BruteForce-Angriffe auf wp-login.php abwehren

Gegenwärtig werden verstärkt “BruteForce”-Attacken auf WordPress-Blogs gefahren. Auch wir registrieren eine Zunahme solcher Angriffe.

Bei diesen Passwort-Hacks wird versucht mittels der “Methode der rohen Gewalt” Zugangsdaten solange auszuprobieren, bis ein erfolgreicher Login möglich ist. Brute Force bedeutet hier also simples Ausprobieren von möglichen Passwörtern. Diese Methode ist in der Praxis häufig erfolgreich, da die meisten Benutzer kurze und einfache, damit unsichere, Passwörter verwenden.

custom-login-01

Im nachfolgenden zeigen wir Ihnen wie Sie den Erfolg solcher Angriffe eindämmen können:

  1. Benutzen Sie starke Passwörter. Beachten Sie unsere Tipps für sichere Kennwörter.
  2. Wechseln Sie Ihre Passwörter regelmäßig. Wir empfehlen hier einen Turnus von 90 Tagen. Verwenden Sie niemals Passwörter, die Sie bereits in der Vergangenheit oder in anderen Accounts verwenden. Varrieren Sie in der Passwort-Länge.
  3. Weichen Sie von der Standard-Installation ab: “WordPress Hardening Codex” und stellen Sie damit sicher, dass Ihr WordPress sicher aufgesetzt wurde. Die Autoren der Seite WordPress Security Checklist geben Ihnen wertvolle und hilfreiche Tipps zur Absicherung Ihrer WordPress-Installation.
  4. Sofern Sie die Möglichkeit haben den Zugriff auf “wp-login.php” einzuschränken, empfehlen wir Ihnen dies zu tun.
  5. Installieren Sie sich Plugins wie More Security Login, Login Security Solution oder Limit Login Attempts
  6. Erstellen Sie regelmäßig Backups und spielen Sie benötigte Sicherheitsupdates zeitnahe ein

Da es keine 100%-ige Sicherheit gibt, empfhiehlt es sich darüber hinaus Ihren Weblog noch bei unserem kostenfreien Service “Initiative-S” einzutragen. Erfolgreich registrierte Webseiten werden so durch uns regelmäßig auf Schadcode überprüft und Sie erhalten professionellen Support im Fall der Fälle! 

10 thoughts on “BruteForce-Angriffe auf wp-login.php abwehren”

  1. Punkt 4.2.:

    In die htaccess einfügen:

    <Files "wp-login.php">

    order deny,allow
    deny from all
    allow from 90.80. #z.B. IP-Adresse des eigenen DSL-Anbieters
    </Files>

    Zweiter Versuch. ;O)

  2. ich betreibe derzeit keinen WP Blog/Seite. Aber wie wäre es die ‘wp-login.php’, ggf. auch den Ordner, kryptisch umzubenennen ? ‘mNfbfTwlr39.php’ wäre für einen Bot sehr schwer zu erraten. Der Admin müsste die URL eben wissen, und bookmarken. Fertig.

    1. Hallo Hermann,

      schau mal in diesen Blog, wie du dein WP absichern kannst, die Änderung des Wp-Content Ordner ist nur eine Maßnahme (Better WP Security).

      Grüße,
      TB, botfrei.de

Kommentare sind geschlossen.