Vermehrte Angriffe auf WordPress und Joomla Plattformen

WordPress

Das CMS WordPress und Joomla sind heiß begehrt und werden oft benutzt. Auch wir basieren und vertrauen WordPress. Nichtsdestotrotz gibt es immer wieder Bösewichte, die dubiose Angriffe starten und versuchen, diese zu übernehmen.

Aktuell beobachtet man auf vielen Servern, dass spezielle Brute-Force Attacken stattfinden, um so eine Seite zu übernehmen. Dabei wird versucht, sich mit gängigen Kombinationen aus Benutzernamen und Passwörtern in eine Seite einzuloggen.


Da der Standard-Benutzername bei WordPress immer ‚Admin‘ lautet, brauchen die Angreifer hier nur verschiedene Kombinationen ausprobieren. Sollte man ein relativ ‚einfaches‘ Passwort gewählt haben, ist die Chance sehr hoch, dass die Angreifer erfolgreich sind und sich somit Zutritt verschaffen.

Dabei kann es unter Umständen auch vorkommen, dass der Server bei dieser Methoden stark belastet wird, was daraus folgt, dass es zu hohe Ladezeiten der Webseite führen kann.


Sollte man Joomla, zusammen mit der Version 1.x nutzen, wird unbedingt empfohlen, zu updaten. Optional auf die Version 3.0 Denn auch hier wurde oft festgestellt, dass solche Seiten dazu missbrauch wurden, um DDoS-Attacken durchzuführen und unerwünschten Spam zu versenden.

Als ‚Otto Normalverbraucher‘ kennt man sich nicht unbedingt damit aus, um solche Angriffe und diverse Sicherheitslücken zu schließen. Anbei geben wir euch zwei Tipps, um sowas grundsätzlich zu vermeiden.


Captcha Login:
Grundsätzlich kann man sowas in erster Linie unterbinden, wenn man beim Login vorher eine Rechenaufgabe / Zeichenfolge lösen muss. Dazu empfehlen wir das WordPress Plugin Captcha Code und bei Joomla PlayThru Captcha.

Google Authenticator:
Eine viel effektivere Lösung ist es, wenn man einen Login verschafft, der nicht nur einen Benutzername und Passwort benötigt, sondern auch einen Sicherheitscode. Diesen Code kann man sich dann mittels Smartphone und der passenden App anzeigen / generieren lassen.

Man ‚verifiziert‘ seine Webseite mit dem eigenen Google Konto und richtet anschließend den Dienst ein. Für WordPress gibt es das Wordpress Google Authenticator Plugin und bei Joomla gibt es die Dateien hier als Download.

Sonstiges:
Natürlich gibt es noch viele andere Methoden, aber wir beschränken uns erstmal auf die Einfachsten und Schnellsten. Wer (richtig) Ahnung von der Materie hat, dem muss ich das dann sowieso nicht ausführlich kennen, da es dann eigentlich selbstverständlich sein soll, seine eigene Webseite zu schützen.