Brute-Force Attacken gegen WordPress und Joomla – Sicherheitshinweis

Die Angriffe auf die Content-Management-Systeme WordPress und Joomla dauern weiter an. Derzeit verzeichnen wir aber kaum noch Auswirkungen für unsere Kunden.

Wenn Sie ein Content-Management-System nutzen (auch andere Systeme), empfehlen wir Ihnen dringend folgende weitere Sicherheitsmaßnahme, die derzeit den wirksamsten Schutz verspricht:

Benennen Sie den Standard-Administrator-Nutzernamen (in der Regel „admin”) um und geben ihm einen Namen, der nicht erraten werden kann. Daneben gelten auch weiterhin die Sicherheitshinweise, die wir Ihnen bereits gegeben haben:

1. Stellen Sie sicher, dass Sie die aktuellste Version Ihrer Content-Management-Software verwenden

2. Nutzen Sie sichere Passwörter. Sichere Passwörter sollten mindestens 8 Zeichen lang sein sowie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten.

3. WordPress-Anwender können mit dem Plugin AskApache Password Protect für zusätzliche Sicherheit sorgen.

Kategorie: Server & Hosting
34 Kommentare
  1. 17. April 2013 um 21:50 |

    Besten Dank für die Info! Ich werde meine Blogs gleich entsprechend updaten und durch Plugins zusätzlich absichern.

  2. 18. April 2013 um 07:24 |

    Hallo,

    meine Internetseiten lassen sich nicht aufrufen. Liegt eine Störung an?

    Gruß – Gerd Kluge

    1. 18. April 2013 um 09:42 |

      Hallo Herr Kluge,

      aktuell kann ich Ihre verlinkte Webseite problemlos erreichen. Eventuell handelt es sich dabei um ein lokales Problem.

      Mit freundlichen Grüßen
      Alexander Thieme, 1&1

  3. 18. April 2013 um 09:45 |

    Danke 1und1 Team,

    die Sache mit dem Umbennen des „admin”-Accounts ist ein guter Tipp, den ich ab jetzt verinnerlichen werde…

    Danke

  4. 18. April 2013 um 11:08 |

    Guten Tag,

    wie soll ich denn meine CMS-Version updaten, wenn mir der Login ins Backend (Joomla) verwehrt wird (vgl. http://blog.1und1.de/2013/04/12/brute-force-angriffe-auf-wordpress-und-joomla-installationen/ )?
    Nicht nur, dass ich etwas tun soll, das mir verwehrt wird. Außerdem erhalte ich nach erfolglosem Login einen Server Timeout, der für mid. 15 Minuten meinen gesamten Webspace betrifft.

    De facto kann ich also im Moment gar nichts an meinen Seiten machen (wie auch, wenn ich nicht ins Backend komme). Und was ist, wenn meine Seiteninhaber auf gewisse Leistungen warten und von Stunde zu Stunde ärgerlicher werden?

    Mit freundlichen Grüßen,
    Alexander Schmitt.

    1. 18. April 2013 um 13:47 |

      Guten Tag Herr Schmitt,

      wir haben Gegenmaßnahmen eingeleitet, um die Auswirkungen der Attacken für unsere Kunden zu minimieren. Allerdings dauern die Angriffe auf WordPress- und Joomla-Installationen weiterhin an. Derzeit kann es daher erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten und auch der entsprechenden Backends kommen. Für eventuell entstandene Unannehmlichkeiten bitten wir um Entschuldigung.

      Mit freundlichen Grüßen
      Alexander Thieme, 1&1

  5. 18. April 2013 um 11:49 |

    schön schön. Ich würde ja uach gerne AskApace etc. installieren, geht aber nicht, da die Seiten down sind und man nicht ins Backend kommt. So kann man natürlich nur abwarten, was mehr als ärgerlich ist.

  6. 18. April 2013 um 11:58 |

    Es gibt noch zahlreiche weitere Plugins zur Absicherung von WordPress. Allerdings sollte man bedenken, dass auch jedes weitere Plugin ggf. eine zusätzliche Lücke darstellen kann.

  7. 18. April 2013 um 12:19 |

    Liebe Mitarbeiter von 1und1,

    für die Hacker-Angriffe könnt Ihr nichts. Das ist wohl wahr. Aber wie Ihr mit dem Thema und vor allem mit Euren Kunden umgeht, geht auf keine Kuhhaut mehr. Dabei habt Ihr vor allem ein kommunikatives Problem. Jeder Service-Mitarbeiter, mit dem ich heute gesprochen habe, hat mir etwas Anderes erzählt. Was gar nicht geht, ist, dass ein Mitarbeiter dem anderen auch noch die Kompetenz abspricht und empfiehlt, das beim letzten Gespräch Gesagte doch besser zu vergessen. Darüber hinaus scheint eine einheitliche Kommunikation für Euch keinen besonders hohen Stellenwert zu haben. Den Satz „Derzeit verzeichnen wir aber kaum noch Auswirkungen für unsere Kunden.” habt Ihr nach einem Hinweis von mir auf der Status-Seite zwar gestrichen, hier im Blog ist er aber immer noch zu lesen (Siehe oben.). Auch fehlt hier auf dem Blog der Hinweis darauf, dass man die .htaccess-Datei für das Administrations-Verzeichnis aktivieren soll etc. Wenn ich mit meinen Kunden bzw. treuen Lesern so umgehen würde, na ja, dann gute Nacht.

    Nach wie vor freundlichst

    Opa von Opas Blog (http://www.opas-blog.de)

    PS: Auf meiner Seite einloggen kann ich mich nach wie vor nicht :-((((((((((((((((

    1. 18. April 2013 um 13:41 |

      Lieber Opa von Opas Blog,

      ich bedauere sehr, wenn Sie von unseren Kollegen im Support widersprüchliche Angaben erhalten haben. Das sollte selbstverständlich nicht passieren. Bitte haben Sie Verständnis, dass obenstehender Blogbeitrag, sowie der erste Blogbeitrag zu diesem Thema immer nur Momentaufnahmen der Situation zur Zeit der Veröffentlichung darstellen können.

      Aktuelle Informationen erhalten Sie jederzeit auf unserer Status-Seite. Hier im 1&1 Blog möchten wir Ihnen darüber hinaus zusätzliche Sicherheitshinweise geben, wenn uns dafür neue Informationen vorliegen.

      Aufgrund der weiterhin andauernden Brute-Force-Attacken kann es derzeit erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten kommen. Für eventuell entstandene Unannehmlichkeiten bitten wir um Entschuldigung.

      Mit freundlichen Grüßen
      Alexander Thieme, 1&1

      1. 18. April 2013 um 15:27 |

        Danke, dass Sie meinen Beitrag überhaupt freigeschaltet haben. Bei der Antwort stellt sich mir allerdings die Frage: Wie soll ich einen Wackelpudding an die Wand nageln? Übrigens: Auf meinen Blog zugreifen kann ich immer noch nicht.

        1. 18. April 2013 um 16:05 |

          Hallo Opa von Opas Blog,

          sollten Sie länger nicht auf Ihre Webseite zugreifen können, wenden Sie sich bitte nochmals an meine Kollgen beim Support.

          Vielen Dank und viele Grüße
          Alexander Thieme, 1&1

  8. 18. April 2013 um 12:48 |

    Hallo,
    ich kann meine Website nicht mehr aufrufen bzw mich als Admin einloggen.

    Gruß Jeancx

  9. 18. April 2013 um 12:55 |

    Ich kann meine Website aufrufen, wenn ich aber versuche mich einzuloggen, erreicht der Browser die Seite nicht mehr und auch im Frontend kann ich sie für ca. 15 Minuten nicht mehr aufrufen. Selbst mit einer neuen Joomla-Installationen in einem Unterverzeichnis ist es genau das selbe Problem.

  10. 18. April 2013 um 13:02 |

    Hallo,

    meine Seite ist seit heute morgen nicht erreichbar, auch der Admin-Bereich. Beim gelegentlichen Aktualisieren des Browsers lädt ab und an eine Seite, das anklicken von Links fürht aber nur zu einer weiteren Fehlermeldung.

  11. 18. April 2013 um 13:24 |

    … geht wieder, war wohl auch was lokales.

  12. 18. April 2013 um 14:56 |

    Das Problem ist nicht gelöst, wie es sinngemäß hier und auf der Statusseite verkündet wurde. Der Zugang zur Joomla-Webseite funktioniert nur sporadisch, zum Backend noch seltener.
    Joomla und alle Plugins sind aktuell, Benutzername und Passwörter sicher. Ein Plugin zur Sperrung des Zugangs nach 10 fehlerhaften Loginversuchen (IP-basiert) ist ebenfalls aktiviert.
    Für die Angriffe kann 1und1 nichts, aber ich habe nach einigen Stichproben den Eindruck, dass Joomla-Webseiten anderer Provider von dem Problem deutlich weniger betroffen sind.

