IT & Technik
Kommentare 11

Holland in Not – Hacker-Angriff im Blogger-Urlaub

Hacker-Angriff

Blogger sind Menschen – verrückt, aber wahr! Und Menschen brauchen hin und wieder mal eine Pause, d.h. Urlaub.

Auch ich habe mir eine Pause gegönnt und bin mit meiner Nichte nach Holland gefahren. Nur für eine Woche, aber immerhin.

Habt ihr das überhaupt bemerkt? Eher nicht, oder? Das Schöne an WordPress ist, dass man die Artikel vordatieren kann und diese dann automatisch online gehen, egal wo man selbst sich gerade befindet.

Was aber passiert, wenn der Blog ausgerechnet in dieser Zeit angegriffen wird? Ein großer Hacker-Angriff (eine sogenannte Brut Force Attack) wurde nämlich genau in meiner Ferienwoche auf das Unternehmerhandbuch und seine Server-Mitbewohnerin nicmag gestartet.

Ausgerechnet, als ich in Ruhe die Seele am Strand baumeln lassen wollte. Großer Mist und große Aufregung!

Was ist eine Brut Force Attack?

Kurz gesagt versucht ein Hacker sich in den Blog einzuloggen, indem er mittels einer Software in kürzester Zeit alle möglichen Benutzernamen- & Passwort-Kombinationen durchprobieren lässt. Trifft er dabei zufällig die richtige Kombination ist er drin und kann dann im Blog Schadsoftware installieren, die Inhalte manipulieren oder gar einen Erpressungsversuch starten.

Ganz schlimme Sache also.

Und selbst wenn er nicht rein kommt, dann belastet dieser Angriff meist den Server so sehr, dass es bei der Anzeige der Seiten zu Problemen kommen kann.

Was kann man gegen einen Hacker-Angriff tun?

Man kann Hacker-Angriffe leider nicht verhindern, aber man kann die Hürden für diese miesen Typen deutlich erhöhen!

Sicheres Passwort

Zunächst einmal sollte man ein langes und sicheres Passwort verwenden. Mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen in wilder Reihenfolge, am besten 12 Stellen oder mehr.

Mein Tipp, um sich ein solches Passwort merken zu können: man bildet einen Satz mit Ziffern und Sonderzeichen drin und nimmt jeweils die Anfangsbuchstaben. So kann man sich auch sehr kryptische Zeichenkombinationen gut merken.

Strand

Foto: Heike Lorenz

Beispiel:
In Holland liegen wir seit 2005 immer in Domburg am Strand! – ergibt als Passwort: IHlws2005iiDaS! (sogar 15 Stellen)

Alternativ kann man natürlich auch einen Passwortmanager wie z.B. LastPass verwenden und sich damit Passörter generieren und speichern lassen.

Guter Benutzername

Bei WordPress hat jeder Autor einen Benutzernamen. Normalerweise wird dieser öffentlich angezeigt, wenn man das Autorenarchiv aufruft. Ganz schlecht für die Sicherheit!

Mittels des kleinen Plugins Edit Author Slug kann man den Autorennamen frei ändern, d.h. der öffentlich angezeigte Name entspricht nicht mehr dem Benutzernamen. Gut, oder?

Sinnvolle Benutzerrechte

Zusätzlich sollte man sich gut überlegen, wem man Administrator-Rechte vergibt. Je weniger Rechte ein Benutzer hat, umso weniger kann ein Hacker anrichten, wenn er zufällig doch mal die richtige Kombination erwischt.

Vielleicht überlegt man sich sogar, dass der eigentliche Administrator nie als Autor in Erscheinung tritt, man kann sich schließlich beliebig viele Benutzer anlegen. Dann hat man halt zwei Benutzer, einen als Autor und einen als Administrator.

Anzahl der Einwahlversuche begrenzen

Hier hilft ein weiteres kleines Plugin bei WordPress-Blogs: Limit Login Attempts. Damit kann man die Anzahl der Versuche begrenzen, die ein Hacker von einer speziellen IP (seiner jeweiligen Internet Adresse) hat. Schafft er es z.B. innerhalb von 3 Versuchen nicht die richtige Kombination zu erraten, so wird die entsprechende IP für einen definierten Zeitraum gesperrt für weitere Einwahlversuche.

