen Kund*innen, Partnern und Lesern erhalte.

Die Login-Versuche häufen sich, WordFence oder Limit Login Attempts verschicken E-Mails mit abgewehrten Angriffen und die Verunsicherung steigt.

Nach dem ersten Schreck taucht die Frage auf, was sich gegen diese unerwünschten Login-Versuche tun lässt und ob sie wirklich gefährlich sind?

Inhalt

Wer greift dein WordPress an?

Die gute Nachricht – es sind keine Menschen, die sich an deinem WordPress-Backend anmelden wollen. Es sind automatisierte Bots.

Diese Skripte suchen im Internet nach WordPress-Installationen wie deiner und probieren dann automatisch verschiedene Kombinationen von Benutzernamen und Kennwörtern durch.

Daher ist es auch so wichtig, dass du ein langes, komplexes Kennwort verwendest und nicht ein einfaches wie „hallo“ (das meist benutzte Passwort der Deutschen!).

Findet einer dieser Bots jetzt eine gültige Kombination aus Benutzername und Kennwort, dann schickt er dieses an seinen Herrn und Meister, der sich dann in WordPress einloggt und die Website weiter infiltriert.

Warum wird die Website angegriffen?

Das passiert leider einfach deswegen, weil sie im Internet erreichbar ist. Es geht nicht primär um deine Website, die angegriffen wird, sondern einfach darum, dass es sich um eine Website mit WordPress handelt.

Kann sich ein Botnetz-Betreiber an einer fremden Website als Administrator anmelden, dann hat er die volle Kontrolle darüber. Der Hacker kann dann Plugins installieren, Dateien verändern und die Website komplett übernehmen.

Meistens wird deine gehackte Website dann für Spam missbraucht. Entweder, um Spam-E-Mails zu verschicken, oder um Werbung für dubiose Mittel zu machen. In den Google Suchergebnissen taucht unter deiner Domain dann eventuell Folgendes auf:

WordPress gehackt durch Login-Versuche: Google-Suchergebnisse mit Spam
Spam-Suchergebnisse auf Google

Wie gefährlich sind die Login-Versuche?

Setzt du (und alle weiteren User deiner WordPress-Website!) lange, komplexe und einmalige Kennwörter ein, dann sind die Login-Versuche gar nicht gefährlich.

Die Anzahl der Kennwörter in den Kennwort-Listen der Bots ist enden wollend, und ein echter Brute-Force-Angriff, bei dem alle möglichen Kennwort-Kombinationen durchprobiert werden, ist schlicht wirtschaftlich nicht sinnvoll. Ja, auch Botnetz-Betreiber rechnen wirtschaftlich und wollen möglichst einfach und günstig an ihr Ziel kommen.

7 Bausteine für dein Online-Business

Du träumst von deinem eigenen Online-Business, weißt aber nicht genau, wie du starten sollst? 

Hole dir gleich meinen Report über die
7 Bausteine für dein Online-Business –
für Newsletter-Abonnenten kostenlos.
Also jetzt anmelden!

Die Abmeldung vom Newsletter ist jederzeit möglich. Details in der Datenschutzerklärung.

Das Problem sehe ich eher bei den Benachrichtigungen, die von diversen WordPress-Firewall-Plugins wie Limit Login Attempts, WordFence & Co verschickt werden.

Login-Versuche bei WordPress: Vermeiden und abwehren
Fehlgeschlagene Anmeldeversuche, Angstmache von Limit Login Attempts

Diese haben meiner Meinung nach keinen Mehrwert, außer dass sie dich nervös machen. Schließlich bekommst du auch keine SMS, wenn jemand an deiner Wohnungstüre vorbeigeht. Und eine lange Liste von IP-Adressen, die sich ständig ändern, bringt dir gar nichts.

Für die Entwickler der angesprochenen Plugins sind die E-Mails sehr wohl sinnvoll – denn diese Plugins wollen dir so zeigen, dass sie sinnvoll sind und dich beschützen. Warum? Damit du anschließend die Premium-Variante kaufst. Angst funktioniert eben hervorragend im Marketing.

Mein Tipp: setze die folgenden Tipps um und drehe die Benachrichtigungen dann ab.

Das kannst du gegen die Login-Versuche tun

Gegen die Login-Versuche selbst kannst du gar nichts tun – genauso wenig, wie du verhindern kannst, dass jemand an deine Wohnungstüre läutet.

Was du aber tun kannst, ist sicher stellen, dass es bei einem Anklopfen bleibt und niemand durch die Türe geht :-)

Folgende Maßnahmen helfen dir, deine WordPress-Website gegen Hacker abzusichern:

  1. Stelle sicher, dass du keinen Benutzer mit dem Namen „admin“ hast. Dieser Benutzer wird am öftesten angegriffen.
  2. Installiere ein Plugin, das Brute-Force-Zugriffe verhindert und nur eine maximale Anzahl von Login-Versuchen erlaubt. Zum Beispiel Limit Login Attempts oder WordFence. Wichtig: konfiguriere das Plugin korrekt und deaktiviere die nutzlosen Benachrichtigungen!
  3. Verwende 2-Faktor-Authentifizierung für deine Administrator-Accounts (2FA). Du musst die Anmeldung an WordPress dann wie Überweisungen deiner Bank mit einem Einmalcode von deinem Handy (z.B. in 1Password) bestätigen. Kommt dein Kennwort wirklich abhanden, kann sich der Hacker damit nach wie vor nicht an WordPress anmelden!

Von Captcha-Plugins halte ich persönlich nicht viel, weil sie den Login-Prozess unkomfortabler machen und deine Website mit den oben genannten Punkten schon perfekt abgesichert ist.

WordPress Login abgesichert mit Captcha
WordPress Login abgesichert mit Captcha

2FA ist während dem Login gleich viel Aufwand, der Code ist aber nur für dich und deinen Benutzer gültig und gaukelt dir keine falsche Sicherheit vor, wie ein Captcha.

TL;DR: chill the base :-)

Setzt du die oben genannten ’best practices’ um, dann kannst du die Anmeldeversuch an WordPress gelassen sehen und die Benachrichtigungen von diversen Tools getrost deaktivieren.

Hast du einen weiteren Tipp für mich und meine Leser? Ich freue mich auf deinen Kommentar!

3 Antworten

  1. Lieber Michael, vielen Dank für diesen Beitrag! Bin schon viel relaxter, aber noch nicht ganz, eine Unsicherheit ist noch geblieben: Du schreibst, es handelt sich nicht um Menschen, sondern um automatisierte Bots, die die Seite angreifen. Trifft das auch zu, wenn mein Wordfence behauptet, es seien „Humans“, die hinter den Angriffen stehen? Und was soll ich davon halten, dass die manchmal (eh sehr selten) auch die korrekten Benutzernahmen erwischen, die ein Bot eigentlich unmöglich erraten kann?

    1. Liebe Madelaine,
      die Methode, mit der WordFence Menschen von Bots unterscheidet ist nicht korrekt – die meisten modernen Bots sind laut WordFence „Menschen“. Abgesehen davon: es ist doch egal, wenn jemand manuell 1000te Kennwörter durchprobieren will – die Sperre greift ja trotzdem.
      Und dein WordPress-Benutzername ist kein Geheimnis, sondern auf deiner Website (im Quellcode) ersichtlich – insofern unterscheidet das wieder nur „dumme“ von „schlauen“ Bots …
      lg Michael

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Projektanfrage

Wobei kann ich dich unterstützen?