WordPress-Blogs werden zum Ziel von Angriffen

In den letzten Tagen werden vermehrt mit der Blogging-Software WordPress erstellte Internetseiten zum Ziel unbekannter Angreifer, welche versuchen, die Blogs zu übernehmen und Schadcode zu installieren. mehr... Logo, Wordpress, Markenzeichen Bildquelle: Wordpress Logo, Wordpress, Markenzeichen Logo, Wordpress, Markenzeichen Wordpress

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Allein das eine Brute-Force-Attacke möglich ist, spricht doch schon gegen das CMS als solches. Der Log-In für den betreffenden Account gehört ab x falschen Versuchen gesperrt und muss sich dann erst separat (z.B. via E-Mail) wieder aktivieren lassen.
 
@Stratus-fan: Kann man ja alles einstellen. Nur macht das ja leider fast keiner. Ich lasse mich nach 2 fehlgeschlagenen Anmeldeversuchen immer benachrichtigen + blocken der IP. Mir ist da auch schon ein Anstieg aufgefallen.
 
@h1231: Das ist so wie (früher) bei den ganzen W-LAN Routern. Nur weil man WPA2 anbietet, hilft das dem 0815-User nicht, der nicht weiß das (wo) er es einstellen muss. Solche Features sollten per Default aktiv sein.
 
@Stratus-fan: Die Email-Aktivierung muss gar nicht sein, eine Sperre für wenige Minuten macht einen Brute-Force schon vollkommen unrentabel.
 
@Draco2007: Jaein. Sagen wir nach 3 falschen Versuchen sperrt man für 15 Minuten, damit kannst Du im Jahr noch immer gute 100k Versuche unternehmen. Das reicht natürlich nicht für komplexe Passwörter und ein guter Admin sollte das vorher entdecken, aber Wordpress ist Weißgott nicht zwingend hauptsächlich bei Profis verbreitet. Für "Wörterbruchattacken" und Rainbowtables reicht das allemal mit etwas Geduld.
 
@Stratus-fan: Mit 100k Versuchen PRO Jahr knacke ich etwa ein 3-4 stelliges Passwort pro Jahr. Wenn jemand SO bescheuert ist, dann hat er es verdient.
 
@Draco2007: Siehe Ergänzung/Edit oben. Nicht für sichere Passwörter, aber für alles "gebräuchliche" sollte das ausreichen. Sonst hast Du natürlich recht. Allein für ein dreistelligen PW mit Groß/Kleinschreibung und ohne Sonderzeichen würde man schon über 2 Jahre benötigen.
 
@Stratus-fan: Zudem reden wir hier ja von Blogs und keinen hochsensiblen Informationen, da reicht so ein System vollkommen aus. Denn ein Aktivierungssystem per Mail macht wesentlich mehr Arbeit als einfach eine kurze Sperre.
 
@Draco2007: Klar ist es nicht hochsensibel, aber wenn so auf dem Blog Schadsoftware eingeschleust wird (Templates oder den Header mit externem Javascript zu versehen ließe sich als Admin ja sehr einfach realisieren) ist das nicht mehr trivial. Genau wegen dieser Denkweise gibt es so viele Malware- und Spam-Schleudern im Netz.
 
@Stratus-fan: Draco hat vollkommen Recht. Eine derartige Sperre ist mehr als ausreichend. Vor allem, wenn jemand ein Jahr lang versucht deine Seite zu übernehmen, dann spricht das definitiv für eine gezielte Attacke. Und dass jemand über Monate hinweg versucht deinen Account zu bruteforcen sollte wohl auch dem größten Noob auffallen (sofern es dann noch im Dashboard angezeigt wird). Genug Plugins gibt es, diese sollte Wordpress evt. per default implementieren. Kann man ja mal auf die wishlist setzen :)
 
@Ninos: Werden denn auch andere Nutzer darüber informiert, das andere Accounts des Blogs angegriffen werden? Angenommen der User nutzt (wie so oft) einen separaten Account zum Schrieben und loggt sich dann auch nur dort ein... Wie gesagt, ich rede hier nicht von einem gut administrierten Blog, sondern von den - wahrscheinlich prozentual sogar meisten - Hobby-Blogs über die neuen Sporthosen und Tütensuppen.
 
@Stratus-fan: sofern die Dashboarderweiterung einigermaßen logisch programmiert ist, sollte der Administrator eine allgemeine Angriffsstatistik sehen und die weiteren User nur ne Statistik über deren Account. Draco2007 hat weiter oben auch geschrieben, dass es ein Plugin gibt, welches zusätzlich eine Email raushaut.
 
@Ninos: Das ist ja schön, aber Du argumentierst um meine Frage herum ;) Wer auf dem Blog schreibst, tut das eher selten als Blog-Admin sondern unter seinem eigenen Account. Sprich logt sich der User überhaupt regelmäßig als Blog-Admin (und um den Acc geht es ja) ein? Wie gesagt, auf gut geführten Blogs ist das sicherlich der Fall, aber meine Erfahrung sieht bei einer Vielzahl von Blogs leider anders aus. Plug-Ins für Sicherheit sind auch schön und gut, aber auch hier wieder das "WPA2-Router-Beispiel": Sobald etwas nicht per Default aktiv ist, wird es vom 0815-Dau nicht benutzt.
 
@Stratus-fan: Achso, du meinst der Admin kriegt die Angriffe nicht mit, weil der sich sogut wie nie als Admin einloggt, sondern seinen Moderatorenaccount verwendet? Also ich kenne keine User, welche statt dem eigenen Adminaccount nen Moderatorenaccount verwenden. Viel mehr sollte man drauf achten, dass der Adminuser nicht admin heißt :D Aber zurück zu deinem Bedenken. Ich denke da kann man wenig dagegen unternehmen. Du kannst ja schlecht jedem Moderator die Adminstatistik zeigen. Bezüglich dem Pluginsystem für mehr Sicherheit, da bin ich ebenso der Meinung, dass gewisse Sicherheitsfunktionen per default übernommen werden. Wie auch oben erwähnt, sofern man eine Idee hat, kann man diese gerne auf die Wishlist von Wordpress posten :)

PS: hoffe diesmal hab ich deine Frage beantwortet XD
 
@Stratus-fan: Für was sollen in diesem Fall Rainbowtables gut sein?
 
Was ist daran jetzt neu?
 
@Heimchen: genau und bei joomla 1.5 geht es noch viel mehr ab... es sind schon tausende gehackt worden.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen