Suche

Es ist erschreckend zu sehen, wieviele Webseiten kompromittiert werden. Ob es sich dabei um Statische Webinhalte handelt oder um Skripte, spielt dabei keine Rolle. Joomla ist bei den Content Management Systemen ein sehr beliebtes Opfer und ich habe in meiner Zeit bei einem Webhoster schon echt viel und regelmäßig zu sehen bekommen.

In letzter Zeit kommt es immer wieder dazu, dass WordPress Blogs kompromittiert werden. Bisher bin ich seit gut sechs Jahren davon verschont geblieben. Nicht zuletzt, weil ich darauf achte, dass die Version immer aktuell ist, ein sicheres Passwort genutzt wird und meine Rechner nahezu immer frei von Schadcode waren. Dies sind genau die drei häufigsten Ursachen für Veränderungen von Skripten.
Leider gibt es eine Lücke, welche WordPress selbst noch nicht geschlossen hat, nämlich der Login. Dass man den Standardbenutzernamen „admin“ nicht nutzen sollte, dürfte wohl auf der Hand liegen, denn somit hätte ein Angreifer schon mal 50% der Zugangsdaten im Sack. Darüber hinaus sollte in den Nutzereinstellungen der Name vom Benutzernamen abweichen. Somit wird der Login Name auch nicht unter jedem geschriebenem Beitrag dargestellt ;)

Und dann bleibt da noch das Passwort. Über ein sicheres Passwort streitet man sich, ähnlich wie über Geschmack. Ich persönlich bevorzuge Passwörter die mindestens acht Zeichen lang sind, aus Buchstaben (groß und klein), Ziffern und Sonderzeichen bestehen. Dabei sollte es sich im Idealfall um eine vollkommen zufällig erstellte Zeichenkette, wie z.B. D6klM$8b&rz handeln. Wenn man sich kein Passwort ausdenken möchte, kann man sich hier eines generieren lassen.
Prima sind auch Passwörter die einfach aus verschiedenen Worten zusammengeschrieben werden. Da solche Wörter in der Regel nicht in unserem Sprachgebrauch existieren sind diese nicht nur durch ihre Gesamtlänge ziemlich sicher, z.B. GarDineAuToSchuhLamPe

Häufig wird versucht sich das Passwort über sogenannte Schadsoftware anzueignen. Um sich davor zu schützen, ist es notwendig den eigenen Rechner sauber zu halten. Hierbei helfen Firewall, Portscanner und regelmäßige Antiviruskontrollen.

Wenn der Username jedoch bekannt ist, so können z.B. über Skripte Passwörter nach dem Try & Error erraten werden. Skripte gleichen hierbei einen umfangreichen Schatz an Passwörten und Wörtern ab. Hierbei handelt es sich um Bruteforce Angriffe.

Leider bietet WordPress von Haus aus keinen Schutz vor Bruteforce Angriffen und gerade momentan scheinen viele (Skripte) unterwegs zu sein. Ich habe durch die Installation eines Plugins meine Blogs vor solchen Hackerversuchen geschützt. Bei Limit Login Attempts handelt es sich um ein sehr einfach zu konfigurierendes Plugin. Es wird die maximale Anzahl der Fehlversuche festgelegt. Wird diese erreicht, wird die IP Adresse des Angreifers für einen definierten Zeitraum gesperrt. Auf Wunsch kann man sich über diese Anmeldeversuche per E-Mail informieren lassen. Das Plugin kann über das ControlPanel gefunden und installiert werden.

Sollte jemand mehrere WordPress Seiten verwalten, dürfen die Nutzernamen und Passwörter ruhig abweichend und wechselnd sein. Dies gilt natürlich nicht nur für das eigene Blog sondern für alle Seiten auf denen man sich registrieren kann.

Fazit: Es ist erschreckend wie leichtsinnig Passwörter vergeben und ein wenig kreativ darf man dabei schon sein. Ein zusätzlicher Schutz der eigenen Webseiten schadet in der Regel nie.