WP-Plugin gegen ungebetene Gäste – Limit Login Attempts

Passwortsicherheit bei WordPress-Blogs

Aus gegebenem Anlass möchte ich heute mal ein bisschen “Werbung” für ein Plugin machen. Wessen Blog schon einmal von einem Hacker heimgesucht wurde bzw. wessen PC schon einmal die zweifelhafte Ehre erlangte, Domizil eines Virus’ zu werden, wird verstehen, wie erleichtert man ist, wenn dieser Kelch an einem vorübergeht.

Geschlagene dreißig (!) Loginversuche ungebetener Gäste musste mein Blog gestern verkraften, glücklicherweise ohne nachzugeben. Wie ich das herausgefunden habe? Es gibt ein kleines aber sehr feines WordPress-Plugin namens Limit Login Attempts, das mich darüber informiert hat, dass irgendwer sich am Passwortschutz des Login-Bereichs meines Blogs zu schaffen gemacht hat.

Natürlich wird kein Hacker der Welt sich persönlich sozusagen “in Handarbeit” hinsetzen und Passwörter ausprobieren. Dafür schreiben die Profis Programme, die in kurzen Abständen eine unbegrenzte Zahl an generierten Passwörtern ausprobieren. Diese sogenannten “brute-force Attacken” sind eine ernste Bedrohung für alle Ziele. Denn es ist allein eine Frage der Zeit und des maschinellen Aufwands bis die meisten Passwörter geknackt sind. Was also tun, um sein WordPress-Blog vor solchen Angriffen zu schützen?

Anzahl der Loginversuche begrenzen

Mit dem WordPress-Plugin Limit Login Attempts unterbindet man brute-force Attacken effektiv. Wie? Das Programm verhindert den mehrfachen, wiederholten Loginversuch von derselben IP aus. Dabei kann man die Zahl der Versuche, bis die IP gesperrt wird, manuell festlegen. Nach 3 fehlgeschlagenen Anmeldeversuchen von der gleichen IP-Adresse aus ist dann zum Beispiel Schluss – für Mensch und Roboter. Dem Hacker-Programm bliebe nur der weitere Login-Versuch von einer anderen IP aus. Und das auch nur weitere 3 Mal. Und so weiter. Derart verdirbt man den ausgefeiltesten Programmen schnell den Spaß am zerstörerischen Ausprobieren von Passwortkombinationen. Wenn gewünscht, wird man sogar per Email automatisch benachrichtigt, wenn sich jemand – wie in unserem Fall – am Loginformular die Zähne ausbeißt.

Standardbenutzer “admin” ändern!

Letzter Tipp in Sachen Passwortschutz und brute-force Attacken: Benutze nie, niemals den Standardbenutzer “admin” bei Deinem Blog! Tu es nicht! Ernsthaft – Das erste was Hacker und Programme ausprobieren sind eben diese Standardbenutzernamen. Und sind die erst einmal bekannt, muss nur noch das Passwort geknackt werden. Ein anderer Benutzername als der standardmäßige “admin” erhöht also gleich den Schutz des Loginbereichs erheblich.

Vorschaubild: © julien tromeur – fotolia.com

GD Star Rating
loading...
WP-Plugin gegen ungebetene Gäste - Limit Login Attempts, 4.9 out of 5 based on 8 ratings

Und was denkst Du?

  1. Denise schreibt:

    Hallo Annemarie,

    ich finde es wirklich traurig, dass selbst so ein gut geführter, neutraler und informativer Blog, der niemanden etwas zu leide tut, scheinbar nicht von solchen Hack-Versuchen gefeit ist. Dabei kann ich auch nicht wirklich verstehen, was damit bezweckt werden soll. Immerhin finden sich dort ja keine Kundendaten oder sonstiges.

    Auf jeden Fall auch Danke für den Tipp mit dem Benutzername “Admin” ändern, habe ich gleich bei einigen Blogs gemacht.