Rums, Tür zu.

Eine zweite Passwortabfrage einbauen

Diesen Tipp haben wir von Marco (dem schlauen Kopf hinter unmus) erhalten, als die Meldungen über ungültige Anmeldeversuche uns nur so um die Ohren sausten. Wir haben direkt bei unserem Hoster einfach eine zweite Barriere hochgezogen, so mit Stacheldraht und Selbstschussanlagen.

Zweiter Benutzername, zweites Passwort.

Damit dauert das Raten der Hacker jetzt einfach doppelt so lange. Ätsch!

Mein Urlaubs-Fazit

Als der Angriff losging und mein Postfach von Minute zu Minute voller wurde mit schlimmen Meldungen, habe ich fast einen Herzinfarkt bekommen. Ehrlich.

Da steckt man über vier Jahre viel Liebe und Energie in einen Blog und dann wollen so böse Kerle einem alles kaputt machen. Einfach so, wegen Geld oder aus bloßer Zerstörungslust. Keine Ahnung.

Strand

Foto: Heike Lorenz

Da ist es gut, wenn man Blogger-Kollegen hat, die einem sofort mit Rat und Tat zur Seite stehen. Vor allem, wenn man im Ausland ist und eigentlich nur ein Eis essen möchte mit der Lieblingsnichte in der Sonne am Strand.

Danke Marco, Danke Nicole – ohne euch wäre es nicht halb so nett im Internet :-)

Nachdem mir versichert wurde, dass eigentlich (eigentlich, ha!) nichts passieren kann, habe ich schließlich die Benachrichtigungen einfach ausgeschaltet und darauf vertraut, dass die eingebauten Sicherheitsmaßnahmen ihren Dienst tun. Taten sie auch. Zum Glück.

Aber lustig war es trotzdem nicht. Aufregung dieser Art muss im Urlaub nun wirklich nicht sein.

Denn ich möchte im Urlaub vor allem abschalten und mich einfach mal nicht um meinen Blog kümmern. Nichts schreiben, nichts optimieren und am liebsten auch keine Mails beantworten. Einfach gar nicht arbeiten. Einfach komplett Urlaub machen!

Und wie nicmag schon schrieb:
Euch Hackern da draußen: Schlimme Diarrhoe in Kombination mit eitrigen Pickelgesichtern! Euer Karma möchte ich nicht haben, nicht mal geschenkt!

Wer noch ein paar mehr Tipps möchte, dem empfehle ich den super Artikel von elmastudio: So schützt du deinen WordPress-Login vor unerwünschten Zugriffen

Dies ist mein Beitrag zu diesen Blogparaden, die sich alle mit dem Thema Urlaub beschäftigen:

Hacker-Angriff

Pin it!

Fotos: Heike Lorenz

11 Kommentare

  1. Avatar-Foto

    Hallo Heike,

    ein interessanter Artikel und eine krankhaftes Thema Hacker-Angriffe auf WordPress-Seiten.
    Da kann man wirklich nichts machen, außer genügend absichern und Urlaub oder Pause nicht ankündigen, leider Hacker-Angriffe auf WordPress-Blogs nehmen von Jahr zu Jahr zu!
    Ist ja klar, weil es das meistgenutzte Content Management System weltweit ist.

    Wir waren auch schon angegriefen und aufgrund DNS-Spoofing und Cache Poisoning Angriffen eine lange Zwangspause anlegen mussten.
    Bösewichter wollen an deine Seite/Server/Hosting nur um Traffic zu kapern und Backlinks zusetzen.

    Grüße aus Norden
    Viktor

      • Avatar-Foto

        Da kann man wirklich nichts machen, abwarten und Kaffee trinken, oder Server ab und zu Neue laden, bringt auch nicht viel, wird sofort wieder conectet.
        Brut Force Attack laufen in der Regel nicht lange (Kostenfaktor). DNS-Spoofing und Cache Poisoning können Monatelang sein.
        Trotzdem verliert man in der Zeit viel Leser.

        LG

Schreibe einen Kommentar zu Heike Lorenz Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Wenn Du wissen möchtest, welche Daten wir beim Hinterlassen eines Kommentars speichern, schau bitte in unsere Datenschutzerklärung.