Viele erschrecken, wenn sie fehlgeschlagene Login-Versuche auf ihren WordPresswebseiten bemerken. Auf der anderen Seite machen sich sicherheits- und technikbewusste Nutzer nicht viel aus fehlgeschlagenen Login-Versuchen. Schließlich bekommt jede Website ihren Anteil an Bot-Traffic und Dictionary bzw. Brute Force Attacken.
Erhält deine WordPress Webseite eine Menge fehlgeschlagener Login-Versuche? Dieser Artikel erklärt, warum dein WordPress solche Angriffe bekommt und was du dagegen tun solltest. Er schlägt auch eine Reihe von Empfehlungen vor, die dir helfen, die Sicherheit der Login-Seiten deiner Website zu verbessern.
Du bemerkst zu viele fehlgeschlagene Login-Versuche auf deinerWordPress Seite
Diejenigen, die ein Activity Log Plugin für WordPress auf ihrer Website installieren, sind in der Regel von der Anzahl der fehlgeschlagenen Login-Versuche überrascht. So sehr, dass viele tatsächlich denken, dass mit dem Activity Log Plugin etwas nicht stimmt.
Was das Plugin gemeldet hat, waren keine Fehlalarme. Wenn du ein WordPress Activity Log Plugin auf deinen Webseiten installierst, wirst du die gleiche Aktivität sehen, auch wenn deine Webseite nicht populär ist.
Warum haben es Hacker auf deine Website abgesehen?
Der Großteil der Angriffsversuche auf deine WordPress Seite zielt nicht speziell auf deine Webseite ab. Es sind automatisierte Bots, die versuchen, die Passwörter deiner Nutzer zu erraten. Ihr Ziel ist es, WordPress-Webseiten mit schwachen Anmeldedaten zu finden.
Du trägst keine Schuld! Deine WordPress Webseite ist Empfänger solcher Angriffe, weil sie online ist. Es hat nichts damit zu tun, wie beliebt deine Webseite ist oder nicht. In der Tat erhalten auch Nicht-WordPress-Websites solche Arten von Angriffen. Bots senden Anfragen an jede beliebige Domain und unterscheiden nicht zwischen WordPress- und Nicht-WordPress-Websites. Typischerweise werden jedoch WordPress-Websites ins Visier genommen. Der größte Vorteil und zugleich auch Nachteil von WordPress ist, dass diese CMS von sehr vielen Betreibern genutzt wird. Daher sind viele dieser automatisierten Angriffsversuche auf WordPress ausgelegt.
Haben fehlgeschlagene Login-Versuche Auswirkungen auf die Performance deiner Website?
Die täglichen zufälligen Angriffe, die deine Webseite erhält, haben keinen Einfluss auf die Leistung deiner Webseite. Nur gezielte Brute-Force- und Dictionary-Attacken können eine abnormale Menge an Bandbreite verbrauchen, und sehr oft führen sie zu einem Denial of Service. In solchen Fällen, die nicht häufig vorkommen, gibt es nicht viel, was du als „normaler“ WordPressseitenbetreiber tun kannst – dein Webhosting-Anbieter oder Server Manager muss sich um ein solches Problem kümmern.
Was sind die Risiken von zu vielen fehlgeschlagenen Anmeldeversuchen?
Solange du starke WordPress-Passwörter verwendest, gibt es deutlich weniger Sicherheitsrisiken. Du solltest jedoch in Erwägung ziehen, WordPress-Benutzer nach einer Reihe von fehlgeschlagenen Login-Versuchen zu sperren, als Sicherheitsvorkehrung. So verhinderst du, dass ein Angreifer das Passwort einiger deiner WordPress-Nutzer erraten kann. Eine weitere Best Practice ist es, eine Historie der fehlgeschlagenen Logins in WordPress zu führen, damit du im Voraus informiert bist und entsprechend handeln kannst, falls es verdächtige fehlgeschlagene Login-Versuche auf deiner Seite gibt.
Soll ich störende IP-Adressen sperren?
Eine häufig vorgeschlagene Abhilfemaßnahme, um fehlgeschlagene Login-Angriffe auf dein WordPress zu vereiteln, ist die Blockierung der angreifenden IP-Adressen. Sofern deine Webseite nicht das Ziel eines Brute-Force-Angriffs ist, ist es nicht empfehlenswert, diesen Weg zu gehen. Angreifer können eine solche Blockade leicht umgehen und die IP-Adressen ändern, so dass du in einem Katz- und Mausspiel endest.
Beginne mit den Grundlagen – verwende starke Anmeldedaten, aktiviere 2FA und befolge Best Practices
Wie bei fast allen anderen Dingen auch, solltest du dich zunächst mit den Grundlagen beschäftigen. Vermeide gängige Benutzernamen wie admin, root oder deinen Vornamen. Verwende eine Kombination aus Buchstaben und Zahlen für deine Benutzernamen. Verwende für deine Passwörter eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Hier sind einige Tipps, was ein starkes WordPress-Passwort ausmacht. Du solltest auch die folgenden Punkte berücksichtigen:
Verbessere die Sicherheit deiner WordPress Login-Seiten:
- Greife nur über HTTPS auf deine WordPress Login-Seite zu, sonst ist es für Angreifer sehr einfach, den WordPress Benutzernamen und das Passwort zu hacken
- Implementiere eine Zwei-Faktor-Authentifizierung (2FA)
- Lege die WordPress Login-Seite hinter die HTTP-Authentifizierung (dies ist nur praktisch, wenn sich nur eine kleine Anzahl von Nutzern auf deiner Webseite einloggen)
Die Sicherheit deiner WordPress-Website ist nur so stark wie das Passwort der Nutzer. Verlasse dich nicht darauf, dass die Benutzer deiner Website ihr Benutzerkonto sicher halten können. Immer:
- Erzwinge starke WordPress Passwort Richtlinien
- Blockiere WordPress Benutzer, die zu viele fehlgeschlagene Login-Versuche haben
- Wenn du immer von der gleichen IP-Adresse auf das WordPress-Dashboard zugreifst, beschränke den Zugriff auf die Login-Seite auf deine IP-Adresse.