Wer seine Website mit einer Basis-Installation ohne zusätzliche Absicherungen betreibt, liebt anscheinend das Risiko. Angriffe auf WordPress-Installationen sind nicht die Ausnahme, sondern tägliche Gewissheit. Es ist also nur eine Frage der Zeit, wann sich jemand Zugriff auf Ihr System verschaffen möchte.
Das herkömmliche Login-Verfahren
Die Sicherheit einer WordPress-Installation hängt von sehr vielen verschiedenen Gegebenheiten ab. Ein beliebtes Angriffsziel und oftmals die Achillesverse der ist das Standard-Loginverfahren mit Benutzername und Passwort. Allerdings ist hier weniger das Verfahren selbst, sondern die menschliche Komponente das Sicherheitsrisiko. Der Mensch macht es sich mit Benutzername und Passwort leider viel zu oft viel zu einfach und macht die Installation dadurch zusätzlich angreifbar. Aus Bequemlichkeit werden Standard Benutzernamen und einfach Passwörter gleich auch auf mehreren Konten eingesetzt. Oft gemachte Authentifizierungsfehler:
- Verwendung von einfachen und bekannten Benutzernamen (admin, administrator…)
- Verwendung von viel zu einfachen Passwörtern (love, secret, liebe192, baumhaus12…)
Als Administrator-Benutzername wird bei der Installation von WordPress normalerweise der Benutzer „admin“ angelegt. Wer diesen nicht direkt abgeändert hat, hat potenziellen Angreifern schon mal ein wichtiges Kriterium des Login-Verfahrens mitgeteilt. Das zugehörige Passwort wird meistens durch die „Brute-Force-Methode“ zu kacken versucht. Dabei wird einfach so oft wie möglich jede mögliche Kombination versucht, bis das richtige Passwort gefunden ist. Dies geschieht mit einem herkömmlichen PC je nach Passwortstärke recht schnell (oftmals in wenigen Minuten oder Stunden). Mit mehreren Hochleistungsrechnern bräuchte man bei schwachen Passwörtern hingegen nur Sekunden.
Würde jeder Mensch pro Website/Konto einen individuellen Benutzernamen und ein wirklich langes und sicheres Passwort verwenden, wäre das schon einmal eine echte Verbesserung der Sicherheit. Eine Passwort-Manager-Software kann dabei helfen, die Passwörter sicher zu archivieren. Allerdings schützt auch dies nicht vor Trojanern und Keyloggern, die jegliche Authentifizierungsdaten bei der Eingabe schon lokal auf dem Rechner des Benutzers abfangen. Daher sollte der Virenscanner immer auf dem aktuellen Stand sein.