Neue Infektionen, Bruteforce-Attacken auf WordPress

Nach Angaben der Experten wurden frühere Bruteforce-Attacken immer über einen Aufruf von wp-login.php durchgeführt, und darauf spezialisierte Schutzlösungen, wie etwa das Plug-In BruteProtect, sind in der Lage sie abzuwehren. Die Verwendung von XMLRPC beschleunigt den Prozess und ermöglicht die Umgehung solcher Wächter. „Die meisten dieser Add-Ons verfolgen lediglich wp_login.php in Verbindung mit dem Ergebnis wp_login_failed, sie reagieren nicht auf einen Loggin-Fehler im Format XMLRPC“, erklärt Wesemann. Der Experte unterstreicht besonders, dass eine Durchsicht der HTTP-Logs auf dem Server vermutlich auch nichts bringt: Der Webserver nimmt die Anfragen der Cyberkriminellen ohne Probleme an und gibt die im Reglement vorgesehene XML-Meldung „403 – Not Authorized“ heraus.

Sucuri registriert hunderte Eindringungs-Versuche mittels Bruteforce unter Verwendung unterschiedlicher Login-Passwort-Kombinationen. Nach Angaben der Experten stieg die Zahl solcher Versuche seit Beginn des laufenden Monats um das 10-Fache; in dem vergangenen Zeitraum zählten sie insgesamt ca. 1 Million Attacken und 17.000 Ursprungs-IP-Adressen. Dabei ist die Liste der Passwörter, mit denen die Angreifer operieren, absolut gewöhnlich, während sie bei der Auswahl des Logins nicht selten den Domainnamen verwenden oder versuchen, den Namen des Administrators zu erraten.

Das Unternehmen WordPress hat unterdessen die Anwender aufgerufen, die Passwörter zu verstärken und den Empfehlungen zur Erhöhung der Sicherheit zu folgen, die auf im entsprechenden Abschnitt auf der Website WordPress.org aufgelistet sind.