Brute Force- und Wörterbuch-Angriffe auf WordPress Adminseiten

Brute Force- und Wörterbuch- Angriffe auf WordPress Administrationsseiten gehören zum Alltag des WordPress Admins. Wir beschäftigen uns hier mit der Frage, welches Interesse Cyberkriminelle an -vermeintlich- unwichtigen Websites haben könnten und warum die Beachtung grundlegender Sicherheitsregeln nicht nur für WordPress Administratoren und Autoren von Bedeutung ist.

WordPress ist das mit Abstand verbreitetste Content Management System im Internet. Auch mittelständische Unternehmen nutzen WordPress für ihre Websites.

Content Management Systeme generell und speziell WordPress sind für Cyberkriminelle attraktive Ziele:

  • Gekaperte Websites können dazu genutzt werden, Malware auf scheinbar unverdächtigen Websites zu verbreiten (Drive by Downloads, Einbindung in Botnets etc.)
  • Gekaperte Sites können den Einstieg in weitere Aktivitäten, beispielsweise in Unternehmensnetzwerke oder Mailaccounts von Administratoren erleichtern oder befördern
  • Gekaperte Sites können vollständig übernommen und das Unternehmen öffentlich kompromittiert werden.

Diese wenigen Beispiele für potentielle Angriffsmöglichkeiten zeigen, dass es prinzipiell keine unwichtigen Websites im Internet gibt.

Angriff auf den Administrator

Der erste User, der bei der Installation von WordPress auf dem Webspace angelegt wird, ist der Administrator mit umfangreichen Rechten, der die Implementierung von Themes und Plugins, das Anlegen weiterer Benutzer, deren Rechtevergabe, die Grundeinstellungen des Systems und anderes mehr beinhaltet. Adminrechte sind für jeden Cyberangreifer ein interessantes Ziel. Der Administrator, genauer sein Login-Name lässt sich für einen Angreifer leicht ermitteln:

https://www.ihre_domain.de/?author=1

zeigt in der URL, sofern nicht durch entsprechende Maßnahmen unterbunden, den ersten Autor und in der Regel auch Administrator an. Ersetzen Sie einfach ihre_domain.de durch ihre eigene URL. Mit dem Hinzufügen weiterer Ziffern können ggf. weitere angelegte Administratoren oder Autoren ermittelt werden.

Der eigentliche Angriff

läuft über eine Wörterbuch- oder Brute-Force-Attacke. In aller Regel bekommen Administratoren davon wenig mit, geschickterweise wird die Serverlast selten so hoch getrieben, dass der Angriff auffällt. Ohne zusätzliche Maßnahmen wird der durchschnittliche Administrator die Angriffe meistens übersehen. Die Angriffe erfolgen in fast allen Fällen automatisiert, es werden ständig wechselnde IP-Adressen verwendet, so dass IP-Sperren im Normalfall nur geringe Entlastung bringen können.

Mögliche Folgen eines erfolgreichen Angriffs

Ist der Cyberangreifer am Ziel, stehen im folgende Optionen offen:

  1. Er kann die Mailadresse des Administrators auslesen und er kennt das Passwort des Administrators für die Website. War der Administrator unvorsichtig genug, dieses Passwort auch für den Login in seinen Mailaccount oder in das Unternehmensnetzwerk zu nutzen, stehen dem Angreifer weitere Optionen sperrangelweit offen.
  2. Er kann auch ohne Kenntnis des Mailpassworts versuchen, die Mailadresse des Administrators für weitere Angriffe, beispielsweise für Spear-Phishing Angriffe missbrauchen.
  3. Er kann Malware einschleusen und die Website entweder zur Infizierung von Besuchern nutzen, Klickbetrugsprogramme implementieren oder aber den Service in ein Botnet für weitere Angriffe integrieren.
  4. Er kann versuchen, ausgehend vom gekaperten WordPress Account, weiteren Zugriff auf den Server, beispielsweise auf die MySQL-Datenbank, deren Zugangsdaten im Klartext auslesbar sind, zu nutzen um von hier aus eventuell sogar den kompletten Server zu kompromittieren.
  5. Er kann die Website selbst öffentlich kompromittieren und mit eigenen Inhalten übernehmen und das Unternehmen erpressen.

Sicher ist diese Aufstellung nicht vollständig. Klar sollte sein:

Gekaperte Websites sind immer ein Risiko für ein Unternehmen

Unternehmen und Behörden sind immer gut beraten, Ihre Websites abzusichern. Es gibt keine unwichtigen Websites, jede, egal ob stark oder schwach besucht, kann zum Ausgangspunkt für weitere kriminelle Aktivitäten werden.

Die wichtigste Regel im Absichern lautet:

Die Passwortrichtlinie

beachten. Ein starkes Passwort

  • besteht aus mindestens 12 Zeichen
  • mit mindestens einem Großbuchstaben, einer Zahl, einem Sonderzeichen
  • wird nur ein einziges Mal verwendet und
  • unter allen Umständen geheim gehalten.

Wenn schon der Username für den Login bei WordPress so leicht ermittelbar ist, dann stellt das Passwort ohne zusätzliche Maßnahmen den einzigen Schutz der Website dar.

