WordPress KMU Digitalisierung Schweiz

Möchten Sie Brute-Force-Angriffe auf Ihre Website stoppen und verhindern? Haben Sie festgestellt das Ihre Webseite langsam ist? Vielleicht liegt es an Brute-Force Attacken.

Bei einem Brute-Force-Angriff probieren Hacker einfach Tausende von Kombinationen aus Benutzernamen und Passwort aus, bis sie die richtige finden.

Wenn sie einmal in Ihre Website eingedrungen sind, können sie alles Mögliche tun, z. B. bösartige Werbung einfügen, Ihre Benutzer betrügen und sogar Ihre Website lahmlegen. Bis hin zur Erpressung.

Diese Anleitung zeigt Ihnen, wie Sie Brute-Force-Angriffe stoppen und verhindern können, damit Hacker keine Chance haben, in Ihre Website einzudringen.

Bevor wir jedoch zu den einzelnen Schritten kommen, sollten wir uns darüber im Klaren sein, was ein Brute-Force-Angriff ist, damit Sie während des Tutorials ein besseres Verständnis haben.

Was ist ein Brute-Force-Angriff?

Wenn wir sagen, dass Hacker verschiedene Passwortkombinationen auf Ihrer Website ausprobieren, um sich anzumelden, stellen Sie sich vielleicht eine echte Person vor, die an einem Computer sitzt und Passwörter eintippt, oder?

Hacker sind weitaus fortgeschrittener als das. Sie programmieren Bots, um das Internet zu scannen und Websites zu finden, die mit WordPress laufen. Dann zielen sie auf die Anmeldeseite, die in der Regel www.example.com/wp-admin ist.

password example wordpress

Sobald sie auf der Anmeldeseite sind, führen diese Bots eine riesige Datenbank mit häufig verwendeten Benutzernamen und Passwörtern.

  • Übliche Benutzernamen sind admin” oder der Name der Person, der die Website gehört.
  • Gängige Kennwörter sind password1234, 12345678 und qwerty1.

Diese Hacker-Bots sind in der Lage, Tausende von Anmeldeversuchen pro Minute durchzuführen. Und sie versuchen es immer und immer wieder, bis sie es richtig machen oder ihre Datenbank erschöpfen. Daher auch der Name Brute-Force-Angriff.

Jetzt denken Sie vielleicht, dass Sie nur ein wirklich sicheres Passwort festlegen müssen und das Problem ist gelöst. Aber das ist nicht genug.

Tausende von Anmeldeversuchen können Ihre Website verlangsamen und sogar zum Absturz bringen. Dies kann die Benutzerfreundlichkeit beeinträchtigen, was bedeutet, dass Besucher Ihre Website verlassen, weil sie nicht schnell genug geladen wird.

Eine bessere Möglichkeit, Ihre Website zu schützen, wäre es, den Hacker von diesen Versuchen abzuhalten. Genau das werden wir Ihnen als Nächstes zeigen. Fangen wir gleich damit an.

Im Folgenden stellen wir Ihnen 6 wichtige Schritte vor, die Sie zum Schutz Ihrer Website vor Hackern unternehmen müssen. Wir konzentrieren uns dabei auf die Verhinderung von Brute-Force-Angriffen, aber denken Sie daran, dass diese Schritte auch andere Malware-Angriffe abwehren können.

Sie werden ein robustes Sicherheitssystem aufbauen, das sicherstellt, dass Hacker keine Möglichkeit haben, Ihre Website von innen oder außen zu beschädigen.

Hier ist eine Liste der 6 Schritte, die wir behandeln werden:

  1. Installieren Sie ein Firewall-Plugin
  2. Anmeldeversuche begrenzen
  3. Zugang zur Anmeldeseite einschränken
  4. Passwörter regelmäßig ablaufen lassen
  5. 2-Faktor-Authentifizierung hinzufügen
  6. HTTP-Authentifizierung hinzufügen

Schritt 1: Installieren Sie ein Firewall-Plugin

Eine Firewall dient als Ihre erste Verteidigungslinie. Sie analysiert jeden Besucher, der auf Ihre Website kommt, und blockiert bösartige Bots. Das bedeutet, dass nur guter Traffic auf Ihre Website gelangen kann.

Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können.

