Brute-Force-Attacke auf dieses Blog

Von Freitag Nachmittag bis Samstag Nachmittag hat ein massiver Angriff auf dieses Blog stattgefunden. Das Plug-in Limit Login Attempts, das ich hier schon einmal kurz vorgestellt habe, hat innerhalb von ziemlich genau 24 Stunden mehr als 60 IP-Adressen gesperrt, von denen aus Hunderte Login-Versuche unternommen wurden. Hier wurde also vermutlich erstmals ein kleines Bot-Netz eingesetzt, das gängige Passwörter durchprobiert hat.

Das Plug-in ist bei mir recht restriktiv eingestellt, so dass es bereits nach zwei Anmeldeversuchen eine erste IP-Sperre von 120 Minuten durchsetzt. Nach drei dieser Sperren erfolgt eine verlängerte Blockade der IP-Adresse von 168 Stunden, was einer Woche entspricht. Die Standardeinstellungen von Limit Login Attempts, die unter „Einstellungen, Limit Login Attempts“ zu finden sind, sind deutlich laxer.

Ich würde jedem WordPress-Nutzer empfehlen, dieses Plug-in zu installieren und die Einstellungen zu verschärfen. Seitdem ich es installiert habe, sehe ich nämlich immer wieder bestimmte IP-Adressen, die Passwörter durchprobieren. Bei meiner Konfiguration sind das aber dann nur noch sechs Versuche pro Woche. Das heißt, an meinem Passwort beißen sich die Angreifer auch noch in den nächsten Jahrtausenden (oder Jahrmillionen?) die Zähne aus …

Abgesehen davon sollte man natürlich ein schön langes und zufällig generiertes Passwort verwenden. Aber das wissen wir doch alle, oder?

Fragwürdige Sicherheit: Admin-Zugang für WordPress löschen

Wordpress Admin verbergen

Wenn man nicht aufpasst, bringt es nur wenig mehr an echter Sicherheit, wenn man den Admin-Zugang einfach nur löscht.

Einer der gängigsten WordPress-Tipps ist, den automatisch angelegten Admin-Account zu löschen und stattdessen einen selbst erstellten Account zur Administrierung des Blog-Systems zu verwenden.

Das klingt auf den ersten Blick vernünftig, weil man dabei davon ausgeht, dass ein Angreifer den Login-Namen erraten muss, bevor er etwa per Brute-Force versucht, das dazugehörige Passwort zu knacken. Ein komplizierter Login-Name ist – zumindest in der Theorie – nicht so leicht zu erraten und bietet so einen zusätzlichen Schutz.

Diese Annahme ist jedoch ein Irrtum. In der Realität bringt das Löschen des Admin-Accounts keine echte Sicherheit: Die meisten WordPress-Nutzer legen nämlich einfach einen neuen Account an und verwenden ihn sowohl zum Schreiben neuer Beiträge, als auch zum Verwalten ihres Blogs. Read More …

Router-Grundlagen: Die SSID ändern und ein sicheres WLAN-Passwort erstellen

SSID ändern: So geht's

Wählen Sie eine SSID aus, die keine Rückschlüsse zu Ihrer Person oder Ihrem Router zulässt.

Jedes Funknetz trägt zwangsläufig einen eigenen Namen, der SSID genannt wird. Die Abkürzung steht für Service Set Identification. Unter diesem Namen lässt sich Ihr Funknetz in der näheren Umgebung auffinden. Das hat Vor- und Nachteile.

In der Regel sollten Sie die voreingestellte SSID Ihres WLAN-Routers ändern. Häufig vergeben die Anbieter Namen wie „default“ oder die genaue Bezeichnung Ihres Routers, zum Beispiel „Fritz!Box 7490“.

Letztere Bezeichnung identifiziert eindeutig das von Ihnen verwendete Gerät zu und hilft einem Angreifer dadurch beim Aufspüren von möglichen Sicherheitslücken. Read More …

Windows-Kommandozeile: Regeln für Windows-Passwörter definieren

Im Prinzip kann jeder Windows-Nutzer sein Passwort so wählen, wie er will. Das Betriebssystem lässt sich aber so konfigurieren, dass gewisse Regeln für Windows-Passwörter wie etwa eine minimale Länge gelten. Simple Passwörter wie „123“ oder „test“ sind dann nicht mehr möglich.

Regeln für Windows-Passwörter festlegen

Öffnen Sie zunächst ein Fenster der Eingabeaufforderung mit Administratorrechten, indem Sie „Start, Alle Programme, Zubehör“ auswählen. Klicken Sie dann mit der rechten Maustaste auf „Eingabeaufforderung“ und wählen Sie „Als Administrator ausführen“ aus. Ein Fenster der Windows-Eingabeaufforderung mit Adminrechten öffnet sich.

Geben Sie nun den Befehl net accounts ein, um die aktuellen Einstellungen für Windows-Passwörter anzuzeigen. Read More …