Der Bruteforce-Login bei einem beliebten CMS wie WordPress ist ein Risiko. Es gibt zahlreiche Statistiken im Internet, die zeigen, dass WordPress einen Anteil von 20-25 % an allen CMS-Sites hat. Das ist also eine ganze Menge. WordPress ist einfach einzurichten, aber aufgrund dieser Beliebtheit ist die URL der Anmeldeseite auch als /wp-login.php bekannt. Und das ist es, was Spambots eifrig ausnutzen.

Bruteforce-Login: Der Modus Operandi der Spambots

Spambots versuchen, sich auf Ihrer Website einzuloggen (und das ist in der Regel reiner Zufall), um Nachrichten (oder Spam-Kommentare, darum geht es in diesem Artikel nicht) zu posten.

Wie kommen sie an Ihren WordPress-Anmeldenamen?

  • Standard-Benutzernamen wie admin, webmaster, WordPress, username usw..
  • Auslesen eines post_author in einem Beitrag
  • Eine Suche in WordPress (dies ist eine Standardfunktion, wird aber von uns auf unserer Plattform deaktiviert)
  • Hacks von Plugins oder z.B. Themes
  • „Wörterbuch“-Angriffe, d. h. das gesamte Wörterbuch (oder die Liste der Vornamen/Nachnamen von Personen) durchgehen
  • Raten, beginnen Sie mit a, dann aa, dann ab usw..

Wie kommen sie an Ihr WordPress-Passwort?

  • Verwenden Sie Listen mit häufig verwendeten Passwörtern wie password, password, 1234, admin, letmein usw..
  • Hacks auf Plugins oder z. B. Themes
  • „Wörterbuch“-Angriffe, d. h. das gesamte Wörterbuch (oder die Liste der Vornamen/Nachnamen von Personen) durchgehen
  • Raten, beginnen Sie mit a, dann aa, dann ab usw..

Was kann man selbst dagegen tun?

Behalten Sie im Auge, wer sich anmeldet, und sperren Sie ihn (vorübergehend), wenn es zu oft schief geht. Starke Benutzernamen und gute Passwörter.
Es gibt eine Reihe von Sicherheits-Plugins, die dies leisten können, zum Beispiel BruteProtect und Limit Login Attempts. Es gibt auch Plugins, die die wp-login.php umbenennen oder mit Cookies arbeiten können, um eine zusätzliche Sicherheitsebene zu schaffen.

Bruteforce-Anmeldung? Bruteprotect!

Einfach einzurichten, scheint aber sehr schlecht mit Speicherplatz (Transienten) umzugehen, was dazu führen kann, dass Ihre Website sehr langsam ist und sogar nicht geladen werden kann, da bei jeder Anfrage eine Menge Daten geladen werden, die den PHP-Speicher vollständig füllen.

Login-Versuche begrenzen

Einfach einzurichten, unterstützt auch den Remote-Proxy-Cache von Varnish. Obwohl das Plugin zum Zeitpunkt der Erstellung mehr als 3 Jahre alt ist (und nicht aktualisiert wurde), funktioniert es immer noch einwandfrei. Wir haben den Code überprüft, ist völlig in Ordnung. Unbedingt empfehlenswert!

Wählen Sie auch sicheres WordPress-Hosting

Bruteforce Login-Schutz. Was machen wir als Managed Service zusätzlich?

Wir haben IPS-Firewalling und WAF-Firewalling, so behalten wir schon einiges im Auge und blockieren Angreifer schon an der Tür.
Außerdem verwenden wir unter anderem Blacklists auf dem Anmeldebildschirm und blockieren die Suche nach Benutzernamen.
Und sobald Sie Kunde bei uns sind, haben wir bereits standardmäßig das Plugin Limit Login Attempts und WP Audit log eingerichtet, mit dem Sie sehen können, was auf Ihrer Website im Laufe der Zeit passiert.
Außerdem ist es nicht möglich, eine neue Website mit einem schwachen Benutzernamen zu erstellen. Wir schützen Sie sogar vor DDOS-Angriffen.

Möchten Sie mehr wissen? Sie können unsere Pakete hier finden.