  • Web-Anwendungs-Firewall: Diese Firewalls sitzen vor Ihrer WordPress-Website und scannen den eingehenden Datenverkehr. Sie sind recht effektiv, bieten aber keinen Schutz auf Serverebene. Das bedeutet, dass Hacker immer noch auf Ihren Server zugreifen und Ihre Website beschädigen können.
  • Website-Firewall auf DNS-Ebene: Diese Firewall bietet Ihnen einen besseren Schutz vor Hackern, da sie vor Ihrem Server installiert ist. Sie scannt also den gesamten Datenverkehr, bevor er Ihren Hauptserver erreicht.

Wir empfehlen dringend, in eine DNS-Firewall zu investieren, um Ihre Website zu schützen. Sucuri hat eine der besten DNS-Firewalls der Branche.

Sucuri verfügt über integrierte Funktionen zum Blockieren von Brute-Force-Angriffen, ohne die Benutzer Ihrer Website zu beeinträchtigen.

Sie blockiert auch automatische Tools, die zum Scannen Ihrer Website verwendet werden. So bleibt Ihre Website auf dem Radar von Angreifern.

Dann wird Ihre Website ständig überwacht, und wenn bösartige Bots auf Ihre Website gelangen, werden sie automatisch blockiert.

Schritt 2: Anmeldeversuche begrenzen

Wenn Sie gezielt Brute-Force-Angriffe abwehren wollen, ist eine der besten Möglichkeiten, dies zu tun, die Anzahl der Anmeldeversuche eines Benutzers zu begrenzen.

So können Sie ihnen beispielsweise maximal 3 Versuche einräumen, den richtigen Benutzernamen und das richtige Passwort einzugeben. Wenn sie es nicht schaffen, können sie die Option Passwort vergessennutzen und ihre Anmeldedaten wiederherstellen.

Lost password in WordPress

Jeder Benutzer oder Bot, der versucht, Ihre Website mit brachialer Gewalt zu öffnen, wird nach 3 Versuchen aufgeben und zum nächsten Ziel übergehen.

Sie können ein Plugin zur Begrenzung der Anmeldeversuche auf Ihrer WordPress-Website hinzufügen, um diese Funktion zu nutzen. Wenn Sie ein Sicherheits-Plugin wie Sucuri verwenden, sollten Sie die Begrenzung der Anmeldeversuche bereits automatisch zu Ihrer Website hinzugefügt haben.

Schritt 3: Zugriff auf die Anmeldeseite einschränken

Eine weitere gute Möglichkeit, Ihre Website vor Brute-Force-Angriffen zu schützen, besteht darin, den Zugriff auf die URL der Anmeldeseite nur Personen zu gewähren, denen Sie vertrauen.

Jedes Gerät, das das Internet nutzt, hat eine eindeutige IP-Adresse. Sie können ein Sicherheits-Plugin verwenden, um den Zugriff auf die Anmeldeseite für alle IP-Adressen zu sperren und nur die gewünschten Adressen auf die Whitelist zu setzen.

Auf diese Weise können nur autorisierte Benutzer die Anmeldeseite öffnen. Diese Methode wird “allowlisting” genannt und ist sehr effektiv, um Hacker fernzuhalten.

Wenn Sie Sucuri verwenden, können Sie auf der Registerkarte Zugriffskontrolle in Ihrem Dashboard IP-Adressen auf der Whitelist hinzufügen.

Sucuri whitelist

Wechseln Sie dann zur Registerkarte Sicherheit.

Sie sehen eine Option zur Aktivierung von Admin-Panel nur für IP-Adressen auf der Whitelist.

whitelist in sucuri

Wenn Sie dieses Kästchen aktivieren, erlaubt Sucuri automatisch nur Ihren vertrauenswürdigen Benutzern den Zugriff auf die Anmeldeseite.

Schritt 4: Passwörter regelmäßig ablaufen lassen

Es versteht sich von selbst, dass die beste Art, ein Konto oder eine Website im Internet zu schützen, die Verwendung sicherer Benutzernamen und Passwörter ist.

Außerdem müssen Sie Ihr Passwort regelmäßig ändern. Wenn Sie einen Angriff vermuten, müssen Sie es sofort ändern.

Wenn Sie nun mehrere Benutzer haben, die Zugang zu wp-admin haben, kann es sein, dass diese nicht daran denken, ihre Passwörter regelmäßig zu ändern.

