Unsichere Passwörter als Sicherheitsrisiko

Benutzername und Passwort als Sicherheitsrisiko bei der WordPress Authentifizierung

Wer WordPress im Einsatz hat, wird sich hoffentlich früher oder später auch damit beschäftigen, wie man die WordPress-Installation sicherer machen kann. Dazu gehört auch ein sicheres Passwort, was aufgrund der Bequemlichkeit leider zu oft vernachlässigt wird.

Foto: © Maksim Kabakou / Fotolia.com
Wer eine Website betreibt, sollte die Sicherheit der Installation gewährleisten. Dazu zählt auch ein sicheres Passwort zu verwenden. Foto: © Maksim Kabakou / Fotolia.com

Wer seine Website mit einer Basis-Installation ohne zusätzliche Absicherungen betreibt, liebt anscheinend das Risiko. Angriffe auf WordPress-Installationen sind nicht die Ausnahme, sondern tägliche Gewissheit. Es ist also nur eine Frage der Zeit, wann sich jemand Zugriff auf Ihr System verschaffen möchte.

Das herkömmliche Login-Verfahren

Die Sicherheit einer WordPress-Installation hängt von sehr vielen verschiedenen Gegebenheiten ab. Ein beliebtes Angriffsziel und oftmals die Achillesverse der ist das Standard-Loginverfahren mit Benutzername und Passwort. Allerdings ist hier weniger das Verfahren selbst, sondern die menschliche Komponente das Sicherheitsrisiko. Der Mensch macht es sich mit Benutzername und Passwort leider viel zu oft viel zu einfach und macht die Installation dadurch zusätzlich angreifbar. Aus Bequemlichkeit werden Standard Benutzernamen und einfach Passwörter gleich auch auf mehreren Konten eingesetzt. Oft gemachte Authentifizierungsfehler:

  • Verwendung von einfachen und bekannten Benutzernamen (admin, administrator…)
  • Verwendung von viel zu einfachen Passwörtern (love, secret, liebe192, baumhaus12…)
Ein unsicheres Passwort ist mit Hochleistungsrechnern innerhalb von wenigen Sekunden oder Minuten geknackt.

Als Administrator-Benutzername wird bei der Installation von WordPress normalerweise der Benutzer „admin“ angelegt. Wer diesen nicht direkt abgeändert hat, hat potenziellen Angreifern schon mal ein wichtiges Kriterium des Login-Verfahrens mitgeteilt. Das zugehörige Passwort wird meistens durch die „Brute-Force-Methode“ zu kacken versucht. Dabei wird einfach so oft wie möglich jede mögliche Kombination versucht, bis das richtige Passwort gefunden ist. Dies geschieht mit einem herkömmlichen PC je nach Passwortstärke recht schnell (oftmals in wenigen Minuten oder Stunden). Mit mehreren Hochleistungsrechnern bräuchte man bei schwachen Passwörtern hingegen nur Sekunden.

Würde jeder Mensch pro Website/Konto einen individuellen Benutzernamen und ein wirklich langes und sicheres Passwort verwenden, wäre das schon einmal eine echte Verbesserung der Sicherheit. Eine Passwort-Manager-Software kann dabei helfen, die Passwörter sicher zu archivieren. Allerdings schützt auch dies nicht vor Trojanern und Keyloggern, die jegliche Authentifizierungsdaten bei der Eingabe schon lokal auf dem Rechner des Benutzers abfangen. Daher sollte der Virenscanner immer auf dem aktuellen Stand sein.

Wie man die Sicherheit der Authentifizierung verbessern kann

Wer für sichere Authentifizierungsdaten (Benutzername & Passwort) gesorgt hat, kann bei WordPress zusätzlich noch Optimierungen treffen.  Das Plugin „Limit Login Attempts“ begrenzt zum Beispiel die möglichen fehlgeschlagenen Anmeldeversuche für eine IP.  Erfahrene Anwender können mit dem Plugin „iThemes Security“ gleich mehrere Optimierungen durchführen. Dazu zählt unter auch, den Zugriff auf den Login-Bereich über „/wp-admin“ auf einen individuellen Wert ändern und Hinweise auf Benutzernamen bei fehlerhaften Logins zu deaktivieren.

Zufrieden mit unserem Service oder unseren Artikeln?
» Bewerten Sie unsere Agentur doch schnell bei Google.

Das könnte Sie auch interessieren

Tobias Karnetzke CEODer Autor: Tobias Karnetzke ist Mitinhaber der Internetagentur Karnetzke. Er ist seit 2004 selbständiger Webdesigner, Programmierer, SEO-Experte und Google zertifiziert. Agenturen im In- und Ausland vertrauen auf seine Erfahrung als Berater und WordPress-Spezialist. E-Mail: tk@karnetzke.de