    Mit freundlichen Grüßen
    Birger

  13. 18. April 2013 um 16:03 |

    AAAaaaahhhrrggg……

    Geht schon wieder net!
    Auf Opas Seite komme ich aber…

  14. 18. April 2013 um 16:20 |

    Einen schönen guten Tag, ich frage mich gerade warum ich heute 18.4. ca. 6.30 eine halbe Stunde mit der Hotline telefoniert habe und dazu noch 1/2 Stunde in der Warteschleife saß, und derjenige im Callcenter beim stich(alarm)wort „wordpress probleme” die aktuelle Situation nicht sofort auf dem Schirm hatte … und ich erst mühsam Infos aus dem Netz zusammensuche musste und jetzt 18.4. 16.16 Uhr ist immer noch das gleiche Problem ich komme nicht auf den admin Bereich bei den verschiedensten domains in unterschiedlichen Verträgen … mit nachdenklichen Grüßen WW

    1. 18. April 2013 um 16:29 |

      Hallo Herr Weppelmann,

      heute konnte es teilweise zu erhöhten Wartezeiten an unserer Hotline kommen. Grund hierfür sind erneute Brute-Force-Attacken gegen die Content Management Systeme WordPress und Joomla. Für die erhöhten Wartezeiten bitten wir um Entschuldigung. Es tut mir sehr leid, wenn meine Kollegen Ihnen nicht direkt alle nötigen Informationen geben konnten. Bitte haben Sie Verständnis, dass es immer etwas dauern kann, bis allen Kollegen die neuesten Informationen vorliegen.

      Wir haben Gegenmaßnahmen eingeleitet, um die Auswirkungen der Brute-Force-Attacken für unsere Kunden so gering wie möglich zu halten. Dennoch kann es erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten und auch der entsprechenden Backends kommen. Aktuelle Informationen zu diesem Thema und Sicherheitshinweise finden Sie jederzeit auf unserer Status-Seite. Sollten Sie für längere Zeit nicht auf Ihre Webseiten bzw. die Backends zugreifen können, bitte ich Sie, erneut meine Kollegen im Support zu kontaktieren.

      Vielen Dank und viele Grüße
      Alexander Thieme, 1&1

      1. 18. April 2013 um 17:52 |

        Ich lese immer „kurzzeitige Einschränkungen” , leider ist es bei meinen Seiten so,
        dass ich seit letzten Freitag in kein Backend mehr reinkomme und die Seiten nur sporadisch laden.
        Einen Logfile von gestern habe ich mir über das Kunden Account geholt und gesehen,
        dass einer meiner 4 Blogs tatsächlich teils im Sekundentakt angegriffen wurde, von
        den unterschiedlichsten IP´s. Immer auf die admin-login.php

        Was mich ärgert (abgesehen natürlich von den Angriffen) ist die Informationspolitik von 1&1
        Alles musste man sich selbst zusammensuchen über die Suchmaschinen.
        Als Hoster hätte man doch auch mal ruhig per Mail schon letzte Woche seine Kunden informieren
        können.
        Als Kunde suchte man zunächst die Fehler bei sich oder in seinen WP Installationen.
        Das hat mich Stunden gekostet, denn letzte Woche gab es nur vereinzelte Infos im Netz
        über diese Attacken.
        M.f.G

        1. 19. April 2013 um 09:51 |

          Hallo Rai,

          aktuelle Informationen und Sicherheitshinweise finden Sie jederzeit auf unserer Status-Seite.

          Wir haben bereits letzte Woche Gegenmaßnahmen eingeleitet, um die Auswirkungen der Brute-Force-Attacken für unsere Kunden so gering wie möglich zu halten. Unter anderem weil die Angreifer die Muster der Attacken immer wieder variieren kann es erneut kurzzeitig zu Problemen bei der Erreichbarkeit einiger Webseiten und auch der entsprechenden Backends kommen. In der Regel sollten Sie selbst nach ca. einer halben Stunde wieder Zugriff auf Ihre Seite haben. Sollten Sie längere Zeit nicht auf die Webseite oder das Backend zugreifen können, wenden Sie sich bitte an meine Kollegen beim Support. Vielen Dank!

