Verstärkte Angriffe gegen WordPress Installationen bei deutschen Hostern

von am

wp-header-logo-grey-2xDerzeit läuft nach Aussagen einiger deutscher Webhoster eine verstärkte Angriffswelle gegen WordPress Installationen. Dabei werden automatisierte Brute Force Attacken gegen die Login-Seiten gefahren. Das Ziel: Die Übernahme der gehosteten Blogs.

Bei einem Brute Force Angriff versucht der Angreifer mittels automatisierten Scripten gängige Login-Kombinationen aus Benutzernamen und Passwort mit der Hoffnung das aus den vielen Versuchen schon ein richtiger Treffer dabei sein wird. Diese vielen Login-Versuche bergen damit zwei Risiken: Erstens besteht die Gefahr, dass doch eine richtige Benutzernamen / Passwort Kombination dabei ist. Zweitens erzeugen die vielen Versuche eine hohe Systemlast, die gerade Shared Hosting Systeme schon unter Druck bringen kann.

In der Tat berichten einige Provider bereits intern von überlasteten Systemen auf Grund der Angriffe. Da hiervon bereits mehrere deutsche Provider betroffen sind scheint es sich um eine größere Angriffswelle zu handeln. Ausgangspunkte sind offenbar dedizierte Server bei einigen anderen deutschen Providern.

System-Admins von WordPress-Installationen sollten sich angesichts des Umfangs der Angriffe überlegen, ob sie ihr Admin-Verzeichnis nicht via .htaccess Datei zusätzlich schützen. Dies unterbindet den gesamten Angriffspunkt.

Update 13.04.2013: Die Angriffe scheinen sich jetzt weltweit abzuspielen. Mehr Infos.

 

Ihr Feedback ist gefragt. Sehen Sie selber zur Zeit Angriffe? Nutzen Sie die Kommentarfunktion unten um Ihre Meinung mitzuteilen.

Verwandte Artikel:

Tags:

  • Kristian Peters

    Ich sehe selbst auf meinen Server seit Monaten verstärkte Anfragen
    auf Dateien und Ordnerstrukturen von bekannten OpenSource Projekten.
    Jedoch setze ich auf Eigenentwicklungen. Diese lassen die Hack-Scripte
    kalt und zudem besser auf Kundenbedürfnisse anpassen ;-)

    Angriffs URLs Bsp:
    .de/wp/wp-login.php
    .de/wordpress/wp-login.php
    .de/blog/wp-login.php
    .de/wp-login.php
    .de/myadmin/scripts/setup.php
    .de/tp/login.php
    .de/YaBB.pl/
    ?q=user/register
    .de/oscom/
    .de/member/join.php
    .de/User/Register.aspx

    und so weiter….

    • Thomas Demel

      Dann muss diese Eigenentwicklung aber gut abgesichert und durchdacht sein.
      Nach meiner Beobachtung richten sich einige Angriffe auch allgemein auf gefundene (Server-) Scripte, welche nicht genügend abgesichert sind.
      Hier wird versucht, z.B. Dateien wie index.php oder admin.asp zu attackieren.

      Im Gegensatz zu von einer weiter verbreiteten Lösung schaut bei Eigenentwicklungen meist keiner “über die Schulter” ob irgendwelche Sicherheitslücken da sind.
      Allerdings gibt es auch OS-Installationen, welche besonders anfällig scheinen wie z.B. Joomla, welches nach meiner Beobachtung anteilsmäßig häufiger gehackt wird.
      Wichtig ist vor allem, dass die Sicherheitsupdates regelmäig eingespielt werden.
      (Das muss ein Kunde natürlich auch wollen)

  • Johannes Sch.

    Bei mir aktuell ebenso. Login in meine WordPress-Installation nicht möglich. Seitenaufrufe sehr langsam bis gar nicht möglich. Mein Hoster ist 1&1 der auch schon einen Status gemeldet hat: http://status.1und1.de/

    Ich hoffe das hört bald auf, denn ohne das ich mich nicht einloggen kann, kann ich doch auch nichts sicherer machen, oder?

