Auf einmal häuft sich die Anzahl der Anmeldeversuche auf Ihrer WordPress-Website. WordFence oder Limit Login Attempts verschickt schon E-Mails über abgewehrte Angriffe, eine sehr beunruhigende Situation. Nach dem ersten Schreck stellen Sie sich die Frage, was Sie gegen diese unerwünschten Anmeldeversuche unternehmen können und ob diese wirklich so gefährlich sind, wie es den Anschein hat.
Wer greift Ihre WordPress-Website an?
Es sind in den meisten Fällen keine realen Personen, die versuchen, sich in Ihr WordPress-Backend einzuloggen. Tatsächlich sind es meistens automatisierte Bots. Diese Skripte durchsuchen das Internet gezielt nach WordPress-Installationen wie Ihrer und versuchen dann automatisch mit verschiedenen Kombinationen von Benutzernamen und Passwörtern, sich Zugang zum WordPress-System zu verschaffen.
Warum wird die Website überhaupt angegriffen?
Ganz einfach, weil sie da ist, beziehungsweise, weil sie im Internet erreichbar ist. Es geht dabei gar nicht speziell um Ihre Website, sondern vielmehr darum, dass es sich um eine WordPress-Website handelt. WordPress ist eines der am häufigsten genutzten Content-Management-Systeme und daher ein beliebtes Ziel für Hacker.
Wenn ein solcher Website-Hacker sich als Administrator auf einer fremden Website anmelden kann, hat er die volle Kontrolle darüber. Zugegeben ein sehr beängstigender Gedanke für jeden Betreiber einer Website. Der Hacker kann Plugins installieren, Dateien ändern und die Website vollständig übernehmen. Oftmals wird eine auf diese Weise gehackte Website für den Versand von Spam-E-Mails missbraucht oder um Werbung für zwielichtige Produkte zu machen.
Was tun, wenn sehr viele Anmeldeversuche bei WordPress erfolgen?
Es ist äußerst wichtig, ein langes und komplexes Passwort zu verwenden. Keinesfalls sollten Sie so etwas wie „passwort“, „12345“ oder „hallo“ verwenden. Dies wäre praktisch eine Einladung für Website-Hacker beziehungsweise deren Bots. Das wäre praktisch so, als würden Sie trotz Angst vor Einbrechern Ihre Haustür oder Wohnungstür nicht abschließen. Falls einer dieser Bots eine gültige Kombination von Benutzername und Passwort findet, sendet er diese Informationen an den Besitzer des Bots, der sich dann in WordPress einloggt und Ihre Website für seine (in der Regel illegalen) Zwecke nutzt. Verwenden Sie also komplexe Zugangspasswörter, bestehend aus Kombinationen von Buchstaben mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Das gilt übrigens für alle Passwörter, die Sie verwenden. Nur so schützen Sie sich vor erfolgreichen Versuchen. Ebenfalls eine Möglichkeit besteht darin, eine Zweifaktor-Authentifizierung zu aktivieren, um Zugang zum Website-Backend zu bekommen.
Wie gefährlich sind die Anmeldeversuche bei WordPress?
Wenn Sie und alle anderen Benutzer der WordPress-Website lange, komplexe und einzigartige Passwörter verwenden, sind die Anmeldeversuche normalerweise nicht gefährlich. Die Anzahl der Passwörter in den Listen der Bots ist begrenzt. Ein echter Brute-Force-Angriff, bei dem alle nur erdenklichen Passwortkombinationen ausprobiert werden, wird aus wirtschaftlichen Gründen nicht erfolgen. Verwenden Sie dann noch die schon erwähnte Zweifaktor-Authentifizierung, sollten Sie sicher sein. Die Anzeige der vergeblichen (nicht vergessen, die Versuche waren vergeblich) Versuche ist natürlich beängstigend, was auch die Anbieter der WordPress-Plugins wissen. Doch in der Regel helfen die einfachsten Maßnahmen (und die kostenlosen) bereits, die Anmeldeversuche auch weiterhin als vergebliche Versuche zu registrieren.