          Mit freundlichen Grüßen
          Alexander Thieme, 1&1

    2. 18. April 2013 um 16:49 |

      danke herr thieme für die schnelle Antwort, aber ich kann trotzdem nicht ganz nachvollziehen, warum ihr Hotlinekollege diese Problematik WordPress-Joomla nicht sofort auf dem Schirm hatte und ich erst mühsam überhaupt das Problem erklären musste …dabei müsste diese geschichte in den letzten Wochen häufiger als unsägliches Hotlinethema bei ihnen bis zum Abwinken präsent gewesen sein … na gut vielleicht wäre es einmal sinnvoll ihre webhosting kunden (vielleicht können sie sogar rausfiltern wer wordpress joomla nutzt) in einem newsletter zu informieren mit dem entsprechenden hinweis auf erforderliche sicherheitsmaßnahmen … mit Grüßen WW

  15. 19. April 2013 um 06:58 |

    Guten Morgen,

    also, seit gestern Abend bin wieder online. Und es funktioniert auch wieder recht flott. Dafür danke. Aber kommunikativ habt Ihr echt ein Problem. Solltet Ihr in dieser Richtung Gesprächsbedarf haben, Opa kennt da eine ganz gute Kommunikationsagentur. Die kann Euch sicher weiterhelfen.

    In diesem Sinne

    Opa von Opas Blog
    (http://www.opas-blog.de)

  16. 19. April 2013 um 14:46 |

    Gott sei Dank bin ich wenigstens nicht der einzige, der sich nicht mehr einloggen kann. 😉

    Das kann es aber doch wohl nicht sein, daß man zur Abwehr von Hacker-Angriffen selbst den Blog-Betreiber dauerhaft aussperrt. Schon der erste Versuch, sich einzuloggen, führt, wie mir scheint, dazu, daß man mit seiner IP auf einer „Blacklist” landet, und der Server liefert nicht einmal eine Fehlermeldung zurück.

    Und daß, obwohl ich fast alle hier empfohlenen Sicherheitsvorkehrungen schon vorher getroffen hatte.

    1. 19. April 2013 um 17:21 |

      Hallo Peter,

      da die Angreifer immer wieder die Muster der Attacken ändern, müssen wir auch unsere Gegenmaßnahmen anpassen. Daher kann es teilweise dazu kommen, dass Sie Ihre Webseite oder das Backend kurzzeitig nicht aufrufen können. Sollte dieser Zustand aber länger andauern, wenden Sie sich bitte an meine Kollegen beim Support. Vielen Dank!

      Viele Grüße
      Alexander Thieme, 1&1

  17. 29. April 2013 um 11:47 |

    Hallo,

    auch unsere Website (läuft unter Joomla) ist ständigen Angriffen durch Hacker ausgesetzt, die wir nur durch Einsatz (kostenpflichtiger) professioneller Hilfe im Griff haben. Mir stellt sich als Laie die Frage, ob nicht über die Sicherheitslücke bei Joomla ein direkter Angriff auf den Rechner geschieht, von dem aus die Website betreut wird?

    MfG,

    M. Uschkoreit.

    1. 2. Mai 2013 um 12:20 |

      Hallo Herr Uschkoreit,

      in der Regel werden solche Angriffe dazu genutzt, Schadsoftware zu installieren oder weiter zu verbreiten. Bei Shared-Hosting-Systemen ist der Zugriff auf das eigentliche Server-System aber nicht möglich. Wir empfehlen Ihnen aber dringend, unsere Sicherheitshinweise zu beachten, damit ihr Webspace nicht infiziert wird.

      Viele Grüße,

      Andreas Maurer, 1&1

  18. 8. Mai 2013 um 17:22 |

    Hallo,

    nachdem ich innerhalb weniger Tage zwei Abuse-eMails bezüglich meiner Joomla-Seite erhalten habe, bin ich mal die LOG-Dateien durchgegangen und habe die Access-Logs mit dem Erstellungsdatum der verdächtigen Dateien verglichen.

    Dabei ist mir aufgefallen, dass immer über ein Plugin des JCE-Editors versucht wurde, eine php-Datei hochzuladen:
    index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager

    Ich habe dieses Plugin (Image Manager) jetzt mal deaktiviert … mal sehen, ob das jetzt aufhört!

  19. 16. Mai 2013 um 20:48 |

    Ich hoste zwar nicht bei 1&1, betreibe aber meine Domains auf einem Root-Server selbst. Durch die Einrichtung zusätzlicher Sicherheitsregeln konnte ich die Angreifer selektieren und blockieren. Jetzt, 24 Stunden nach Aktivierung der Regeln, gibt es seit 9 Stunden keine Login-Versuche mehr.
    Viele Grüße!

  20. 14. Januar 2014 um 21:55 |

    Hallo,

    ich betreibe einige WP Installationen für verschiedene Kunden. Ich betreibe sie auf 1&1 aber auch bei anderen Anbietern.
    Ich finde erstaunlich, dass auch ich nur bei 1&1 diese WP Probleme für meine Kunden lösen muss. Bei den anderen Hostern gibt es auch Angriffe ohne Ende, teilweise bis zu 10000 Angriffe pro Tag! Absoluter Horror. Mit den Maßnahmen -wie oben schon mehrfach beschrieben – konnte ich aber bisher alle Angriffe abblocken und eindämmen: htaccess Absicherung des wp-admin Verzeichnisses, WP Sicherheitsplugin, schrecklich lange Passwörter bei allen Logins und (s)ftp.

    Mir kommt es vor, dass das Problem eventuell von innen (1&1) raus kommt. Wie kann jemand (Kriminelle) bitte so einfach den htaccess Schutz umgehen und Dateien neben die WP Installation kopieren?
    Immer und immer wieder sind 1&1 Installationen betroffen, bei anderen Hostern laufen die selben Konfigurationen allerdings ohne jedes Problem.

    Ich weiss es nicht, aber wenn man irgendwo einen Maulwurf hat, der alle Sicherheitsbemühungen untergräbt, wird das mit den Maßnahmen von Kundenseite nichts. Können Sie bei 1&1 sicher sein, dass nicht ein paar Saboteure für die notwendigen Lücken „sorgen”? Das ist aus der Sicht von Sicherheitsexperten keine so abwegige Betrachtung und ich hoffe, dass Sie das ernst nehmen.

    Auch ich muss Entscheidungen treffen, was mit den Kundenpräsenzen passieren soll, die immer wieder betroffen sind von Angriffen, weil das nervt mit den ständigen Reparaturen und unnötig Kosten für Kunden bedeutet.

    AL.

    1. 17. Januar 2014 um 11:32 |

      Guten Tag, vielen Dank für Ihr Interesse an diesem Thema. Dazu haben wir bereits einen eigenen Beitrag verfasst, den Sie hier finden können: „Brute-Force Attacken gegen WordPress und Joomla – Sicherheitshinweis” http://1u1s.de/1i7

      Freundliche Grüße
      Sebastian Schulte, 1&1

  21. 12. Februar 2014 um 22:13 |

    Hallo,

    meiner Erfahrung nach tritt das Problem NICHT verstärkt bei 1&1 auf. Das ist denke ich nur ein subjektiver Eindruck aufgrund der Unternehmensgröße/Verbreitung. Joomla und WordPress Installationen werden automatisiert aufgespürt. Neben Brute-Force Attacken, die je nach Qualität des Passworts mehr oder weniger unkritisch sind, werden auch bekannte Sicherheitslücken ausgenutzt.
    Die Schuld liegt im letzteren Fall allein beim Website Betreiber. Unzählige Joomla Installationen werden in großen Massen gehackt, weil schlicht und einfach die Wartung vernachlässigt wird. Ein CMS muss regelmäßig aktualisiert werden.

    Der wirksamste Schutz gegen Brute-Force Attacken und Massenhacks durch Lücken im Admin Bereich ist sicherlich ein .htaccess Passwortschutz.

    Diesen kann man auch abhängig von der IP Adresse machen, damit die Administratoren weiterhin, ohne Mehraufwand nur ein Passwort eingeben müssen. Hier ein schöner Artikel dazu:
    http://www.butschek.de/2010/01/16/htaccess-ip-oder-passwort/

    Wenn eine einmal gehackte Seite trotz Updates/Schließen der Sicherheitslücke immer wieder gehackt wird, liegt das i.d.R. daran, dass Backdoors hinterlassen worden sind, die es dem Angreifer ermöglichen das System weiterhin zu kontrollieren.

    Viele Grüße

    Pascal Lohmann

Die Kommentare sind geschlossen.