Post navigation

WordPress-Sicherheit: Darum konnte TechCrunch gehackt werden

WP News · · Keine Kommentare

Eine der bekanntesten und größten Technik-Websites der Welt – TechCrunch.com – wurde vor drei Tagen gehackt. Der Grund dafür ist so unglaublich, dass man eigentlich laut loslachen möchte, wenn es nicht so traurig wäre.

TechCrunch ist das jüngste Opfer der »OurMine« Hacking-Gruppe. Die Website nutzt WordPress und läuft auf einem WordPress.com VIP Hosting. Am 26.07.2016 wurde die Seite gehackt und mit einer Nachricht der Hacking-Gruppe verziert, die sich selbst als „Elite-Hacker-Gruppe“ bezeichnet.

➜ Meine Empfehlung für Dich:Raidboxes Managed WordPress Hosting

Die verzierte Startseite von TechCrunch nach der Attacke

WordPress-Sicherheit: Darum konnte TechCrunch gehackt werden

Genau solche Nachrichten möchte man definitiv nicht auf seiner Website sehen.

Der Nachrichtenticker oben unterhalb des Headers zeigte folgende Nachricht an:

Hallo Leute, wir sind das OurMine Team und testen gerade die Sicherheit von TechCrunch. Keine Sorge, wir werden die Passwörter nicht ändern. Bitte kontaktieren Sie uns.

Die gehackte Website ist noch im Cache von Google zu bewundern. Laut einem Bericht der Schwester-Website »Engadged« gewannen die Hacker den Zugriff über ein sehr schwaches Passwort eines Redakteurs der Website. Gut zu wissen ist, dass der Zugriff nicht über eine Sicherheitslücke in WordPress oder einem Plugin geschah.

TechCrunch war innerhalb von nur wenigen Minuten wieder in der Lage, die Kontrolle über die Website wieder zu erlangen. Die Nachricht der Hackergruppe, die in einem Admin-Account erstellt wurde, konnte schnell wieder gelöscht werden.

OurMine – erfolgreich durch zu lasche Passwörter

Die Hacker von OurMine sind höchst erfolgreich, sie hackten vor kurzem bereits Mark Zuckerbergs Social Networks Twitter, Pinterest und LinkedIn. Für alle drei Accounts verwendete Zuckerberg das gleiche Passwort.

WordPress-Websites sind ständig die bevorzugten Opfer von Brute-Force-Angriffen. Zu schwache Passwörter lassen selbst die sichersten Websites schlecht aussehen und machen sie zu einem leichten Opfer für die Hacker.

So läuft ein Brute-Force-Angriff ab

Ein Brute-Force-Angriff zielt darauf ab, in eine Website einzubrechen, weil die verwendeten Passwörter zu schwach sind. Die Benutzernamen der einzelnen Accounts lassen sich innerhalb weniger Sekunden feststellen, Hackern fehlen für einen erfolgreichen Angriff dann lediglich die korrekten Passwörter.

Um die Angriffe auf den Admin-Zugang dann einzuleiten, wird ein Bot-Netz mit einer Spezial-Software auf die betreffenden Websites losgelassen. Die Software prüft dann alle möglichen Passwörter durch – jeweils eins pro IP eines einzelnen Mitglieds-Computers aus dem Bot-Netz.

Genau das ist auch der Grund, warum Plugins wie »Limit Login Attempts«, »Wordfence« und ähnliche schnell versagen. Denn diese sperren bei einem Angriff die IP-Adresse des jeweiligen Angreifers. Da allerdings ein riesiger Pool an IP-Adressen für einen Angriff bereitsteht, versagen diese Plugins sofort. Die Website kann trotzdem gehackt werden.

Wie du dich gegen solche Angriffe absichern kannst

Es gibt durchaus eine hochwirksame Methode, sich gegen diese Angriffe abzusichern. Genau beschrieben habe ich sie in meinem E-Book »WordPress Sicherheit«, welches Du für nur 9,99 Euro bei mir kaufen kannst. Wenn dir die totale Sicherheit deiner Website am Herzen liegt, dann empfehle ich dir dringend, das E-Book zu erwerben.

E-Book WordPress Sicherheit

Ein Teil einer Sicherheits-Strategie: gute Passwörter und Zwei-Faktor-Authentifizierung

Gute und starke Passwörter sind extrem wichtig. Doch nicht jeder Angriff läuft über den Admin-Zugang von WordPress ab, vielfach sind es Sicherheitslücken in WordPress, den Plugins oder den Themes, die ausgenutzt werden. Sich gegen diese Szenarien abzusichern erfordert viel Fachwissen, dass du dir mit dem E-Book aneignen kannst.

Teil 1: Entweder starke Passwörter nutzen

Für ein sicheres Passwort kannst Du einen Passwort-Generator nutzen. Ich empfehle den »Zendas-Generator«, er ist wirklich gut. Nutze die folgenden Einstellungen:

ZENDAS-Passwort-Generator

Diese Einstellungen schaffen ein wirklich sicheres Passwort.

Falls du eine Mehr-Autoren Website betreibst, solltest du die User daran hindern, die von dir erstellten sicheren Passwörter einfach ändern zu können.

Teil 2: Oder eine Zwei-Faktor-Authentifizierung

Eine Zwei-Faktor-Authentifizierung macht das Hacken des Adminbereichs von WordPress fast unmöglich, da keine „Benutzernamen / Passwort Kombination“ für den Zugang genutzt wird. Zwei-Faktor meint in diesem Fall, dass du eine Eingabe im Zugangsfeld des Adminbereichs machst und eine weitere Aktion mit deinem Smartphone erforderlich ist, um Zugang zu bekommen.

Ich empfehle dir die SecSign ID Lösung, mit der ich bei einigen Klienten sehr gute Erfahrungen gemacht habe.

SecSign-ID

Das WordPress-Plugin kannst du hier herunterladen. So einfach funktioniert das Ganze:

Weiterführende Informationen zur SecSign ID Lösung auf Dr. Web:

Bombensicher: WordPress mit Zwei-Faktor Authentifizierung SecSign ID

Abonniere meinen Newsletter

Melde Dich für meinen Newsletter "WordPress & Bloggen" an und verpasse keinen Artikel. Als Dankeschön bekommst Du Gratis meine nützliche Checkliste:
»12 Dinge, die Du vor einem Theme-Wechsel beachten solltest«.

Andreas Hecht

ist WordPress-Entwickler und bietet dir WordPress-Sicherheit für deine Website. Zudem entwickelt er WooCommerce Shops mit Ladezeiten von unter einer Sekunde. Er ist ebenfalls Autor von drei richtig guten WordPress E-Books.