Wer greift dein WordPress an?
Die gute Nachricht – es sind keine Menschen, die sich an deinem WordPress-Backend anmelden wollen. Es sind automatisierte Bots.
Diese Skripte suchen im Internet nach WordPress-Installationen wie deiner und probieren dann automatisch verschiedene Kombinationen von Benutzernamen und Kennwörtern durch.
Daher ist es auch so wichtig, dass du ein langes, komplexes Kennwort verwendest und nicht ein einfaches wie „passwort123“ oder „hallo“ (das meist benutzte Passwort der Deutschen!).
Findet einer dieser Bots eine gültige Kombination aus Benutzername und Kennwort, dann schickt er dieses an seinen Herrn und Meister, der sich dann in WordPress einloggt und deine Website weiter infiltriert.
Warum wird die Website angegriffen?
Das passiert leider einfach deswegen, weil sie im Internet erreichbar ist. Es geht nicht primär um deine Website, die angegriffen wird, sondern einfach darum, dass es sich um eine Website mit WordPress handelt.
Kann sich ein Botnetz-Betreiber an einer fremden Website als Administrator anmelden, dann hat er die volle Kontrolle darüber. Der Hacker kann dann Plugins installieren, Dateien verändern und die Website komplett übernehmen.
Meistens wird deine gehackte Website dann für Spam missbraucht. Entweder, um Spam-E-Mails zu verschicken, oder um Werbung für dubiose Mittel zu machen. In den Google Suchergebnissen taucht unter deiner Domain dann eventuell Folgendes auf:
Wie gefährlich sind die Login-Versuche?
Setzt du (und alle weiteren User deiner WordPress-Website!) lange, komplexe und einmalige Kennwörter ein, dann sind die Login-Versuche nicht gefährlich.
Die Anzahl der Kennwörter in den Kennwort-Listen der Bots ist enden wollend, und ein echter Brute-Force-Angriff, bei dem alle möglichen Kennwort-Kombinationen durchprobiert werden, ist schlicht wirtschaftlich nicht sinnvoll. Ja, auch Botnetz-Betreiber rechnen wirtschaftlich und wollen möglichst einfach und günstig an ihr Ziel kommen.
Wasserdichte Angebote schreiben in nur 10 Minuten?
Hol dir die ultimative Angebotsvorlage für Webdesigner, Web-Programmierer und Online-Marketer.
Das Problem sehe ich eher bei den Benachrichtigungen, die von diversen WordPress-Firewall-Plugins wie Limit Login Attempts, WordFence & Co verschickt werden.
Diese haben meiner Meinung nach keinen Mehrwert, außer dass sie dich nervös machen. Schließlich bekommst du auch keine SMS, wenn jemand an deiner Wohnungstüre vorbeigeht. Und eine lange Liste von IP-Adressen, die sich ständig ändern, bringt dir gar nichts.
Für die Entwickler der angesprochenen Plugins sind die E-Mails sehr wohl sinnvoll – denn diese Plugins wollen dir so zeigen, dass sie sinnvoll sind und dich beschützen. Warum? Damit du anschließend die Premium-Variante kaufst. Angst funktioniert eben hervorragend im Marketing.
Mein Tipp: setze die folgenden Tipps um und deaktiviere die Benachrichtigungen anschießend.
Das kannst du gegen die Login-Versuche tun
Gegen die Login-Versuche selbst kannst du gar nichts tun – genauso wenig, wie du verhindern kannst, dass jemand an deine Wohnungstüre läutet.
Was du aber tun kannst, ist sicher stellen, dass es bei einem Anklopfen bleibt und niemand durch die Türe geht :-)
Folgende Maßnahmen helfen dir, deine WordPress-Website gegen Hacker abzusichern:
- Stelle sicher, dass du keinen Benutzer mit dem Namen „admin“ hast. Dieser Benutzer wird am öftesten angegriffen.
- Installiere ein Plugin, das Brute-Force-Zugriffe verhindert und nur eine maximale Anzahl von Login-Versuchen erlaubt. Zum Beispiel Limit Login Attempts oder WordFence. Wichtig: konfiguriere das Plugin korrekt und deaktiviere die nutzlosen Benachrichtigungen!
- Verwende 2-Faktor-Authentifizierung für deine Administrator-Accounts (2FA). Du musst die Anmeldung an WordPress dann wie Überweisungen deiner Bank mit einem Einmalcode von deinem Handy (z.B. in 1Password) bestätigen. Kommt dein Kennwort wirklich abhanden, kann sich der Hacker damit nach wie vor nicht an WordPress anmelden!
Von Captcha-Plugins halte ich persönlich nicht viel, weil sie den Login-Prozess unkomfortabler machen und deine Website mit den oben genannten Punkten schon perfekt abgesichert ist.
2FA ist während dem Login gleich viel Aufwand, der Code ist aber nur für dich und deinen Benutzer gültig und gaukelt dir keine falsche Sicherheit vor, wie ein Captcha.
TL;DR: chill the base :-)
Setzt du die oben genannten ’best practices’ um, dann kannst du die Anmeldeversuch an WordPress gelassen sehen und die Benachrichtigungen von diversen Tools getrost deaktivieren.
Setzt du als Website Hero meine WordPress-Installation ein, dann bekommst du auch schon eine perfekt konfigurierte Firewall für WordPress mit dazu. Mehr Info zum perfekten WordPress-Setup.
Hast du einen weiteren Tipp für mich und meine Leser? Ich freue mich auf deinen Kommentar!
