Seit Anfang April registrieren internationale Hosting-Dienstleister zunehmend Angriffe auf WordPress-Installationen. Hierbei werden anscheinend über Bot-Netze Login-Versuche durchgeführt, um WordPress-Accounts von Kunden zu finden, die nur mit einem schwachen Passwortschutz gesichert sind. Ende der zweiten Aprilwoche meldeten auch deutsche Hoster Angriffe auf WordPress- sowie auch Joomla-Accounts. Was steckt hinter dieser Angriffswelle?
Analyse der Angriffe
WordPress hat sich von seinen Ursprüngen als Blogging-Software zu einem der beliebtesten Homepage-Baukästen entwickelt. Das System vereinfacht die Erstellung von Webseiten, indem es die Gestaltung der Inhalte automatisiert. Dazu nutzt es eine Software-Installation, die auf dem Webserver läuft, der die Webseiten ausliefert. Ein Angriff auf WordPress-Accounts macht es dem Angreifer daher möglich, die Hardware des Hosters für seine Zwecke zu nutzen. Dies können zum Beispiel weitere Angriffe auf andere Systeme sein, bei denen der Angreifer die leistungsfähige Hardware des Hosters nutzen kann und nicht auf die beschränkten Ressourcen eines gekaperten PCs angewiesen ist.
Der Online-Sicherheitsdienst Sucuri hat auf WordPress-Installationen, deren Zugang gehackt wurde, unter anderem das anscheinend in Russland programmierte und kommerziell vertriebene Exploit-Kit Blackhole entdeckt. Der Dienstleister meldete auch, dass die Anzahl der Loginversuche bei WordPress-Accounts neben einer durchschnittlichen Verdreifachung im April, am 11. dieses Monats auf das 30-fache gestiegen ist und eine Million Zugriffe erreicht hat.
Welche Ziele die Angreifer letztendlich verfolgen, darüber gibt es bisher nur Spekulationen. Diskutiert wird, dass es sich um den Versuch handelt, ein besonders leistungsfähiges Bot-Netz zu schaffen, das nicht auf PCs, sondern auf den Servern der Hoster läuft.
Schutz der eigenen WordPress- und Joomla-Installation
WordPress wird typischerweise so eingesetzt, dass der Nutzer sich einen Hoster sucht und in seinem gemieteten Bereich die WordPress-Software installiert. Für das Hochladen von Inhalten und die Verwaltung der Website besitzt jede WordPress-Installation mindestens einen Administrator-Account. Nach einer Erstinstallation existiert ein solcher Account mit dem Namen „admin“. Dieser Name kann zwar vom Nutzer geändert werden, meist sieht dieser aber keinen Grund das zu tun. Setzt der Administrator für diesen Account auch noch ein schwaches Passwort, zum Beispiel eins, das in einem Wörterbuch zu finden ist, dann ist es leicht, diesen Zugang zu knacken.
Der Schutz der eigenen WordPress-Installation lässt sich daher bereits durch ein umbenennen des Administrator-Accounts deutlich verbessern. Hierbei sollte allerdings auch darauf geachtet werden, dass der neue Name nicht irgendwo auf den Webseiten auftaucht, beispielsweise als Benutzername bei Blog-Einträgen. Zusätzlich sollte aber auch die Qualität des Passwortes geprüft werden. Dieses darf nicht in Wörterbüchern auffindbar sein und nicht aus einfachen Folgen wie „12345678“ oder „Asdfg123“ bestehen. Die Länge sollte allermindestens acht, besser zehn Zeichen betragen und das Passwort sollte nicht nur aus einer Mischung von Klein- und Großbuchstaben, Sonderzeichen sowie Ziffern bestehen.
Die WordPress-Angriffe in Kürze
Seit Anfang April werden weltweit WordPress- und Joomla-Installationen angegriffen. Dabei versuchen Angreifer die Passwörter von schlecht geschützten Administrator-Accounts zu knacken. Ziel ist möglicherweise die Schaffung eines besonders leistungsstarken Bot-Netzes, das nicht auf gehackte PCs angewiesen ist, sondern die Server der Hoster nutzen kann. Einfache Schutzmaßnahmen sind die Umbenennung des Administrator-Accounts auf einen Namen, der sich nicht leicht raten lässt sowie die Vergabe sicherer Passwörter.