  • Astrid Radtke

    Bei mir hat es auch über Strato zum Glück in den letzten Tagen gar keine Probleme gegeben weder bei Seitenaufrufen noch im Admin-Bereich. Denn Sinn solcher Aktionen ist für mich absolut nicht nachvollziehbar. Wem wollen die was beweisen?

  • http://www.google.com/profiles/jodeleit Bernhard Jodeleit

    Habe dazu ein wenig aus der Praxis zusammengetragen: http://www.lotsofways.de/checkliste-wordpress-sicher-machen/ – Darüber hinaus empfiehlt sich eine Country Blocklist in der .htaccess

    • Carsten Bernhard

      Country Blacklist hilft in diesem Fall aber wenig. Nach Aussagen betroffener Hoster stammen viele Angriffe von dedizierten Servern bei deutschen Webhostern selber.

      • http://www.google.com/profiles/jodeleit Bernhard Jodeleit

        Stimmt, allein hilft die Country Blocklist nicht. Habe in o.g. Liste noch eine Menge Tipps zur allgemeinen Abwehr. Country Blocklists können jedoch helfen, die Last zu reduzieren – indem erstmal 3/4 der bösartigen Seitenaufrufe geblockt werden. Den Rest muss man dann mit weiteren Maßnahmen abwehren, siehe Kommentar von Kristian weiter unten.

  • Pingback: WordPress-Links: Nutzeraccount vorübergehend deaktivieren, 10. Geburtstag, Feed für Entwürfe, Shortcodes, Attacken gegen WP-Installationen » WordPress & Webwork

  • http://www.facebook.com/guenther.j.egger Günther Egger

    Zum Thema “Wie man WordPress vor Hacker-Angriffen schützt” habe ich einen ausführlichen Artikel auf AFOMA veröffentlicht. http://www.afoma.de/artikel/sicher-ist-wordpress-blog-hacker-angriffe-wp-blogs

  • Pingback: Botnet attackiert Wordpress-Installationen weltweit | Edv-Sicherheitskonzepte.de – News Blog aus vielen Bereichen

  • Pingback: WordPress Angriffe jetzt weltweit | webhostlist.de

  • http://www.facebook.com/profile.php?id=100000606746236 Frank Böttinger

    Solche Angriffe habe ich zur Zeit auch. Am Anfang wurde nur “Admin” oder “admin” als Username versucht. Mittlerweile sind es Schlüsselwörter aus meinem WordPress.

    Login Security Solution Plugin hilft sehr gut bei sowas…

    • http://www.facebook.com/claudiogangale Claudio Gangale

      Ja, tolle Idee. Noch mehr Plugins = Noch mehr Angriffsfläche bieten. Daumen hoch.

  • http://www.facebook.com/claudiogangale Claudio Gangale

    Ja, ich kenne das auch. Da werden von meinen Projekten diverse Seiten referenziert und ich lache mich jedes mal schlapp was der Angreifer jetzt wieder für ein Ziel ansteuert. Ich sollte vielleicht doch einmal auf meiner Firmen-Seite erklären, dass die vermeidliche WordPress oder Joomla oder Drupal etc. gar kein WordPress, Joomla oder Drupal etc sind sondern es nur danach ausschaut. Vielleicht blogge ich das heute Mittag mal. Ich find diese Thema und wie sich alle drüber aufregen einfach genüsslich amüssant – lol

  • http://twitter.com/BlackHatMario BlackHatMario

    Die Angriffe habe ich schon seit etwa 2 Jahren… Dafür gibt es Plugins und sonstige Methoden um bei Bruteforce per htaccess die Script Kiddies auszuschließen.

    Es gibt im Netz eine Seite wo diese gehackten WordPress Seiten als Werbefläche angeboten werden… Viele stellen so ne veraltete WordPress Seite ins Netz und tun nichts mehr..