WordPress: Aktuelle Brute-Force-Angriffswelle verhindern

Aktuell sind WordPress-Installationen mal wieder das Ziel einer Brute-Force-Angriffswelle. Es wird versucht in den Adminbereich einzudringen, indem alle möglichen Kombinationen von Nutzernamen und Passwörtern ausprobiert wird. Pro Stunde werden um die 200.000 Seiten via Brute-Force attackiert – es werden sogar Spitzenwerte mit bis zu 14 Millionen Angriffe pro Stunde erreicht.

Wer dem vorbeugen möchte, der findet hier für nginx, Apache und auch lighttpd Code-Snippets, um den Adminbereich zusätzlich abzusichern.

Meine Variante: Den Adminbereich kann grundsätzlich nur die IP-Adresse meines Büroanschlusses erreichen. Dahinter wartet dann ein zusätzlicher Zugriffsschutz mit Nutzername und Passwort. Erst nach erfolgreicher Authentifizierung erscheint das Loginfenster zum WordPress Adminbereich. Alle anderen bekommen einen nginx »444« (Verbindung wird serverseitig beendet) serviert und landen für eine gewisse Zeit in einem Fail2ban Gefängnis.

Sollte euer Hoster euch nicht die Möglichkeit einräumen, eine .htaccess Datei (Apache) einzurichten, dann solltet ihr euch schnell nach einem anderen Hoster umschauen – zumindest wenn ihr WordPress betreibt.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