WP Sicherheit
Mit einem Brute-Force-Angriff versucht ein Angreifer, sich durch das systematische Ausprobieren von Passwörtern Zugang zu einem System zu verschaffen. Hier ist vor allem der Versuch gemeint, sich mit admin-Rechten in Dein WordPress Backend einzuloggen. Dabei werden unzählige Kombinationen durchprobiert, bis die richtige gefunden ist. Besonders gefährdet sind Systeme mit schwachen oder häufig verwendeten Passwörtern wie „admin123“ oder „password“.
Der Begriff Brute-Force, also mit „brutaler Kraft“ ist ein Hinweis darauf, dass diese Versuche in hoher Zahl und in schneller Folge geschehen.
Spoiler: Um sich vor Brute-Force-Angriffen zu schützen, solltest Du Dein Login-sicher machen. Verwende starke, lange Passwörter und begrenze die Anzahl der möglichen Fehlversuche beim Login. Eine Zwei-Faktor-Authentifizierung (2FA) bietet zusätzlichen Schutz, weil neben dem Passwort eine zweite Bestätigung erforderlich ist. Auch IP-Sperren und Captcha-Abfragen sind wirksame Maßnahmen, um automatisierte Angriffe zu erschweren.
Welche Brute-Force-Angriffe gibt es?
Übersicht
Einfache Brute-Force-Angriffe
Hacker versuchen, Deine Anmeldedaten durch einfaches Ausprobieren zu erraten. Sie versuchen, sich mit vermeintlich oder tatsächlich naheliegenden Begriffen in Deine WordPress-Seite mit Administratoren-Rechten einzuloggen. Beliebte erste Versuche: Gast1234, admin, chef, geheim, passwort . Dabei spielt auch die Länge des Passworts eine wichtige Rolle.
Gegenmittel
Verwende lange Passwörter, die aus willkürlichen Buchstaben-, Zahlen- und Sonderzeichenfolgen bestehen. Bevorzuge Begriffe, die nicht in Wörterbüchern oder Lexika stehen. Verwende dieses eine Passwort nur für einen einzigen Zugang.
Wörterbuch-Angriffe
Dieser sequenzielle Angriff gehört nicht wirklich zu den Brute-Force-Angriffen, ist aber bei Hackern beliebt und darf deswegen in diese Liste.
Wörterbuch-Angriffe sind eine Methode zum Herausfinden eines Log-Ins, häufig automatisiert verwendet: Ein Hacker hat einen Benutzernamen herausgefunden (steht oft unter einem Beitrag/Artikel) und kombiniert diesen mit möglichst vielen Begriffen und beliebten Kombinationen aus Wörtern und Zahlen, um sich in eine WP-Seite einzuloggen. Gern werden ganze Wörterbücher ungekürzt und automatisiert durchprobiert. Das Repertoire kann auch durch Fachlexika oder Listen von Begriffen erweitert werden.
Gegenmittel
Wie oben: Verwende lange Passwörter, die aus willkürlichen Buchstaben-, Zahlen- und Sonderzeichenfolgen bestehen. Bevorzuge Begriffe, die nicht in Wörterbüchern oder Lexika stehen. Verwende dieses eine Passwort nur für einen einzigen Zugang.
Hybride Brute-Force-Angriffe
Wenn Hacker externe Tools mit naheliegenden Varianten kombinieren, wird das hybrider Angriff genannt. Dabei ist eine Kombination aus Wörterbuch- und Brute-Force-Angriff die häufigste Variante. Meist werden Kombinationen aus häufig verwendeten Begriffen mit zufälligen Zeichen ausprobiert, um das Passwort zu erraten. Solche Brute-Force-Angriffe funktionieren gut bei Passwörtern wie target123 oder Peter0815, weswegen von dieser Art Passwörter dringend abzuraten ist.
Gegenmittel
Wie oben: Verwende lange Passwörter, die aus willkürlichen Buchstaben-, Zahlen- und Sonderzeichenfolgen bestehen. Bevorzuge Begriffe, die nicht in Wörterbüchern oder Lexika stehen. Verwende dieses eine Passwort nur für einen einzigen Zugang.
Umgekehrte Brute-Force-Angriffe
Hierbei gehen die Hacker umgekehrt vor: sie starten mit einem bekannten Passwort. Die Angreifer suchen Millionen von Benutzernamen ab, bis sie eine Übereinstimmung finden. Woher kennen die Hacker die Passwörter überhaupt? Meist wurden sie Zuge einer vorangegangenen Datenschutzverletzung abgegriffen und gesammelt. Oft werden diese Listen dann im Darknet verkauft.
Gegenmittel
Klicke nicht auf Links in Emails, wenn Du Dir nicht 150-prozentig sicher bist, von wem die Nachricht stammt. Gib niemals (NIE!) Login-Daten auf einer Webseite ein, auf die durch einen Link in einer Email gelangt bist. Gönne Dir einen Spamblocker und Anti-Virensoftware und überlege Dir, wem Du überhaupt Deine E-Mail-Adresse gibst.
Credential Stuffing
Bei dieser Methode nutzen Hacker die Faulheit der Website-Admins zu ihrem Vorteil: die ungebetenen Gäste sammeln funktionierende Kombinationen von Login-Namen und Passwort und probieren sie auf möglichst vielen Websites aus; erschreckend oft haben sie damit Erfolg.
Gegenmittel
Verwende lange Passwörter, die aus willkürlichen Buchstaben-, Zahlen- und Sonderzeichenfolgen bestehen. Bevorzuge Begriffe, die nicht in Wörterbüchern oder Lexika stehen. Verwende dieses eine Passwort nur für einen einzigen Zugang. Ein Passwort-Tresor hilft Dir beim Verwalten zahlreicher komplizierter Passwörter.
Extra Tipp: Nutze Umlaute
Deutschsprachige Computernutzer haben oft die Möglichkeit, die Umlaute ÄÖÜäöü in Passwörtern zu verwenden. Diese werden von vielen Hackern nicht bei der Suche nach Passwörtern berücksichtigt. Umlaute gehören leider manchmal nicht zu den erlaubten Zeichen bei Passwörtern. Schade.
Weitere Möglichkeiten, sich zu schützen
Das Arsenal der Gegenmittel besteht aus vielen weiteren Mechanismen: Firewalls, Begrenzung möglicher Login-Versuche, 2-Faktor-Authentifizierung, Verschleierung der Login-Seite, serverseitige Maßnahmen und andere. Ein durchdachtes Sicherheitskonzept gehört definitiv immer mit an Bord, wenn eine neue Website geplant wird.
Beiträge der Kategorie Telegramm sind kurze Hinweise für Website-BetreiberInnen. Die Texte enthalten oft weiterführende Links mit ausführlichen Informationen zum Thema. Frag gern bei mir nach, wenn Du mehr wissen möchtest.