Brute Force Attack
Brute Force Attack ist ein Angriff, bei dem ein Angreifer automatisiert Tausende von Benutzername-Passwort-Kombinationen ausprobiert, um Zugang zum WordPress-Adminbereich oder zu Nutzeraccounts zu erlangen. Da WordPress-Logins standardmäßig unter /wp-login.php erreichbar sind und keine Begrenzung von Login-Versuchen eingebaut ist, sind WordPress-Websites ein häufiges Ziel.
Warum WordPress anfällig ist
Die Standard-Login-URL ist bei jeder WordPress-Installation identisch. Das macht es für automatisierte Bots einfach, gezielt gegen WordPress-Logins vorzugehen. Schwache Passwörter, der Benutzername „admin“ und keine Loginschutz-Maßnahmen sind eine Einladung für Angreifer.
Schutzmaßnahmen gegen Brute Force
- Login-Versuche begrenzen – Plugins wie „Limit Login Attempts Reloaded“ oder „Wordfence“ sperren eine IP nach einer definierten Anzahl fehlgeschlagener Versuche
- Starke Passwörter – mindestens 16 Zeichen, zufällig generiert, einzigartig pro Account
- Benutzername „admin“ vermeiden – kein Account mit diesem Standard-Namen sollte existieren
- Zwei-Faktor-Authentifizierung (2FA) – macht gestohlene Passwörter allein nutzlos
- Login-URL ändern – per Plugin (z.B. WPS Hide Login) von
/wp-login.phpauf eine individuelle URL - IP-Sperrliste – bekannte Angreifer-IPs über Wordfence oder Cloudflare sperren
- HTTP-Auth für wp-admin – zweite Authentifizierungsebene auf Server-Ebene per .htaccess
Erkennen und Reagieren
Hinweise auf einen laufenden Brute-Force-Angriff: hohe Serverlast ohne erklärbaren Traffic-Anstieg, viele fehlgeschlagene Login-Einträge in den Fehlerprotokollen, Wordfence-Alarme. Im Ernstfall: IP sperren, Passwörter für alle Accounts zurücksetzen, 2FA aktivieren.
