Hackerangriff Warum Sie Ihr Wordpress-Passwort ändern sollten

Hacker haben eine weltweite Angriffswelle gegen die Blog-Plattform Wordpress gestartet. Angeblich Zehntausende Blog-Konten wurden schon gekapert. Was die Einbrecher vorhaben, ist unbekannt. Dafür ist klar, wie man Schaden abwendet - mit einem sicheren Passwort.

Hackerangriff auf Wordpress (Symbolbild): Zehntausende Nutzer sollen betroffen sein
DPA

Hackerangriff auf Wordpress (Symbolbild): Zehntausende Nutzer sollen betroffen sein


Zehntausende Nutzer der Blog-Plattform Wordpress sind von einem Online-Angriff betroffen. Sie seien Opfer einer sogenannten Brute-Force-Attacke, meldet das kalifornische Sicherheitsunternehmen Sucuri. In den vergangenen Tagen habe sich die Anzahl der Angriffe gegen Wordpress-Kunden verdreifacht.

Auch der Webdienstleister CloudFlare meldete am Samstag, dass er innerhalb einer Stunde 60 Millionen vermutlich illegitime Zugriffsversuche auf Wordpress habe. Die seien Anzeichen einer großen Angriffswelle, organisiert durch ein sogenanntes Botnet.

Der leitende Entwickler bei Wordpress, Matthew Mullenweg, warnt in seinem Blog vor der Angriffswelle - und davor, der Aufregung der Sicherheitsfirmen zu folgen, die von einer möglichst drastischen Darstellung des Problems profitieren. Sein Tipp an Wordpress-Anwender: Wählen Sie jetzt ein neues, starkes Passwort und tragen Sie es unter Benutzer/Dein Profil/Neues Passwort ein. "Machen Sie das und Sie sind 99 Prozent der Websites da draußen einen Schritt voraus und werden wahrscheinlich nie ein Problem haben."

Noch untersuchen die Sicherheitsexperten den Vorgang und dessen Konsequenzen. Derzeit zeichnet sich folgendes Szenario ab: Ein oder mehrere Hacker haben ein Botnet mit etwa 100.000 gekaperten Rechnern gemietet und machen damit Jagd auf schlecht geschützte Wordpress-Blogs.

Was die Angreifer mit den geknackten Wordpress-Konten erreichen wollen, bleibt unklar. Sie könnten allerdings weitere Malware installieren, die bei der Verbreitung des Botnetzes hilft. Oder sie könnten Werbe-Spam oder Links zu illegitimen Netzangeboten in den betroffenen Blogs unterbringen, wie bei einem ähnlichen Angriff im Dezember vergangenen Jahres geschah.

Bei einer Brute- Force-Attacke gehen Angreifer nach und nach Anmeldename/Passwort-Kombinationen durch, bis sie durch Zufall die richtige Kombination finden. Das im aktuellen Fall genutzte Botnet hat dem Web-Dienstleister CloudFlare zufolge genug Rechenkraft, um stündlich zwei Milliarden Passwörter durchzuprobieren. Durch geschickte Auswahl der Versuchsworte kann eine hohe Erfolgsrate bei zeitlich überschaubarem Aufwand sichergestellt werden. So wählten die Angreifer einen festen Anmeldename ("admin") und versuchten, sich mit einem Verzeichnis der am weitesten verbreiteten Passworte Zugang zu verschaffen.

Diese Angriffsmethode ist erschreckend erfolgreich - und nur schwer einzudämmen, solange Nutzer nur unzureichend sichere Passwörter wählen. Immer wieder zeigen Analysen bekannt gewordener Passwort-Verzeichnisse, dass extrem viele Nutzer nur sehr schwache Passwörter wählen. Ein sehr hoher Prozentsatz der Passwörter hat die immer wieder gleichen Buchstaben- oder Zahlenkombinationen. Wer diese kennt (etwa: "12345" oder "iloveyou") kann sich nicht nur Zugriff auf geschützte Bereiche verschaffen, sondern muss auch keine Entdeckung fürchten, da kein massenhaftes Durchprobieren von Kombinationen nötig ist.

Der Schutz vor solchen Tricks ist simpel: sichere Passwörter, die so lang und komplex sind, dass sie sich nicht einfach erraten lassen. Sie müssen nicht einmal schwer zu merken sein. Wordpress zum Beispiel erlaubt Leerzeichen im Passwort - womit ganze Sätze oder Kombinationen von Namen als äußert schwer zu knackende Passwörter benutzt werden können. Zusätzlich kann mit "Zwei-Faktoren-Authentifizierung" ein weiterer Schutzwall gegen Hacker errichtet werden, indem ein Zugangsversuch zum Beispiel über eine zugesandte SMS verifiziert werden muss.

fkn



Forum - Diskutieren Sie über diesen Artikel
insgesamt 13 Beiträge
Alle Kommentare öffnen
Seite 1
Hmm 15.04.2013
1. admin user deaktivieren
Noch viel besser als ein sicheres Passwort: Einen neuen Admin Benutzer anlegen mit einem sicheren Passwort und den Standard Adminuser (admin) deaktivieren. 99.9% der Angriffe versuchen es mit dem Benutzernamen admin. Gibt es den nicht mehr, kann man sich beruhigt zurücklehnen. Zumindest was diese simplen "Angriffs"versuche betrifft.
fotograf-ffm 15.04.2013
2. admin
Es wäre schon hilfreich, wenn man seinen Usernamen ändern würde. Die meisten Anwender belassen den wohl bei "admin"....
regensommer 15.04.2013
3. Keine Angst vor Änderung
Das beste ist den Admin gänzlich zu löschen. Dieser wird automatisch bei der Wordpressinstallation vorgeschlagen. Zuerst einen weiteren Administrator !nicht Admin! anlegen. Ausloggen und mit dem neuen Administrator einloggen. Dann den Admin löschen. Hat der Admin Beiträge geschrieben, so fragt Wordpress wem die bisherig geschriebenen Artikel zugeschrieben werden sollen. Dann einfach den neuen Administrator auswählen. Besser wäre noch: Administrator und Artikelersteller zu trennen. Denn im Artikel erscheint ja oft der Artikelersteller was ein guter Hinweis für Hacker wäre. Demnach: • Neuen Administrator anlegen • Neuen Artikelschreiber (Autor) anlegen • ausloggen • mit neuen Administrator einloggen • Admin löschen • Artikel dem neuen Artikelschreiber (Autor) zuweisen. Eine Aktion die längstens 10 Minuten in Anspruch nimmt.
HBock 15.04.2013
4. Manchmal kommt es eben doch auf die Länge an
Man kann auch einfach zu merkende Passwörter wählen, so lange sie ausreichend lang sind. Besser einen einfachen Satz gemerkt (bei dem man dann auf 20-30 Zeichen kommt) als kryptiche Zeichen, die man viel zu schnell durcheinander bringt.
ChristophDernbach 15.04.2013
5. Limit Login Attempts
Sehr zu empfehlen ist das Plugin Limit Login Attempts: http://wordpress.org/extend/plugins/limit-login-attempts/ . Damit kann man wirkungsvoll Brute-force-Attacken unterbinden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.