Login-Attempts: Hilfe, jemand versucht meine Website zu hacken!

Normalerweise bekommt man davon nichts mit – aber wer sich ein Monitoring-Tool installiert und in die Protokolle guckt, stellt fest, dass offenbar ständig fremde Leute versuchen, sich auf der Website anzumelden. Viele kriegen dann einen gewaltigen Schreck und fragen sich, was sie dagegen tun können.

Wer greift da an?

Die gute Nachricht: Es ist kein Mensch, der versucht, sich einzuloggen. Es sind Bots, die Tag und Nacht durchs Web surfen und stur die bekannten URLs aufrufen, z.B. /wp-login.php. Das machen sie übrigens nicht nur mit WordPress-Sites so. Auch auf Websites, bei denen gar kein WordPress installiert ist, sieht man die Versuche, eine Login-Seite aufzurufen in den Protokollen.

Warum wird meine Website angegriffen?

Die Website wird angegriffen, weil sie da ist. Wie groß oder klein sie ist, welche Inhalte drauf sind, ist vollkommen irrelevant. Bei jeder Website, die im Web öffentlich zugänglich ist, kann man versuchen, eine Login-Adresse aufzurufen.

Das Beuteschema der Bots sind Websites mit schwachen Passwörtern. Auch die Passwort-Hitliste 2019 ist nicht viel smarter ausgefallen als die der vergangenen Jahre. Das heißt, es gibt genügend Websites, die mit untauglichen (= zu kurzen) Passwörtern arbeiten. Beim Passwort „12345“ hat der Bot leichtes Spiel.

Was haben die mit meiner Website vor?

Den Bots ist es egal, ob es sich um eine Website mit vielen schönen Inhalten oder um eine Webvisitenkarte handelt, auf der nur eine Adresse steht. An den Inhalten auf der Website sind sie nicht interessiert. Sie wollen den Zugang.

Die Macher der Bots sammeln solche Zugänge. Sie sammeln Websites, auf denen sie Schadcode platzieren können. Die Websites fungieren dann als Verteiler für diesen Schadcode.

Weiterlesen Login-Attempts: Hilfe, jemand versucht meine Website zu hacken!

WordPress absichern

Ist WordPress sicher? Das ist eine der Fragen, die mir am häufigsten gestellt werden. Meine Antwort hat sich in den letzten Jahren nicht wesentlich verändert:
Ja, WordPress ist meiner Meinung nach sicher.

Aber keine Website ist ganz von alleine sicher. Genauso viel oder wenig wie jeder beliebige Computer oder alle anderen Redaktionssysteme da draußen. Es gibt ein paar Regeln, die man beachten muss. Die sind allerdings nicht besonders kompliziert und können leicht umgesetzt werden.

Vor wem muss ich meine WordPress-Website schützen?

Erst einmal vor mir selbst. Also vor allem, was ich, die Person vor dem Bildschirm, auslöse. Das können fehlerhafte Updates von Plugins oder Themes sein. Oder Fehler im Code sein, die ich selbst eingebaut habe. Und vieles mehr.

Dann sind da noch Angriffe von außen. WordPress ist das Redaktionssystem mit der größten Verbreitung. Deshalb ist es auch ein System, das sehr häufig attackiert wird.
Es sind allerdings keine Menschen, die vor ihrem Rechner sitzen und gezielt versuchen, eine bestimmte Website zu knacken. Es sind Bots, die das Web nach WordPress-Installationen abgrasen.

Wird eine Website angegriffen, geht es so gut wie nie um einen persönlichen Angriff. Und es geht auch nicht darum, Daten aus der Website zu klauen. Aber eine gehackte Website kann für vielerlei Ungutes oder Kriminelles eingesetzt werden.

Weiterlesen WordPress absichern

Sichere Passwörter und Updates

„Nimm bloß nicht WordPress! Mein Kumpel arbeitet in der IT und der sagt, WordPress ist wahnsinnig unsicher!“

Stimmt das? Nein, das stimmt so nicht. WordPress ist eine Software und um Software muss man sich kümmern. Indem man regelmäßig Updates macht und indem man sichere Passwörter verwendet. Das war’s aber auch schon. Der Kumpel liegt also falsch, WordPress ist ein sicheres System.

Webseiten, die keine Pflege brauchen, gibt es schon auch. Das sind statische HTML-Seiten bei denen keine Scriptsprachen am Werk sind. Folglich kann dort auch niemand Unfug treiben.

Wer lieber ein komfortables CMS haben möchte, der muss sich kümmern. So wie das Betriebssystem auf dem Laptop bekommt auch WordPress regelmäßig Updates. Jedes Update bringt neue, praktische Funktionen und nebenbei werden Sicherheitslücken geschlossen.
Ein Redaktionssystem ist also nichts, dass man einmal installiert und dann vergessen kann. Das System ist ein Stück Software und das braucht Aufmerksamkeit.

2 Regeln für die Sicherheit

Dabei ist es denkbar einfach, WordPress sicher zu machen. Wer die beiden wichtigsten Faustregeln beachtet, ist weitgehend raus aus der Schusslinie.

  1. Sichere Passwörter = lange Passwörter, am besten ganze Sätze (12 Stellen und mehr)
  2. Updates, Updates, Updates

Sicherheit ist immer relativ

In einem kleinen Dorf wo jeder jeden kennt, schließt niemand seine Haustür ab, wenn er aus dem Haus geht. In der Großstadt wäre das wahrscheinlich ein Fehler, denn hier leben viel mehr Menschen und darunter sind auch solche mit unlauteren Absichten, die sich in der Masse verstecken.

Bei WordPress ist das ganz ähnlich. Weil WordPress sehr weit verbreitet ist und es viele WordPress-Installationen gibt, sind diese Installationen ein lohnendes Ziel. Einfach weil es so viele davon gibt. Die Chance ist groß, dass sich in der großen Masse ungepflegte Systeme finden, die einmal installiert und dann vergessen wurden. Die mit schwachen Passwörtern abgesichert sind und bei denen niemand jemals ein Update gemacht hat.

Die Ziele der Hacker

Weiterlesen Sichere Passwörter und Updates

WordPress absichern: 5 Goldene Regeln

Hacker nehmen gerne WordPress-Installationen unter Beschuss. Das liegt aber nicht daran, dass WordPress besonders unsicher ist. der Grund ist, dass WordPress so weit verbreitet ist. WordPress-Installationen sind also rein von der Masse her ein lohnendes Ziel.

Ein weiterer Grund ist, dass WordPress häufig von Leuten installiert wird, die sich nicht so gut auskennen. Sie sind sich nicht klar darüber, dass ein Redaktionssystem nichts ist, dass man einmal installiert und dann vergessen kann. Das System braucht Aufmerksamkeit, man muss es pflegen. Und man sollte bei Installieren ein paar Regeln beachten.

Weiterlesen WordPress absichern: 5 Goldene Regeln

WordPress pflegen

Mit WordPress kommt man verhältnismäßig schnell zu einer schicken Webseite. WordPress ist ein CMS ist, also ein Redaktions-System, das Inhalt (Texte, Bilder), Design (WordPress-Theme) und Funktionen (Plugins) voneinander trennt. So ein System braucht Aufmerksamkeit.

Ein Redaktions-System ist eine komplexe Geschichte, es besteht aus unzähligen Dateien, die im Hintergrund herumwerkeln und Daten von A nach B bewegen.
Wie jede Maschine mit beweglichen Teilen kommt auch WordPress nicht ganz ohne Wartung aus. Die Software muss regelmäßig auf den neuesten Stand gebracht werden.

Weiterlesen WordPress pflegen