13.07.17
aktualisiert am 23.01.20
Jan Hornung
0 Kommentare
Brute Force Attacken

So werden WordPress-Seiten fast eine Milliarde Mal im Monat angegriffen

Alleine im Mai 2017 wurden WordPress-Seiten fast eine Milliarde Mal mit sogenannten Brute Force Attacken bombardiert. Damit sind die automatisierten Angriffe auf den Login-Bereich die mit Abstand größte Gefahr für WordPress-WordPress-Projekte. Zum Glück kannst du dich schnell und effektiv gegen die Login-Flut absichern. Denn Brute Force Attacken sind leicht abzuwehren.

Es gibt Einbrecher, die planen ihren Coup jahrelang, stellen ein fähiges Team zusammen, seilen sich nachts von Dächern ab und knacken Tresore nach Gehör. Und dann gibt es Leute, die schlagen mit einem Stein ein Schaufenster ein. In diese Kategorie fallen Brute Force Attacken, die mit Abstand häufigsten Angriffe auf WordPress-Seiten.

Der Gedanke hinter Brute Force Attacken ist relativ simpel: Hacker versuchen Benutzernamen und Passwort zu erraten, um sich Zugang zum WordPress-Dashboard zu verschaffen. Es braucht also nicht unbedingt tiefgehendes Wissen oder eine große technische Infrastruktur, um einen solchen Angriff erfolgreich durchzuführen. Eine Liste mit Passwörtern und Benutzernamen und ein kurzes Skript reichen aus.

Das spiegelt sich auch in der schieren Anzahl der Angriffe wieder. Messungen des Sicherheitsanbieters Wordfence zufolge gab es im Mai 2017 ca. 900 Millionen Brute Force Attacken auf WordPress-Seiten. Im April waren es sogar 1.380.000.000, also 1,38 Milliarden Angriffe. Und weil derzeit ca. 28,3 Prozent der 10 Millionen größten Webseiten weltweit unter WordPress laufen, stellt diese Menge an Attacken eine große Gefahr für das Internet als Ganzes dar. Oder zumindest eine potenzielle. Denn du kannst dich sehr leicht gegen diese Angriffe wehren.

Deswegen erkläre ich dir heute wie Brute Force Attacken funktionieren und wie groß das Risiko für deine Seite ist.

Die Masse macht’s

Brute Force Attacken sind im Prinzip wenig einfallsreich. Deshalb auch der Name: brute force, was auf Deutsch so viel bedeutet wie rohe Gewalt.

Ein einzelner Hacker bräuchte Ewigkeiten, um alleine den Usernamen “admin” mit, sagen wir mal, einer Liste der 500 schlechtesten Passwörter durchzuprobieren. Die romantische Vorstellung, dass Seiten von Einzelpersonen gehackt werden, die manuell jedes mögliche Passwort eintippen, entspricht aber nicht der Realität.

Hacker automatisieren ihre Arbeitsprozesse. Sie arbeiten mit Bots, also Programmen, die WordPress-Seiten automatisiert angreifen. Diese Bots können auch zu tausenden in großen Netzwerken zusammengeschlossen werden – sogenannten Botnets.

Bots kennen die Schwachstellen ihrer Opfer ganz genau. Vor allem Botnets schaffen es, zahlreiche IPs und damit unzählige Webseiten gleichzeitig und blitzschnell auf Mängel in der Sicherheitsarchitektur zu überprüfen.

Haben sie eine Webseite mit einer entsprechenden Lücke gefunden, greifen sie immer und immer wieder an und testen automatisch zigtausende der gängigsten Passwörter und Nutzernamen, bis sie sich Eintritt verschafft haben. Frei verfügbare Datenbanken, in denen die häufigsten Passwörter aus verschiedenen Plattformen und Netzwerken aufgeführt werden, erleichtern ihnen die Arbeit noch zusätzlich.

