Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine Methode, bei der ein Angreifer systematisch alle möglichen Kombinationen von Benutzernamen und Passwörtern ausprobiert, bis er Zugang zu einem System erlangt. Der Begriff stammt aus dem Englischen und bedeutet so viel wie „rohe Gewalt“. Das Verfahren setzt keine Schwachstelle in der Software voraus, sondern nutzt die mathematische Tatsache, dass ein Passwort irgendwann gefunden wird, wenn man genug Kombinationen durchprobiert. Kurze oder einfache Passwörter können bei modernen Rechnern in Sekunden geknackt werden, lange zufällige Zeichenfolgen hingegen würden Jahrtausende dauern.
Was bedeutet das für Ihre Website?
WordPress ist eines der am häufigsten angegriffenen CMS-Systeme, weil es so weit verbreitet ist. Die Standard-Login-URL /wp-admin und der häufig verwendete Benutzername „admin“ machen es Angreifern leicht, den ersten Schritt zu tun. Automatisierte Skripte, sogenannte Bots, probieren innerhalb weniger Minuten Tausende von Passwort-Kombinationen durch. Nutzen Sie ein schwaches Passwort wie „passwort123“ oder „admin2024“, reichen oft wenige Sekunden, bis das Konto kompromittiert ist.
Neben dem direkten Schaden durch einen erfolgreichen Login verursachen Brute-Force-Angriffe auch ohne Erfolg Probleme: Die Masse an Anfragen belastet den Server spürbar, verlangsamt die Website für echte Besucher und kann bei einfachem Shared Hosting zu kurzen Ausfällen führen. Manche Hosting-Anbieter reagieren darauf mit einer automatischen Sperre bestimmter IP-Adressen, was dann auch legitime Anfragen blockiert.
Ein erfolgreicher Brute-Force-Angriff ist meistens nur der erste Schritt. Sobald der Angreifer Zugang zum Dashboard hat, installiert er häufig eine Backdoor oder schleust Malware ein. Er kann Spam-Mails über Ihren Server versenden, Ihre Website auf Phishing-Inhalte umleiten oder die gesamte Datenbank kopieren. Der eigentliche Schaden bleibt dabei oft wochenlang unbemerkt, weil die Website nach außen hin normal aussieht.
Besonders gefährdet sind Websites mit einfachen Passwörtern, aktiven Editor- oder Autor-Konten ohne Zwei-Faktor-Schutz und Installationen, die keine Begrenzung der Login-Versuche eingerichtet haben. Wenn Ihre Hosting-Zugangsdaten dasselbe Passwort wie Ihr WordPress-Konto verwenden, kann ein einziger Treffer gleich mehrere Systeme öffnen. Auch FTP- und SFTP-Zugänge sind ein beliebtes Ziel: Viele Betreiber legen hier noch schwächere Passwörter fest als beim WordPress-Login selbst, obwohl über FTP-Zugang der gesamte Datei-Baum der Website erreichbar ist.
Warnung
Schützen Sie Ihre WordPress-Installation mindestens durch drei Maßnahmen gleichzeitig: Erstens ein langes, zufälliges Passwort für alle Administrator-Konten, mindestens 16 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Zweitens eine Zwei-Faktor-Authentifizierung, sodass ein erbeutetes Passwort allein nicht ausreicht. Drittens die Begrenzung der Login-Versuche per Plugin oder Serverregel, die eine IP-Adresse nach wenigen fehlgeschlagenen Versuchen temporär sperrt. Ändern Sie außerdem den Standard-Benutzernamen „admin“, denn er ist das Erste, was jede Brute-Force-Software ausprobiert.
Verwandte Begriffe
Zwei-Faktor-Authentifizierung |
Malware |
Sicherheit |
DDoS-Angriff |
Plugin