Brute-Force-Angriffe auf WordPress- und Joomla-Installationen

Seit mehreren Tagen läuft eine Angriffswelle auf Installationen verschiedener Content-Management-Systeme (CMS) bei zahlreichen Hosting-Anbietern, darunter auch 1&1. Derzeit sind WordPress- und Joomla-Installationen betroffen. Mittels einer so genannten „Brute Force Attack” versuchen die Angreifer, die Zugangsdaten der Administrationsoberfläche in Erfahrung zu bringen und anschließend Schadsoftware auf den Servern zu installieren.

Wir haben umgehend Gegenmaßnahmen eingeleitet, die bei einigen Kunden weiterhin zu vorübergehenden Einschränkungen bei folgenden Diensten führen können:

  • Aufruf von Webseiten
  • Zugriff auf den Webspace via FTP
  • Administration der Content-Management-Systeme

 Um Ihre Webseite gegen die Angriffe zu schützen, empfehlen wir dringend folgende Maßnahmen:

  1. Stellen Sie sicher, dass Sie die aktuellste Version Ihrer Content-Management-Software verwenden
  2. Nutzen Sie sichere Passwörter. Sichere Passwörter sollten mindestens 8 Zeichen lang sein sowie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Weitere Informationen finden Sie auch in diesem Artikel.
  3. WordPress-Anwender können mit dem Plugin AskApache Password Protect für zusätzliche Sicherheit sorgen.
  4. Aktivieren Sie im 1&1 Control Center die .htaccess-Datei für das Administrations-Verzeichnis Ihres Content-Management-Systems (z. B. „/wp-admin” bei WordPress) und setzen dort ein zweites Password. Dieses Passwort sollte auf keinen Fall mit dem Admin-Passwort Ihres CMS identisch sein. Eine Anleitung hierzu finden Sie hier.

Sollten Sie eines der betroffenen Content-Management-Systeme als 1&1 Click&Build Anwendung installiert haben, kümmern wir uns auf um zusätzliche Sicherheitsmaßnahmen. Dennoch empfehlen wir Ihnen auch in diesem Fall dringend, die Stärke Ihres Passworts zu überprüfen.

Unter http://status.1und1.de informieren wir Sie über neue Informationen zu den Angriffen.

Kategorie: Developer
17 Kommentare17
  1. 14. April 2013 um 22:22 |

    Ich betreibe selber einen Blog und bin natürlich besorgt wenn ich so etwas lese. Deswegen freut es mich das ihr so schnell dagegen steuert und uns über möglich Schutzmaßnahmen informiert.
    Vielen Dank!
    Lieben Gruss
    Christian

  2. 18. April 2013 um 09:29 |

    Auch unsere Gemeind ebetreibt eine Webseite bei 1&1 und ich kann mich meinem Vorredner nur anschließen: Ich finde es auch gut das so schnell darauf reagiert wird und die Kunden darüber informiert werden, auch was es für Lösungen und Möglichkeiten gibt um die eigene Seite sicherer zu machen.

  3. 18. April 2013 um 12:12 |

    Seit 6 Tagen kann ich meine Blogs nicht mehr administrieren, weil 1+1 JEDEN Login-Versuch mit einer Sperrung meiner temproären IP-Adresse ‘sichert’ ; danach kann ich keine meiner Webseiten mehr aufrufen und muss meine Router resetten.

    Der Tipp bezgl. des Passwortschutzes des wp-admin-Verzeichnisses ist nicht sinnvoll, da dann die normalen Blogbesucher zur Eingabe von Passworten aufgerufen werden.

    Wenn kein Login möglich ist, kann man natürlich auch das empfohlene Sicherheitsplugin nicht installieren und die Änderung der Passworte nicht durchführen oder den Admin-Namen ändern.

    Könnte man auf seiten der von 1+1 da nicht differenzieren bzgl. der Logins (z.B. PW länger als 8 Zeichen und beim ersten Mal korrekt: Wird akzeptiert. od.ä.

    1. 18. April 2013 um 13:45 |

      Hallo Herr Schliepe,

      ich bedauere sehr, wenn es für Sie durch diese Attacken zu Unannehmlichkeiten gekommen ist. Wir haben Gegenmaßnahmen eingeleitet, um die Auswirkungen für unsere Kunden zu minimieren. Allerdings dauern die Angriffe auf WordPress- und Joomla-Installationen weiterhin an. Derzeit kann es daher erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten kommen. Für eventuell entstandene Unannehmlichkeiten bitten wir um Entschuldigung.

      Mit freundlichen Grüßen
      Alexander Thieme, 1&1

      1. 18. April 2013 um 15:12 |

        <Derzeit kann es daher erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten <kommen.
        Kurzfristig ist…Seit Tagen komme ich nicht in den Admin Bereich…Und danach immer dieser Router Reset…Grässlich

  4. 18. April 2013 um 13:21 |

    Leider habe ich seit Stunden keinen Zugriff auf meine Webseiten, sowie Admin.

    Wann läuft das wieder???

    Sorry, aber ich habe News zu posten!!!

    Danke.

    BG, Axel

    1. 18. April 2013 um 13:51 |

      Hallo Axel,

      wie oben beschrieben haben wir Gegenmaßnahmen eingeleitet, um die Auswirkungen der Brute-Force-Attacken für unsere Kunden so gering wie möglich zu halten. Allerdings dauern die Angriffe auf WordPress- und Joomla-Installationen weiterhin an. Derzeit kann es daher erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten und auch der entsprechenden Backends kommen. Für entstandene Unannehmlichkeiten bitten wir um Entschuldigung.

      Viele Grüße
      Alexander Thieme, 1&1

      1. 18. April 2013 um 14:00 |

        Hallo Alexander,

        kurzzeitig is gut, leider habe ich seit heute Morgen, keinen Zugriff auf die Webseite oder Admin.

        Somit steht mein Job im Moment leider still!

        Wie lange soll das denn noch andauern?

        BG, Axel

        1. 18. April 2013 um 14:15 |

          Hallo Axel,

          wenn Ihre Seiten länger nicht erreichbar sind, wenden Sie sich bitte an meine Kollgen beim Support. Vielen Dank!

          Viele Grüße
          Alexander Thieme, 1&1

    1. 18. April 2013 um 17:21 |

      Offensichtlich sind Sie mit der augenblicklichen Situation überfordert. Meine Admin-Zugriffe
      sollten aber trotzdem schnellstens wieder möglich sein, da die Nachrichtenberichterstattung weiter gehen soll.
      Die bisher gelieferte Unterstützung war nicht zielführend.
      mfg Bakosch

  5. 19. April 2013 um 08:33 |

    Ich habe versucht, auf meiner WordPress-Seite wie empfohlen, das Plugin „AskApache Password Protect” zu installieren. Der Test schlägt allerdings fehl. Gibt’s da einen Trick, wie sich das einrichten lässt?

    Danke und Grüße
    Wolfgang

    1. 19. April 2013 um 10:00 |

      Hallo Wolfgang,

      neben unseren eigenen Sicherheitsmaßnahmen, geben wir hier im Blog, auf der 1&1 Status-Seite und natürlich auch im Support Hinweise, wie sich die Sicherheit Ihrer WordPress- oder Joomla-Installationen erhöhen lässt. Bitte haben Sie aber Verständnis, dass wir hier für Lösungen anderer Anbieter keinen Support leisten können.

      Schöne Grüße
      Alexander Thieme, 1&1

      1. 19. April 2013 um 17:16 |

        entschuldigung, aber warum empfehlt ihr dann etwas, was mit euren servern offenbar gar nicht funktioniert? das ist alles in allem nicht wirklich hilfreich.

  6. 19. April 2013 um 10:33 |

    Momentan scheint es wieder zu laufen. Komme wieder ins Backend.
    Hoffe, die Sache passiert nicht so schnell wieder.
    Vielen Dank und gruß,
    Romeo

  7. 12. Juni 2013 um 22:47 |

    Mein Blog liegt zwar nicht bei 1&1, doch ich hatte das selbe Problem. Nach Einschätzung des Unternehmens HostGator – der erste Hosting-Provider, der Informationen über den weltweiten Vorfall veröffentlicht hat – sind in diese Hacker-Kampagne mehr als 90.000 verschiedenartige IP-Adressen involviert. Ihr Ziel ist nicht nur WordPress, sondern auch Joomla, wenn auch in bedeutend geringerem Maße.

    Meiner Erfahrung nach ist das Plugin „Limit Login Attemps” sehr effektiv.

Die Kommentare sind geschlossen.