Angriffe gegen Wordpress-Installationen bei Web-Hostern und Blogs
Viele Web-Hoster und Betreiber von Blogs auf der Basis von Wordpress berichten in den letzten 72 Stunden von vermehrten Brute-Force-Attacken hauptsächlich gegen Wordpress-Installationen. Vereinzelt wurden auch Attacken auf Joomla-Setups vermeldet, wie etwa gestern vom Hoster 1&1, der sich starken Angriffen ausgesetzt sah.
Bei 1&1 kam es während der Angriffswelle zu starken Einschränkungen bei der Erreichbarkeit der Hosting-Dienste wie Kunden-Webseiten, FTP-Zugängen und Admin-Oberflächen von Content-Management-Systemen, von denen rund zwölf Millionen Kunden betroffen waren. Mittlerweile hat 1&1 die Probleme im Griff, andere Internet-Hoster berichten von weiter anhaltenden Angriffen, die vermutlich von einem Botnetz ausgehen und Wordpress-Installationen auf Schwachstellen abklopfen, um gegebenenfalls Schadcode einschleusen zu können. Zunächst wurde in der Presse von DDOS-Attacken berichtet, was aber nicht so recht Sinn machte. DDOS-Attacken sind meist ein Hebel, um Firmen und Webseiten zu blockieren oder religiösen und politischen Meinungen Gehör zu verschaffen und Webauftritte Andersdenkender zeitweise zu eliminieren.
Die Brute-Force-Attacken erhöhen gleich zwei Risiken: Einerseits werden durch die script-gesteuerten Versuche, Anmeldenamen und Passwörter anhand generierter Listen zu erraten, schwache Passwörter gefährdet, andererseits überlastet die schnelle Frequenz der Angriffe besonders die bei Bloggern gern genutzten virtuellen Server. In einem amerikanischen Webhosting-Forum gingen die ersten Berichte von Webmastern über Angriffe auf Wordpress vor drei Tagen ein, die letzten Einträge von heute Mittag sprechen von immer noch anhaltenden Attacken. Schätzungen sehen bisher ein Botnetz mit rund 150.000 IP-Adressen in die Angriffe eingebunden. Woher genau die Angriffe kommen ist noch völlig unklar. Eine interessante Analyse der Attacken anhand eigener Logs hat das Blog Sucuri vorgenommen.
Betreiber von Wordpress-Blogs sollten sicherstellen, dass eine aktuelle Installation der Software vorliegt und keine schwachen Passwörter verwendet werden.