Täglich werden tausende WordPress-Seiten gehackt. Doch bevor du dich gegen WordPress zum Betreiben deiner Website entscheidest, muss dir bewusst sein, dass es keine vollkommen sicheren Websites gibt. Es ist also egal, ob du WordPress, Jombla, Typo 3 nutzt oder eine einfach HTML-Seite hast, potentielle Gefahr durch einen Hackangriff besteht immer, es gibt nur unterschiedliche Angriffsstellen.

Es ist zudem völlig unerheblich, ob du ein großen Online Shop betreibst oder nur eine Art Visitenkarte für ein kleines lokales Unternehmen. Jede Seite ist aus irgendeinem Grund interessant für die Hacker! So können z. B. Daten deiner Kunden direkt in deiner Datenbank oder über eine Weiterleitung zu unechten Bezahlseiten oder dubiosen Verkaufsseiten, die mit dir nichts zu tun haben, abgegriffen werden. Es könnte auch einfach Werbung auf deiner Website platziert werden oder unerlaubte Mails an deine Newsletterabonnenten verschickt werden.

Zu den häufigsten Angriffsarten gehören:

  • SQL Injection (SQLi)
  • Cross-Site Scripting (XSS)
  • Inclusion Vulnerabilities: LFI and RFI
  • Brute Force

Um die letzte kümmern wir uns heute.

Was ist Brute Force Attacke?

Ein Brute Force Angriff hat das Knacken deines Benutzernamens bzw. deines Passworts als Ziel. Dabei werden völlig automatisiert Buchstabenfolgen und Zeichenketten ausprobiert. Je komplizierter die Zusammensetzung, desto mehr Zeit wird benötigt, um die richtige Kombination zu finden. Für die gängigen, simplen Passwörter wie zum Beispiel „Admin“ oder „12345“ existiert oft eine Bibliothek. Auf diese wird beim Ausprobieren zurückgegriffen, was das Knacken des Passworts oft sehr einfach macht.

Das Absichern deiner WordPress Installation durch einen sicheren Benutzernamen und ein sicheres Passwort ist also äußerst sinnvoll. Wie du ein sicheres Passwort erstellen kannst, habe ich dir schon gezeigt. Um deine Login-Seite aber noch sicherer zu machen, kannst du zudem die Anzahl der Login-Versuche begrenzen. Damit hat „der Häcker“ nur eine bestimmte Anzahl an Versuchen, um die richtigen Zugangsdaten einzugeben. Wird diese Anzahl überschritten, wir er automatisch für immer oder für eine bestimmte Zeit blockiert.

Wie kann ich die Login-Versuche begrenzen?

Login-Versuche mit Plugin begrenzen

Es gibt einige Plugins, mit deren Hilfe du die Anmeldeversuche begrenzen kannst. Ein einfaches und sehr beliebtes Plugin ist Limit Login Attempts. Hier kannst du bestimmen, dass z.B. nach dem 4. Versuch die Anmeldung für eine bestimmte Zeit nicht mehr möglich ist. Wähle die erlaubte Anzahl für Versuche mit bedacht. Denn du könntest dich unter Umständen selbst aussperren, wenn du dein Passwort mal falsch eingetippt hast.

Des Weiteren musst du wissen, dass das Plugin die IPs zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank speichert. Das ist relevant hinsichtlich des Datenschutzes! Im Falle der Verwendung des Plugins musst du deine Websitebesucher unbedingt in der DSE darüber informieren. Grundlage für die Speicherung kann das berechtigte Interesse (Art. 6 1 lit. F DSGVO) gelten. Dies ist jedoch keine Rechtsberatung, frage dazu am besten einen Anwalt bzw. einen Datenschutzbeauftragten.

Alternativ kannst du das Plugin Limit Login Attempts Reloaded nutzen. Ist dort die Funktion „GDPR compliance“ eingeschalten, werden die gespeicherten IP-Adressen durch md5-Hash verschleiert. Damit wäre die DSGVO-Kompatibilität gegeben. Das Plugin schützt übrigens auch die Login-Seite von Woocommerce und kann auch bei Multisites verwendet werden.

Eine dritte Alternative zum Schutz vor Brute-Force-Attacken durch das Begrenzen von Login-Versuchen sind die etwas umfangreicheren Sicherheitsplugins wie zum Beispiel Wordfence. Neben vielen anderen Sicherheitsfunktionen bietet Wordfence schon in der kostenlosen Version den Brute-Force-Schutz an. Unter „All Options“ --> „Brute-Force-Protection“ kannst du die Einstellungen für das Begrenzen der Login-Versuche vornehmen.

Bitte bedenke, dass Wordfence noch einige weiteren Funktionen mitbringt, die durchaus sinnvoll sein können, aber genauso wie der Brute-Force-Schutz datenschutzrelevant sind. Ein AV-Vertrag mit Wordfence und Zustimmen deren neuen Datenschutz- und Nutzungsbestimmungen könnten die Nutzung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erlauben aus meiner Sicht die Nutzung. Mehr dazu findest du auf General Data Protection Regulation von Wordfence. An dieser Stelle erneut der Hinweis, es ist keine Rechtsberatung!

Login-Versuche ohne Plugin begrenzen

Einige Hoster bieten von Haus aus die Begrenzung der Login-Versuche an. Bei RAIDBOXES z.B. hat jede WordPress-Installation diese Funktion standardmäßig integriert. Versucht sich eine Person oder ein Bot zu häufig mit den falschen Zugangsdaten in deine Seite einzuloggen, sperrt RAIDBOXES die betreffende IP zunächst für 20 Minuten. Gehen die Login-Versuche mit falschen Daten weiter, wird die IP sogar für 24 Stunden gesperrt. Die Zahl der Versuche und den Sperrzeitraum kannst du aber auch selbst definieren.

Fazit

Mache deine WordPress Seite sicherer, begrenze die Login-Versuche und blockiere rechtzeitig die Brute Force-Attacken. Egal, ob du dich für einen Hoster, der diese Funktion anbietet, oder eines der vorgestellten Plugins entscheidest, ist dies eine sinnvolle Maßnahme, um deine Webseite vor Hackern zu schützen.