Gerade diese Automatisierung ist das Gefährliche an Brute Force Attacken. Selbst wenn du eine relativ unbekannte Webseite betreibst, deren geringe Reichweite sie für menschliche Hacker unattraktiv macht, kann es sein, dass du ins Fadenkreuz eines Bots oder Botnets gerätst. Bots unterscheiden nicht zwischen großen und kleinen Webseiten. Sie unterscheiden nur zwischen gut und schlecht abgesicherten. Und weil so viele Seiten unter WordPress laufen, ist die Wahrscheinlichkeit auf eine schlecht gesicherte WordPress-Seite zu stoßen natürlich größer, als bei anderen CMS.

Daten und Reichweite, das ist die Beute

Wozu aber nehmen Hacker mit ihren Botnets auch kleine Webseiten ins Visier? Im Prinzip geht es immer um zwei Ressourcen: Daten und Reichweite. Denn beides lässt sich verkaufen oder vermieten, also monetarisieren. Dazu werden die Zielseiten in der Regel mit Malware infiziert.

Mit dieser kann der Hacker dann zum Beispiel folgendes tun:

  • Von deiner Seite aus Spam-Mails verschicken, die direkt in den Postfächern deiner Empfänger landen
  • Deine Seite in ein Botnet einbinden und sie für weitere Angriffe missbrauchen
  • Datenbanken deiner Kunden oder Community-Mitglieder abgreifen und sensible Daten stehlen
  • Illegalen Content bei dir hosten
  • Deinen Traffic umleiten

Die Gefahr steigt stetig, genau wie der WordPress-Marktanteil

Opfer einer erfolgreichen Brute Force Attacke zu werden, ist also keine Lappalie. Doch wie hoch ist das Risiko, dass Hacker deine Seite angreifen? Um die Gefahr einschätzen zu können, lohnt es sich, einen Blick auf die zur Verfügung stehenden Zahlen zu werfen.

Anzahl der Brute Force Attacken in Mio. und Marktanteil von WordPress.
Anzahl der Brute Force Attacken in Mio. und Marktanteil von WordPress.

Der Anteil der WordPress-Seiten steigt stetig, während die Anzahl der Brute Force Attacken dagegen stark schwankt. Das liegt in einigen Fällen daran, dass größere Botnets in diesem Zeitraum tätig waren. So hat bspw. im April 2017 ein Botnet aus Heimroutern sein Unwesen getrieben.

In diese Statistik gehen natürlich nur misslungene Angriffe ein, die von der jeweiligen Sicherheitssoftware verhindert wurden. Erfolgreiche Brute Force Attacken werden hier also nicht mitgezählt. Ebenso wenig wie Angriffe auf Seiten, die die Plugins von Sucuri oder Wordfence nicht installiert haben.

An der schieren Anzahl der Angriffe siehst du: Wer eine Webseite ohne Absicherung betreibt, handelt grob fahrlässig. Denn es werden täglich millionenfach Attacken gegen WordPress-Seiten gefahren. Glücklicherweise ist der Schutz vor Brute Force Attacken verhältnismäßig leicht.

Theoretisch sehr gefährlich, praktisch leicht zu handhaben

Im Prinzip basiert der effektive Schutz vor Brute Force Attacken auf zwei Mechanismen: Sichere Passwörter und effektives Blacklisting. Denn sind deine Anmeldedaten schwer zu erraten und werden regelmäßig geändert und sperrst du angreifende IPs und Regionen mit besonders aggressiven IPs aus, verringerst du die Gefahr eines erfolgreichen Hacks massiv.

Auch wenn die reinen Zahlen zeigen, dass Brute Force Attacken eine ernstzunehmende Gefahr für deine WordPress-Seiten sind – die dank automatisierter Angriffe und der großen Zahl WordPress-betriebener Seiten voraussichtlich noch weiter anwachsen wird – sind sie in der Praxis fast nur bei unvorsichtigen Seitenbetreibern erfolgreich.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

Jan Hornung

Teil von Raidboxes seit der ersten Stunde und Head of Support. Auf Bar- und WordCamps spricht er am liebsten über Pagespeed und Website-Performance. Bestechen kann man ihn am besten mit einem Espresso – oder bayrischer Brezn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert