In den vergangenen Tagen häufen sich die Meldungen auf diversen Blogs und Online-Repräsentanzen bekannter Computer-Magazine wie heise.de, dass derzeit vermehrt Angriffe (Botnetz-Attacken) auf Websites stattfinden, die auf WordPress oder Joomla basieren.
Manche Hoster und Webspace-Provider agieren präventiv, und infomieren ihre Kunden über diesen Umstand. Die guten Anbieter liefern auch gleich Links zu Hintergrund-Informationen mit. Und die ganz guten Provider geben auch noch Tipps dazu was man tun soll, um sich gegen diese Attacken so gut es geht abzusichern.
Für alle, deren Provider nicht zu den ganz guten gehört, haben wir diesen Artikel verfasst. Hier nun also ein paar grundlegende Informationen und Sicherheits-Tipps dazu.
Um was für Angriffe bzw. Attacken handelt es sich?
Bei den WordPress-basierenden Webseiten bzw. Blogs werden automatische Brute-Force Attacken gegen den WordPress-Login gefahren, mit dem Ziel den WordPress-Blog zu übernehmen.
Bei einer Brute-Force Attacke wird probiert, sich mit gängigen Kombinationen aus Benutzernamen und Passwörtern in eine Seite einzuloggen. Da der Standard-Benutzername bei WordPress-Installationen immer “admin” lautet, brauchen die Angreifer hier nur verschiedene Passwortkombinationen ausprobieren. Sollte ein verhältnismäßig einfaches Passwort für den WordPress-Login gewählt worden sein, ist die Chance relativ hoch, dass die Angreifer erfolgreich sind.
Des weiteren erzeugen die Angriffe eine hohe Systemlast auf den Shared-Hosting Servern der Provider, wodurch es zu verzögerten Antwortzeiten kommen kann.
Bei Webseiten die mit Joomla erstellt wurden kommt es derzeit verstärkt vor, dass Joomla 1.x Installationen gehackt und dazu missbraucht werden, Spam zu versenden oder DoS-Attacken (DoS = Denial of Service) durchzuführen.
Wie kann man sich gegen diese Attacken schützen?
Auf Webseiten mit WordPress
Bei WordPress-Installationen können Sie sich relativ einfach wie folgt behelfen:
- Erstellen Sie eine vollständige Sicherung Ihrer WordPress-Installation! Mit vollständig ist gemeint: nicht nur die Dateien, sondern auch die MySQL-Datenbank! Mehr zum Thema Sicherung eines WordPress-Blogs gibt es weiter unten.
- Erstellen Sie für die administrativen Tätigkeiten auf Ihrer WordPress-Site einen eigenen Benutzer mit administrativen Rechten (mit der Rolle “Administrator”). Vergeben Sie diesem Benutzer unbedingt ein wirklich sicheres Paßwort, also eines welches mindestens 8 Zeichen lang ist sowie Groß- und Kleinschreibung, Zahlen und Sonderzeichen verwendet. Verwenden Sie im Benutzernamen weder die Zeichenkette “admin”, noch Ihren (ausgeschriebenen) Vor- oder Nachnamen – damit künftige, ggf. noch “schlauere” Attacken es so schwer wie nur möglich haben, den administrativen Benutzer Ihrer Site zu identifizieren.
- Melden Sie sich mit dem neu erstellten administrativen Benutzer an und testen Sie ob alles wie gewohnt funktioniert.
- Optional: Falls Sie Ihre Blog-Artikel bisher mit dem administrativen Benutzer mit dem (bei der WordPress-Installation standardmäßig so benannten) Benutzernamen “admin” erstellt haben, und sich die Anzahl Ihrer Blog-Artikel “in Grenzen hält”):
- Erstellen Sie am besten auch gleich einen zusätzlichen Benutzer mit redaktionellen Rechten (Rolle: Redakteur), und geben Sie bei diesem Benutzer als Vor- und Nachname “Redakteur” ein.
- Ändern Sie anschließend bei allen Ihren Blog-Artikeln den Autor auf den neuen redaktionellen Benutzer ab, den Sie ja anhand Vor- und Nachname – also “Redakteur Redakteur” leicht identifizieren können. Alternativ können Sie – falls Sie sich mit MySQL-Datenbanken gut auskennen – die Autoren-Zuordnung direkt in der Datenbank auf den neuen Benutzer abändern.
- Ändern Sie zuletzt den redaktionellen Benutzer, indem Sie bei diesem die gleichen Angaben für Vorname und Nachname eingeben, die Sie beim administrativen Benutzer “admin“ angegeben hatten.
- Wenn Ihr im Schritt 2. neu erstellter und im Schritt 3. getesteter neuer administrativer Benutzer tadellos funktioniert, und Sie manuell eine Sicherung Ihrer WordPress-Installation erstellt haben – und nur dann! – können Sie den ursprünglichen administrativen Benutzer mit dem Benutzernamen “admin“ nun löschen.
- Einen noch wirkungsvolleren Schutz gegen solche Attacken erreichen Sie, indem Sie Ihren WordPress-Login zusätzlich mit einem serverseitigem Passwortschutz über eine sogenannte .htaccess-Datei versehen. Falls Ihr Provider die Confixx-Serververwaltung verwendet, können Sie diesen Schutz dort unter “Einstellungen -> Passwortschutz” setzen. Bei einer WordPress-Installation muss dazu der Passwortschutz auf das Verzeichnis “wp-admin” gesetzt werden. In anderen Serververwaltungs-Produkten kann man sicher ähnliche Konfigurationseinstellungen vornehmen, fragen Sie im Zweifelsfall Ihren Hoster bzw. Provider.
Falls Sie sich die Durchführung obiger Schritte nicht zutrauen, dann vergeben Sie wenigstens dem Benutzer admin ein super-sicheres Paßwort, so wie oben beschrieben.
Weitere Hinweise zu sicheren Paßwörtern gibt’s auch im FAQ auf unserer Unternehmensseite unter Punkt 4.: Acht goldene Regeln für sichere Passwörter
Der Vollständigkeit halber weisen wir darauf hin, dass wir keinerlei Haftung dafür übernehmen, falls Sie obige Schritte durchführen und dabei etwas schiefgeht. Wenden Sie sich daher im Zweifelsfall bitte lieber an einen versierten Fachmann.
Auf Webseiten mit Joomla
Wir empfehlen allen Kunden mit aktiven Joomla 1.x Installationen dringend auf Joomla 2.5 oder besser noch auf Joomla 3.0 umzusteigen.
Wir möchten allerdings darauf hinweisen, dass ein einfaches Update auf die neueren Versionen durch den Hersteller nicht vorgesehen und somit nicht möglich ist. Die Migration ist hier etwas aufwändiger, diverse Anleitungen und auch Joomla Plugins hierzu können Sie sicher über die Suchmaschine Ihrer Wahl finden.
Natürlich können Sie sich auch an den Webmaster Ihrer Joomla-Seite oder gerne auch an uns wenden.
Sichern, sichern, sichern!
Worauf Sie grundsätzlich achten müssen ist eine regelmäßige Sicherung Ihrer Website, egal ob WordPress-Blog, Joomla-Website, oder irgendein anderes (CMS-)System!
Im Falle von CMS-Systemen wie WordPress und Joomla besteht eine Sicherung immer aus den Dateien des CMS-Systems (PHP-Scriptdateien und weitere) sowie der zugehörigen Datenbank (in den meisten Fällen eine MySQL-Datenbank).
Die Häufigkeit der Sicherungen hängt davon ab, wie oft Sie Änderungen an Ihrer Site machen, bzw. auch wie oft beispielsweise von Besuchern neue Kommentare auf Ihrem Blog hinterlassen werden. Wir empfehlen mindestens eine wöchentliche Sicherung, besser noch eine tägliche Sicherung Ihrer Site!
Erkundigen Sie sich auch bei Ihrem Provider, wie oft er Ihre Site oder Ihren Blog sichert, und wie lange es ggf. dauert, bis eine Wiederherstellung möglich ist. Die Möglichkeit einer (schnellen) Wiederherstellung ist auch insbesondere dann wichtig, wenn Ihre Site mal gehacked werden sollte – denn eine Wiederherstellung einer funktionstüchtigen bzw. Malware-freien Version Ihrer Website ist noch immer die zuverlässigste und meistens auch schnellste Methode um eigene Fehler bei der Konfiguration oder eine Verseuchung durch Malware zu beseitigen.
Eine Grundregel bei WordPress ist auch, jeweils selbst vor der Aktualisierung auf eine neuere Version von WordPress selbst eine manuelle Sicherung durchzuführen. Gleiches gilt auch vor der Installation neuer Komponenten (Themes, Plugins) oder neuerer Versionen dieser Komponenten.
Zu diesem Zweck gibt es für WordPress eine ansehliche Anzahl an Plugins, die Sie relativ einfach installieren können. Wir selbst haben bisher gute Erfahrungen mit dem WordPress-Plugin Online Backup for WordPress gemacht, welches Sie ganz leicht im in WordPress integrierten Plugin-Verzeichnis (Dashboard > Plugins > Installieren) finden können – hier ein Screenshot dazu:
Links
Weitere Informationen zur Angriffswelle auf WordPress finden Sie z.B. auf den beiden folgenden Seiten:
- http://www.heise.de/security/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html
- http://www.onlinekosten.de/news/artikel/52375/0/Umfangreiche-Botnetz-Attacke-gegen-WordPress-Blogs
Fazit
Kaum ein Tag vergeht noch ohne neue Meldungen über Viren, Malware und Attacken. Wenn Sie jedoch obige grundsätzlichen Hinweise zum Thema Paßwörter und Sicherungen befolgen, können Sie künftig etwas beruhigter schlafen.
Ich wünsche Ihnen jedenfalls jede Menge ruhigen Schlaf, und weiterhin eine gute Zeit!
Herzlichst,
Ihr Franz X. Kohl
Hallo Herr Kohl,
sehr nützlicher Beitrag.
Betreffend “sichere” Passwörter: ich empfehle den Passwort-Check des Datenschutzbeauftragten des Kanton Zürich (für jedermann zugänglich).
Zu finden unter https://review.datenschutz.ch/passwortcheck/check.php.
Beste Grüße
Rainer Bauer
Hallo Herr Bauer,
vielen herzlichen Dank für das Kompliment und auch für den Link zum Passwort-Check! Den habe ich gleich ausprobiert und kann bestätigen, dass der Passwort-Check eine wirklich nützliche Anwendung ist!
Ich plane in absehbarer Zeit hier auch einen erweiterten Artikel zum Thema “sichere Passwörter” zu veröffentlichen, da passt der Link mit Sicherheit auch gut rein. Und wenn Sie nichts dagegen haben werde ich den Link auch in den kommenden Tagen mal auf meiner Facebook-Fanseite posten. Selbstverständlich werde ich mich nicht “mit fremden Federn schmücken” sondern zumindest auf http://www.babox.ch als Quelle verweisen.
Herzliche Grüße,
Franz X. Kohl