    GD Star Rating
    loading...
    • Annemarie schreibt:

      Hi Denise!
      Danke für die Blumen :)
      Mich machen solche Hack-Versuche auch immer wütend. Ich glaube, diese Angriffe haben nichts mit der Qualität oder Gesinnung eines Blogs zu tun, meistens finden die Angriffe ja anutomatisiert statt (was das Ganze ja noch gemeiner macht).
      Viele liebe Grüße
      Annemarie

      GD Star Rating
      loading...
  2. Jasmin schreibt:

    Hi Annemarie,
    das ist wirklich ein gutes Tool, dieses Plug-in. War mir nicht bekannt, dass es so etwas gibt. Gut, dass du den Tipp mit der Begrenzung der Login-Versuche gegeben hast. Aus dem Blickwinkel habe ich das noch gar nicht gesehen.
    Hier noch eine Info von mir für alle Passwortbesitzer: Neulich habe ich einen Bericht gelesen, worin das beliebteste aller Passwörter aufgeführt wurde. Ähnlich wie bei “Admin” ist es so simpel wie logisch. Es lautet: 123456. Auch hier ist eine gute Kombination aus Zahlne, Buchstaben in Groß-und Kleinschreibung und (wenn möglich) Sonderzeichen zu empfehlen.

    GD Star Rating
    loading...
    • Annemarie schreibt:

      Hallo Jasmin,
      stimmt, die Sache mit den Passwörtern. Bei blogos-fair.de hab ich mir wirklich Mühe gegeben was das Passwort anbelangt – sonst hab ich eher simple Passwörter und bin schlicht zu träge, sie zu ändern. Obwohl das absolut nötig wäre. Es ist sehr erschreckend, wie schnell einfache PWs geknackt werden können.
      Liebe Grüße
      Annemarie

      GD Star Rating
      loading...
  3. Kathryn schreibt:

    Das stimmt, diese Angriffe sind in den allerwenigsten Fällen persönlich, denke ich. Das wird ganz automatisch mit Scripten gemacht, manchmal dauert so ein Angriff auch einige Tage, danach herrscht wieder Ruhe.

    Dank Limit Login Attemps wird man ja darüber per Mail benachrichtigt.

    GD Star Rating
    loading...
  4. Andre schreibt:

    Hallo zusammen,
    ich bin neulich selbst Zeuge einer solchen Attacke geworden. Ich war bei einem Bekannten, der einen kleinen Blog zum Thema Social Media schreibt und plötzlich konnte er sich selbst nicht mehr anmelden. War schon komisch. Er hatte keine Begrenzung der Login-Versuche und wurde auch nicht benachrichtigt, dass es jemand bei ihm probiert hatte. Durch die Passwort-Rücksetzung konnte er sich dann ein neues anlegen und ich empfahl ihm auch gleich mal, sich dieses Plugin zu holen.

    GD Star Rating
    loading...
  5. Georg schreibt:

    Das ist mal ein Beitrag den ich gleich umsetzen werden. Das Plugin bekommt mein Blog auch gleich verpasst.

    GD Star Rating
    loading...
  6. Inge schreibt:

    Hallo Annemarie,

    ich kenne das Problem mit den Passwörtern nur zu gut. Einige meiner engeren Freunde oder auch Leute aus der Familie verwenden für ihre Webseiten oft den Benutzernamen Admin und als Passwort einfach 123123 oder einfach das Wort passwort. Leider wird man aber nie komplett verhindern können, dass sich Dritte an den eigenen Logindaten zu schaffen machen können. Ich habe dadurch sogar schon mal eine komplette Webseite abschreiben müssen.

    GD Star Rating
    loading...
    • Annemarie schreibt:

      Hallo Inge,
      mich hat es auch schon einmal erwischt. Allerdings war es nicht mein Blog, das gehackt wurde, sondern auf meinem PC hatte sich ein Keylogger eingenistet, der Passwörter geklaut hat. So hatten es die Eindringlinge recht einfach. Ich war damals komplett überfordert, aber hatte zum Glück Hilfe…Aber dadurch wird man generell vorsichtiger was Passwörter anbelangt.
      Liebe Grüße
      Annemarie

      GD Star Rating
      loading...
  7. Adam schreibt:

    Hallo Annemarie,

    besonders gegen diese Keylogger kann man doch nur recht schwer etwas machen. Meistens wenn man es merkt, ist es auch schon wieder zu spät. Deswegen habe ich es mir schon lange abgewöhnt, dass ich in meinen Accounts Mails oder andere Informationen mit Telefonnummern, Adressen oder gar Kontonummern hinterlasse.

