Normalerweise bekommt man davon nichts mit – aber wer sich ein Monitoring-Tool installiert und in die Protokolle guckt, stellt fest, dass offenbar ständig fremde Leute versuchen, sich auf der Website anzumelden. Viele kriegen dann einen gewaltigen Schreck und fragen sich, was sie dagegen tun können.

Wer greift da an?

Die gute Nachricht: Es ist kein Mensch, der versucht, sich einzuloggen. Es sind Bots, die Tag und Nacht durchs Web surfen und stur die bekannten URLs aufrufen, z.B. /wp-login.php. Das machen sie übrigens nicht nur mit WordPress-Sites so. Auch auf Websites, bei denen gar kein WordPress installiert ist, sieht man die Versuche, eine Login-Seite aufzurufen in den Protokollen.

Warum wird meine Website angegriffen?

Die Website wird angegriffen, weil sie da ist. Wie groß oder klein sie ist, welche Inhalte drauf sind, ist vollkommen irrelevant. Bei jeder Website, die im Web öffentlich zugänglich ist, kann man versuchen, eine Login-Adresse aufzurufen.

Das Beuteschema der Bots sind Websites mit schwachen Passwörtern. Auch die Passwort-Hitliste 2019 ist nicht viel smarter ausgefallen als die der vergangenen Jahre. Das heißt, es gibt genügend Websites, die mit untauglichen (= zu kurzen) Passwörtern arbeiten. Beim Passwort „12345“ hat der Bot leichtes Spiel.

Was haben die mit meiner Website vor?

Den Bots ist es egal, ob es sich um eine Website mit vielen schönen Inhalten oder um eine Webvisitenkarte handelt, auf der nur eine Adresse steht. An den Inhalten auf der Website sind sie nicht interessiert. Sie wollen den Zugang.

Die Macher der Bots sammeln solche Zugänge. Sie sammeln Websites, auf denen sie Schadcode platzieren können. Die Websites fungieren dann als Verteiler für diesen Schadcode.

Wie gefährlich sind die Login-Versuche?

Wenn die Website starke Passwörter für alle Benutzerkonten verwendet (mindestens 12 Zeichen, eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen), sind die Login-Versuche vollkommen ungefährlich. Man kann sie getrost ignorieren.

Sicherheitslücken in nicht aktualisierten Plugins oder Themes sind eine viel größere Gefahrenquelle. Über diesen Weg gelangt mit Abstand am häufigsten ein Angreifer auf die Website.

Was kann ich tun?

Es gibt Plugins, die jeden Login-Versuch mitschreiben und anschließend die IP-Adresse des Bots blockieren. Das bekannteste dieser Plugins ist wahrscheinlich Limit Login Attempts.

Das Plugin kann die Login-Versuche aber nicht verhindern. Man hat am Ende zwar ein schönes, langes Protokoll und fühlt sich ein bisschen besser. Aber die Anzahl der IP-Adressen, die den Bots zur Verfügung stehen, ist endlos. Kaum ist die eine IP gesperrt, erfolgt schon der nächste Versuch mit einer neuen IP.

Echten Schutz bieten nur starke Passwörter. Und ein gut gepflegtes System, bei dem alle Plugins und Themes up to date sind.

Zum Weiterlesen: WordPress absichern