Um dies zu vermeiden, können Sie Erinnerungen einrichten und sie zwingen, ihr Passwort in bestimmten Abständen zurückzusetzen.

expire password example

Sie können ein Plugin wie Expire User Passwords verwenden, um Passwörter regelmäßig ablaufen zu lassen und den Benutzer zu zwingen, sein Passwort zu ändern, bevor er sich wieder anmelden kann.

Schritt 5: 2-Faktor-Authentifizierung hinzufügen

Höchstwahrscheinlich haben Sie die 2-Faktor-Authentifizierung in Ihren Anwendungen, insbesondere bei E-Mails, bereits gesehen oder verwendet.

Neben der Eingabe Ihres Passworts müssen Sie einen einmaligen Passcode eingeben, der an Ihr Mobiltelefon oder Ihre E-Mail geschickt wird.

2fa-code-sucuri

Sie können diesen Code als SMS oder über eine Authentifizierungs-App erhalten.

Das bedeutet, dass sich ein Nutzer in Echtzeit verifizieren muss, was es für Hacker extrem schwierig macht, sich Zugang zu verschaffen.

Selbst wenn sie Ihr Passwort knacken, brauchen sie auch den Echtzeit-Passcode.

Mit allen gängigen Sicherheits-Plugins wie Sucuri und MalCare können Sie die 2-Faktor-Authentifizierung im Dashboard aktivieren.

Sie müssen also keinen Code anfassen, um diese Maßnahme zu Ihrer Website hinzuzufügen.

Schritt 6: HTTP-Authentifizierung hinzufügen

Der letzte Schritt, den Sie zum Schutz Ihrer Website vor Brute-Force-Angriffen unternehmen können, ist das Hinzufügen einer Anmeldeseite zu Ihrer Anmeldeseite.

Das scheint ein bisschen viel, aber es wirkt wie eine zusätzliche Schutzschicht und ist ein sicherer Weg, um Hacker daran zu hindern, durch Brute-Force-Angriffe auf Ihre Website zu gelangen.

Bei der HTTP-Authentifizierung wird Ihre Anmeldeseite ausgeblendet und eine leere Seite mit einem Anmeldefeld angezeigt.

Sobald Sie Ihre HTTP-Zugangsdaten eingegeben haben, wird Ihre WordPress-Anmeldeseite angezeigt.

Sie können diese Maßnahme in Ihrem Hosting-CPanel hinzufügen. Wenn Sie noch nie mit cPanel gearbeitet haben, machen Sie sich keine Sorgen. Wir zeigen Ihnen in ein paar einfachen Schritten, wie Sie es tun können.

Loggen Sie sich in Ihr Webhosting-Konto ein, gehen Sie zu cPanel und suchen Sie nach Directory Privacy.

Directory privacy

Suchen Sie darin in der Liste der Ordner den Ordner wp-admin und bearbeiten Sie ihn.

edit wpadmin privacy

Aktivieren Sie auf der nächsten Seite zunächst die Option Passwortschutz für dieses Verzeichnis. Nun werden Sie von cPanel aufgefordert, einen Benutzernamen und ein Passwort einzugeben.

add password to directory

Stellen Sie sicher, dass Sie Ihre Einstellungen speichern, bevor Sie diese Seite verlassen. Ihr WordPress-Administrationsverzeichnis ist nun passwortgeschützt.

Wenn Sie Ihre wp-admin-Seite öffnen, werden Sie aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben, die Sie gerade erstellt haben.

Falls Sie auf einen 404-Fehler oder zu viele Umleitungsmeldungen stoßen, müssen Sie die folgende Zeile in Ihre WordPress-.htaccess-Datei aufnehmen.

ErrorDocument 401 Standard

Damit ist Ihre Website gegen Brute-Force-Angriffe geschützt.

Wir empfehlen außerdem, regelmäßig eine Sicherungskopie Ihrer Website zu erstellen. Wenn etwas schief geht, sei es ein Hack oder ein menschliches Versagen, können Sie Ihre Website schnell wiederherstellen und in den Normalzustand zurückversetzen. So können Sie den Schaden für Ihre Website und die Benutzerfreundlichkeit minimieren.

Mit UpdraftPlus können Sie automatische Backups planen, die sicher gespeichert werden.

Wir hoffen, dass Sie diesen Beitrag über die Verhinderung von Brute-Force-Angriffen hilfreich fanden. Gerne helfen wir Ihnen diese Massnahmen umzusetzen oder auch mal einen Scan Ihrer Webseite zu machen um mögliche Gefahren zu erkennen.