    GD Star Rating
    loading...
  8. Alexander Schestag schreibt:

    Du schreibst: “Mit dem WordPress-Plugin Limit Login Attempts unterbindet man brute-force Attacken effektiv.”

    Nein. Tut mir leid, aber das tut es heutzutage leider nicht mehr effektiv.

    “Wie? Das Programm verhindert den mehrfachen, wiederholten Loginversuch von derselben IP aus.”

    Ja, das tut es. Aber das juckt den Angreifer von heute nicht mehr. Der greift verteilt von vielen IPs aus an. Ist eine ausgesperrt, macht halt die nächste an derselben Stelle weiter. So erst kürzlich bei GMX geschehen, was zu einer Kompromittierung von mehreren hunderttausend Accounts mit schwachen Passwörtern geführt hat. Das ist also keine Spekulation, sondern ein reales und bereits erfolgreich praktiziertes Vorgehen.

    Sicher wird jetzt der Einwand kommen, dass sich der verteilte Angriff auf ein privates Blog nicht lohnt. Das mag sein. Aber schon bei einem kleinen Firmenblog kann es unter Umständen anders aussehen. Man sollte sich daher nicht auf ein solches Plugin verlassen.

    Was hilft nun wirklich? Ganz einfach: ein sicheres Passwort. Möglichst lang, kein geläufiges Wort möglichst komplex, Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen gemischt. Geht nicht? Kann sich kein Mensch merken? Doch. Denn ein häufiger Irrtum ist, dass Passwörter keine Leerzeichen enthalten dürfen. Dürfen sie aber, außer bei schlechten Anbietern, die die Anzahl und Art der erlaubten Zeichen begrenzen. Und von denen sollte man ohnehin die Finger lassen. Und da Leerzeichen beispielsweise bei WordPress als gutem Anbieter erlaubt sind, kann man auch ganze normale Sätze als Passwort verwenden, wie z. B. “Dieses Blog ist interessant, und ich lese es 2 mal am Tag.”. Das ist extrem sicher, obwohl normale Wörter in diesem Passwort vorkommen. Der springende Punkt ist nämlich: Wörterbuchattacken können immer nur ein Wort prüfen, niemals ganze Sätze. Und Tools für Brute-Force-Angriffe haben in der Regel keine Leerzeichen auf dem Schirm. Daher ist so ein Passwort supersicher und zudem leicht zu merken.

    Ein abschließendes Wort noch zum Thema Keylogger, die du hier als Argument für das Plugin anführst. Auch das spricht nicht für das Plugin, denn wenn jemand einen Keylogger einsetzt, hat er das Passwort und auch den Login doch sofort. Dann braucht er keine mehrfachen Loginversuche.

    Also, wählt bitte ein sicheres Passwort und verlasst euch nicht auf derartige Plugins. Sie sind schneller zu umgehen, als ihr denkt. Wenn ihr Freunde oder Verwandte habt, die ein unsicheres Passwort haben, verratet ihnen den Trick mit dem ganzen Satz, anstatt ihnen ein solches Plugin zu installieren und das unsichere Passwort zu lassen.

    GD Star Rating
    loading...
    • Annemarie schreibt:

      Hi Alexander,

      Vielen Dank für den Tipp mit den Leerzeichen in Passwörtern! Das wussten sicher viele Leser noch nicht. Ich schließe mich in den Kreis derer, die es nicht wussten, mit ein ;)

      Herzliche Grüße!
      Annemarie

      GD Star Rating
      loading...
  9. Vladislav schreibt:

    Hey Annemarie,

    danke für den Tipp! Ist sicherlich sinnvoll!

    Viele Grüße
    Vladislav

    GD Star Rating
    loading...

Und was denkst Du?

*