Michael
PS: Was tust du im umgekehrten Fall – wenn du dich nicht mehr an WordPress anmelden kannst? Hier findest du die Anleitung, wie du dich selbst in dein WordPress (oder das deiner Kunden) hineinhacken kannst.
18 Antworten
Lieber Michael, vielen Dank für diesen Beitrag! Bin schon viel relaxter, aber noch nicht ganz, eine Unsicherheit ist noch geblieben: Du schreibst, es handelt sich nicht um Menschen, sondern um automatisierte Bots, die die Seite angreifen. Trifft das auch zu, wenn mein Wordfence behauptet, es seien „Humans“, die hinter den Angriffen stehen? Und was soll ich davon halten, dass die manchmal (eh sehr selten) auch die korrekten Benutzernahmen erwischen, die ein Bot eigentlich unmöglich erraten kann?
Liebe Madelaine,
die Methode, mit der WordFence Menschen von Bots unterscheidet ist nicht korrekt – die meisten modernen Bots sind laut WordFence „Menschen“. Abgesehen davon: es ist doch egal, wenn jemand manuell 1000te Kennwörter durchprobieren will – die Sperre greift ja trotzdem.
Und dein WordPress-Benutzername ist kein Geheimnis, sondern auf deiner Website (im Quellcode) ersichtlich – insofern unterscheidet das wieder nur „dumme“ von „schlauen“ Bots …
lg Michael
Großartig, genau was ich hören wollte. Merci beaucoup!
Hallo Michael,
danke für Deine Einschätzung, dass die Plugin-Entwickler hier gerne Angst verbreiten möchten. Das Gefühl hatte ich auch immer. Muss aber mal gesagt werden.
Ich hatte mal nach steigenden Angriffen ein Captcha eingerichtet. Hatte gar nichts gebracht. Die Anmeldeversuche gingen weiter nach oben. Nach einem Blick in die Recaptcha Verwaltung bei Google war mir aufgefallen, dass kaum Captchas abgerufen wurden. Das Problem war tatsächlich, dass die Bots gar nicht versucht hatten über den normalen Login zu gehen, sondern über die XML-RPC Schnittstelle. Nachdem ich die deaktiviert hatte sind die Anmeldeversuche von über 200 am Tag auf Null runter.
Grüße
Mihael
Lieber Mihael,
das ist ein guter Hinweis, danke!
Aber auch bei 200 Versuchen pro Tag dauert es mehrere Jahrhunderte, bis ein langes, eindeutiges Kennwort erraten ist … insofern steht und fällt die Sicherheit von WordPress mit der Verwendung eins sicheren Passworts.
Liebe Grüße, Michael
Ich habe täglich um die 300000 Fehlgeschlagene Anmeldeversuche nach Land.
China, USA, Indien, Deutschland, Singapur sind führend. Das erscheint mir schon bedenklich
Lieber Georg,
das ist recht viel, bei großen Websites aber nicht unüblich. Mit einem guten, langen Kennwort und einer guten Firewall ist das aber kein Problem.
lg Michael
Hilfreicher Post! Vielen lieben Dank.
Sehr gerne!
Vielen Dank. Woher kennen die Bots die genauen Nutzernamen von mir und einem weiteren Admin? Kann man die irgendwo auslesen?
Besten Dank, Peter
Hallo Peter,
ja, standardmäßig sind diese via API unter deine-domain.com/wp-json/wp/v2/users abrufbar.
Lässt sich mit folgendem Eintrag in der .htaccess-Datei stoppen:
RewriteEngine On
RewriteRule ^wp-json/wp/v2/users - [L,F]
lg Michael
Danke für diesen herzerfrischenden und sehr informativen Artikel! Ich habe nämlich (mal wieder) seit Tagen Hunderte von Login-Mitteilungen.
Nun gehe ich beruhigt schlafen.
Renate
Super, freut mich, wenn du beruhigt schlafen kannst :-)
Hallo Michael,
nachdem ich heute morgen als zuerst die Mail bekam, dass es in einem kurzen Zeitraum über 100 Login-Versuche auf meine Website kam, habe ich erstmal recherchiert und bin glücklicherweise auf Deinen beruhigenden und gut geschriebenen Beitrag gestossen. Vielen Dank dafür!
Liebe Grüße
Sebastian
Sehr gerne – mit einem starken, eindeutigen Kennwort sowie einem sauberen, cleanen WordPress-Setup ist das kein Grund zur Sorge.
Das ist nur Grundrauschen im Internet.
Hi Michael,
im Grund sehe ich das auch genauso wie du Michael.
Es wird ja nur protokolliert ob jemand ausgesperrt wurde und nicht einmal, ob es jemand geschafft hat.
Somit völlig nutzlos diese Funktion.
Aber es ist und bleibt ein sehr gutes Tool.
Danke aber für diesen guten Beitrag.
Wir betreiben einen kleinen WP Blog, der nur für eine kleine lokale Gruppe von Interesse ist. Seit drei Wochen gibt es vermehrt Abonennten-Anmeldungen, aber mit nicht existenten Emailadressen, d.h. wir bekommen viele Fehlermeldungen wegen nicht zustellbarer Mails. Was steckt dahinter. Welchen Vorteil erhoffen sich die Anmelder?
Hi,
das kenne ich leider – und habe auch keine Antwort darauf, was sich die Spammer dadurch erhoffen. Das gehört leider zum „Grundrauschen des Internets“ – ignorieren, blocken, filtern…
lg Michael