Frisch notiert!
Die neusten Artikel aus unserem Blog.

Attacke gegen WordPress: Ist WordPress unsicher?

von Gino Cremer / Zuletzt aktualisiert am 18/08/2016 / Server & Technik / Wordpress / 5

Aktuell werden auf Millionen von WordPress-Websites so genannte Brute Force Attacken ausgeübt. Was es damit auf sich hat, wie man wieder ruhig schlafen kann und warum man mit ein paar Tipps auf der sicheren Seite sein wird und warum diese Attacken in der Öffentlichkeit ein vollkommen falsches Bild von WordPress abgeben, erfahren Sie in diesem Blogbeitrag.

loginPanik in der WordPress-Community! Millionen von WordPress-Blogs wurden mit einer recht simplen aber brachialen Methode Opfer einer so genannten Brute Force Attacke. Die Vorgehensweise ist simpel: Mittels gekaperter Rechner (tausende) werden unzählige Versuche getätigt sich in WordPress einzuloggen. In diesem Falle „droschen“ die Hacker auf den User „admin“ ein und versuchten unzählige Passwort-Kombinationen aus um sich Zutritt zu verschaffen. Die oftmals technisch nicht versierte Zielgruppe von WordPress macht es Hackern besonders einfach mittels dieser Brute-Force-Attacken und Wörterbuch-Software im Schlepptau Ihr WordPress zu knacken.

Sicher ist sicher: Kein User „Admin“ und sichere Kennwörter wählen!

no-adminDiese Attacke und der daraus resultierende „Erfolg“ zeigt eindeutig, wie sträflich die einfachsten Sicherheitsmaßnahmen seitens der Betreiber von WordPress-Blogs ignoriert werden. Dabei ist es ganz einfach: Zu Beginn der Installation muss man einen ersten Admin-Nutzer anlegen. Nennen Sie ihn einfach nicht „admin“! Hackern ist bekannt, dass solche Nutzernamen sehr geläufig sind und sind diese zudem gepaart mit einfach zu knackenden Passwort-Kombinationen wie „abc123“, ist das Unheil angerichtet!

Attacke gibt falsches Bild ab: WordPress ist nicht per se unsicher!

Die Attacke gibt in der Öffentlichkeit allerdings oftmals ein vollständig falsches Bild ab und könnte zu der Annahme führen, WordPress sei per se nicht sicher. Da WordPress eine enorme Popularität genießt, haben es die Schlagzeilen zu den aktuellen Übergriffen sogar in das ansonsten eher technik-unlastige Spiegel Online (SPON) geschafft.

Wo ein Mensch, da ein Fehler.

safeDass WordPress nicht sicher ist, entspricht allerdings nicht der Wahrheit und überfliegt man die Schlagzeile könnte man in der Tat davon ausgehen, dass die Software an sich gehackt worden sei. Natürlich handelt es sich bei WordPress um ein (zugegeben toll programmiertes) Stück Software, dennoch bleibt es Software. Und Software ist verwundbar. WordPress per se ist sicher. Nur der Faktor Mensch ist eine unerschöpfliche Fehlerquelle, die von potentiellen Angreifern immer wieder gern genutzt wird. Einfach zu knackende Kennwörter, vorhersehbare Ordnerstrukturen, keine regelmäßige Aktualisierung der Plugins, ein veralteter Systemkern. Tür und Tor. Offen für ungebetene Gäste und die Horrorvision eines jeden Seitenbetreibers.

Oft vernachlässigt: Plugins und WordPress aktualisieren

wordpress-updateEbenfalls sträflich vernachlässigt wird das Aktualisieren sowohl des technischen Unterbaus (WordPress Kernsystem) als auch der Plugins. Da zudem im Quellcode oftmals die genaue Version des installierten WordPress-Systems gelistet ist, wird es selbst für minder talentierte Hacker zum Kinderspiel Sicherheitslöcher in genau jenen Versionen ausfindig zu machen. „Script-Kiddies“ finden schicke Anleitungen binnen Minuten im Netz. Einzige Maßnahme: Updaten! Halten Sie Ihr WordPress aktuell.

Sie möchten Ihre WordPress-Installation sicherer machen?

Wie Sie Ihre WordPress-Website zudem effektiv und einfach schützen, erfahren Sie in unserem Blogbeitrag „10 Tipps zur Verbesserung der WordPress Security“.

 


Gino Cremer

Ich bin Geschäftsführer der auf Weblösungen spezialisierten Agentur Pixelbar aus dem belgischen Eupen.

Ich habe langjährige Erfahrung mit CMS-basierten Kundenprojekten, vornehmlich auf WordPress-Basis und bin ein Webdesigner der ersten Stunde.

Daneben arbeite ich auch als Dozent und Berater am WIFI Wien im Bereich Social Media und Webdesign.

Weitere Beiträge von gino anzeigen

5 Kommentare

  1. Der Artikel gefällt mir sehr gut! Fast keiner, den ich kenne, updated seine Plugins rechtzeitig und der Username ist immer admin. WP sollte in der Installationsanleitung mal erwähnen, dass ein anderer Username gewählt werden sollte. Admin ist alles andere als Sicher.

    LG

    • Hallo Boris. Danke! Ja, Hacker suchen sich bei WordPress natürlich der Einfachheit halber das schwächste Glied in der Kette aus: Den Benutzer. Warum auch versuchen eine Festung zu knacken, wenn der Wärter alle Türen offen lässt. Es ist leider erschreckend wie fahrlässig viele Benutzer vorgehen. Das ist teilweise nichtmal Unwissenheit. Man ignoriert bewusst die Gefahr: „Wen interessiert schon meine kleine Seite??“. Dabei kommt es auf die Größe ja gar nicht an. Bei WordPress kommt natürlich „erschwerend“ hinzu, dass es derart einfach zu installieren ist, dass kein Fachmann notwendig ist (zumindest für die Grundinstallation). Bei anderen meist komplexen und schwierig zu bedienenden CMS-lösungen muss ja schon ein Fachmann her um dem System überhaupt nur einen Piep zu entlocken. Bei manchen System hat man ja fast sogar den Eindruck es handle sich um Vorsatz, dass das System derart schwer zu bedienen ist, damit ja kein Laie auf die Idee kommt es zu nutzen. Das ist dann die Kehrseite der Usability-Medaille.

  2. Bachsau

    WordPress ist sehr wohl unsicher. z.B indem es noch immer Brute-Force-Attacken zulässt.

    Anstatt den Login nach einigen Fehlversuchen länger zu sperren, kann man es millionenfach probieren – WordPress sei dank.

Hinterlasse eine Antwort

Contact us!