Ver­mehr­te Angrif­fe auf Wor­d­Press und Joom­la Plattformen

WordPress

Das CMS Wor­d­Press und Joom­la sind heiß begehrt und wer­den oft benutzt. Auch wir basie­ren und ver­trau­en Wor­d­Press. Nichts­des­to­trotz gibt es immer wie­der Böse­wich­te, die dubio­se Angrif­fe star­ten und ver­su­chen, die­se zu übernehmen.

Aktu­ell beob­ach­tet man auf vie­len Ser­vern, dass spe­zi­el­le Bru­te-For­ce Atta­cken statt­fin­den, um so eine Sei­te zu über­neh­men. Dabei wird ver­sucht, sich mit gän­gi­gen Kom­bi­na­tio­nen aus Benut­zer­na­men und Pass­wör­tern in eine Sei­te einzuloggen.

Da der Stan­dard-Benut­zer­na­me bei Wor­d­Press immer ‘Admin’ lau­tet, brau­chen die Angrei­fer hier nur ver­schie­de­ne Kom­bi­na­tio­nen aus­pro­bie­ren. Soll­te man ein rela­tiv ‘ein­fa­ches’ Pass­wort gewählt haben, ist die Chan­ce sehr hoch, dass die Angrei­fer erfolg­reich sind und sich somit Zutritt verschaffen.

Dabei kann es unter Umstän­den auch vor­kom­men, dass der Ser­ver bei die­ser Metho­den stark belas­tet wird, was dar­aus folgt, dass es zu hohe Lade­zei­ten der Web­sei­te füh­ren kann.

Soll­te man Joom­la, zusam­men mit der Ver­si­on 1.x nut­zen, wird unbe­dingt emp­foh­len, zu updaten. Optio­nal auf die Ver­si­on 3.0 Denn auch hier wur­de oft fest­ge­stellt, dass sol­che Sei­ten dazu miss­brauch wur­den, um DDoS-Atta­cken durch­zu­füh­ren und uner­wünsch­ten Spam zu versenden.

Als ‘Otto Nor­mal­ver­brau­cher’ kennt man sich nicht unbe­dingt damit aus, um sol­che Angrif­fe und diver­se Sicher­heits­lü­cken zu schlie­ßen. Anbei geben wir euch zwei Tipps, um sowas grund­sätz­lich zu vermeiden.

Cap­t­cha Login:
Grund­sätz­lich kann man sowas in ers­ter Linie unter­bin­den, wenn man beim Log­in vor­her eine Rechen­auf­ga­be / Zei­chen­fol­ge lösen muss. Dazu emp­feh­len wir das Wor­d­Press Plugin Cap­t­cha Code und bei Joom­la Play­Thru Captcha.

Goog­le Authenticator:
Eine viel effek­ti­ve­re Lösung ist es, wenn man einen Log­in ver­schafft, der nicht nur einen Benut­zer­na­me und Pass­wort benö­tigt, son­dern auch einen Sicher­heits­code. Die­sen Code kann man sich dann mit­tels Smart­pho­ne und der pas­sen­den App anzei­gen / gene­rie­ren lassen.

Man ‘veri­fi­ziert’ sei­ne Web­sei­te mit dem eige­nen Goog­le Kon­to und rich­tet anschlie­ßend den Dienst ein. Für Wor­d­Press gibt es das Wor­d­press Goog­le Authen­ti­ca­tor Plugin und bei Joom­la gibt es die Datei­en hier als Download.

Sons­ti­ges:
Natür­lich gibt es noch vie­le ande­re Metho­den, aber wir beschrän­ken uns erst­mal auf die Ein­fachs­ten und Schnells­ten. Wer (rich­tig) Ahnung von der Mate­rie hat, dem muss ich das dann sowie­so nicht aus­führ­lich ken­nen, da es dann eigent­lich selbst­ver­ständ­lich sein soll, sei­ne eige­ne Web­sei­te zu schützen.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.