Wie sicher ein Passwort ist, können Sie selbst berechnen, die Formel lautet:

Anzahl der Passwortkombinationen = (Anzahl möglicher Zeichen) hoch (Zeichenlänge)

Bei nur zwei möglichen Zeichen, also beispielsweise 0 und 1 und einer Zeichenlänge von 5 Zeichen ergibt sich ein Wert von

x=25=32

verschiedenen Möglichkeiten. Probiert man also 32 Kombinationen im Beispiel durch, ist man recht schnell am Ziel. Automatisierte Angriffe auf WordPress Accounts erreichen gut und gerne mehrere tausend Versuche pro Tag, das Passwort zu ermitteln. Oftmals, nachdem der Login-Name des Administrator zuvor mit der oben beschriebenen Methode analysiert wurde. Schwache Passwörter, vor allem solche aus Namen oder bekannten Begriffen werden unweigerlich in kurzer Zeit kompromittiert.

Lassen Sie sich auch von hohen Zahlen bei der Berechnung von Optionen nicht täuschen, gelingt es einem Angreifer eine Datenbank mit gehashten Passwörtern zu erbeuten, sind Brute Force Angriffe mit tausend Versuchen pro Sekunde durchaus möglich. Je komplexer also das Passwort und je länger, um so besser.

Verschlüsselte Container oder ein Passwortmanager erleichtern die Verwaltung sicherer Passwörter.

Angebot:
In unserem zweitägigen Intensivseminar “Awareness im Unternehmen – Auf die Mitarbeiter kommt es an” schulen wir Mitarbeiterinnen und Mitarbeiter mit praktischen Übungen und einem Theorieteil, wie Angriffe von Cyberkriminellen erkannt und abgewehrt werden können. Details zu unserem Praxisseminar finden Sie auf dieser Seite.

WordPress absichern

Die wichtigste Maßnahme, Ihren WordPress Account (und natürlich auch andere CMS, Shops und sonstige Zugänge) abzusichern, ist ein ausreichend langes und komplexes Passwort das Wörterbuch- und Brute-Force-Angriffen Widerstand leistet. IT-affinen Administratoren bieten sich weitere Möglichkeiten, die hier gelisteten Optionen bieten sich auch Administratoren, die WordPress ohne zusätzliche Programmier- und Administrationskenntnisse einrichten und verwalten.

Nützliche Plugins

Zwei Plugins, die auch vom Laien einfach einzurichten sind, sollen an dieser Stelle empfohlen sein:

Edit Author Slug und Limit Login Attempts Reloaded.

Limit Login Attempts Reloaded:

Das Plugin kann direkt entweder über die offizielle WordPress Website unter wordpress.org oder aber über die Installationsfunktion der WordPress Website bezogen werden. Von einer Installation über andere, als die offiziellen Quellen wird abgeraten. Das Plugin kommt in einer kostenfreien Basisversion und einer kostenpflichtigen Premiumversion, die zusätzliche Möglichkeiten bietet.

Die Basisversion läuft auf dem eigenen Webspace und verbraucht natürlich die eigenen Serverressourcen. Auf einem einigermaßen gut ausgestatteten Webserver sollte sich die zusätzliche Last jedoch kaum bemerkbar machen. Nach dem Installieren entscheiden sie über die Einstellungen, wie weitreichend die Limits reichen sollen. Fehlgeschlagene Einwahlversuche von einer IP-Adresse können für einen frei wählbaren Zeitraum gesperrt werden. Eine restriktive Sperre wäre, bereits den 2. falschen Einwahlversuch von einer IP-Adresse ausgehend für 30 Minuten zu sperren. Wie Sie auf der Protokollseite des Plugins sehen können, kommen schnell mehrere tausend temporär gesperrte IP-Adressen zusammen. Der Zeitraum sollte allerdings nicht so hoch gewählt werden, dass die gesperrten IP-Adressen, die ja zu einem späteren Zeitpunkt auch durch echte Besucher kommen können, ebenfalls ausgesperrt bleiben.

Mit Limit Login Attempts Reloaded können Sie Wörterbuch- und Brute-Force-Angriffe zwar nicht verhindern, aber die Möglichkeiten der Angreifer zumindest beschränken.

Edit Author Slug:

Wie schon gezeigt, kann ein Angreifer mit einer einfachen URL-Erweiterung problemfrei den Usernamen des Administrators und ggf. weiterer User ermitteln. Eine Möglichkeit, den Autor-/Administratornamen zu maskieren, bietet das Plugin Edit Author Slug. Zur Absicherung eines WordPress Accounts sind folgende Schritte empfehlenswert:

  • Installation des Plugins aus der offiziellen WordPress Quelle
  • Anlegen eines zweiten Administrators und ggf. weiterer Autoren, da alle ursprünglichen Namen als kompromittiert gelten müssen
  • Maskieren der neu angelegten Namen mit anderen Namen als den eigentlich verwendeten.
  • Löschen der kompromittierten Accounts

Je komplexer der neue Adminname oder Autorenname gewählt wird, um so besser. Der maskierte und für den Angreifer ermittelbare, falsche Name kann gerne einfach sein.

Weitere mögliche Maßnahmen: Absichern der Administrationsseite durch 2-Faktor-Authentifizierung oder Mehr-Faktor-Authentifizierung.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.