BruteProtect für WordPress - Pressengers
Brute Force Attacken stoppen

BruteProtect für WordPress

Share on Facebook0Tweet about this on Twitter9Share on Google+0Share on LinkedIn0Email this to someone

Brute Force Attacken sind immer noch eines der größten Sicherheitsprobleme für WordPress-Seiten. Nicht ohne Grund, wie Tony Perez auf dem WordCamp Europe erklärt: 33% der infizierten Webseiten sind das Resultat von schwachen Benutzernamen und Passwörtern, die sich leicht per Brute Force Attacke knacken lassen. Auch komplexere Passwörter und kreative Benutzernamen reichen jedoch zum Schutz nicht aus. Das Plugin BruteProtect verspricht Abhilfe.

BruteProtect-Logo

BruteProtect in der Theorie

Das Plugin BruteProtect läuft bereits auf über 171.000 WordPress-Seiten und speichert die IPs der gescheiterten Login-Versuche all dieser Installationen in einer zentralen Liste. Diese IP-Liste dient wiederum als Black-List für jede einzelne Seite. Somit soll auch eure WordPress-Seite von den Bot-Attacken anderer Seiten profitieren – ähnlich wie es auch Sucuri verspricht. Vielversprechend ist in jedem Fall, dass Automattic im August das Plugin übernommen hat und die Weiterentwicklung vorantreibt.

BruteProtect konfigurieren

Die Konfiguration von BruteProtect ist einfach und in drei Schritten erledigt. Nach der Aktivierung gebt ihr im Backend eure E-Mail-Adresse ein, damit ein API-Key generiert wird (eure E-Mail-Adresse könnt ihr dabei bei mehreren von euren Seiten verwenden und angeblich schreiben sie nur maximal vier Mal im Jahr, außer es gibt ein Problem mit eurer Seite). Auf der folgenden Seite könnt ihr festlegen, ob ihr Plugin, Theme und WordPress Aktualisierungen zentral über BruteProtect vornehmen und den Uptime-Status eurer Seite überwachen möchtet.

BruteProtect-3

Die IP-Whitelist gilt wiederum nur für eure eigene Seite. Wenn ihr eine feste IP-Adresse habt, oder euer Provider euch immer eine IP aus einem bestimmten Pool zuweist, könnt ihr damit sicherstellen, dass ihr euch nicht selber sperrt. Wenn ihr bereits eine feste IP habt und nur über diese Verbindung eure Seite aktualisiert, ist es natürlich viel effizienter und für den Server ressourcenschonender den Backend-Zugang über die .htaccess zu sichern, anstatt dafür ein Plugin zu verwenden.

BruteProtect-whitelist

Fazit: Das Konzept von BruteProtect ist überzeugend und die Führungsrolle von Automattic verspricht weitere Funktionen. Wenn ihr bereits ein Plugin wie Limit Login Attempt auf eurer WordPress-Seite einsetzt, dann kann BruteProtect eine gute Alternative sein, denn es liefert die IP-Blacklist gleich mit.


Hans Jung

Hans Jung

Hans ist Datenschutzbeauftragter und bekennender WordPress-Fan – und versucht beides unter einen Hut zu bekommen.
Hans Jung
Share on Facebook0Tweet about this on Twitter9Share on Google+0Share on LinkedIn0Email this to someone
Kommentare zu "BruteProtect für WordPress"
  1. Siegfried schrieb am 5. November 2014, um 19:32 Uhr:

    Danke für den Tipp. Doch eine Frage hat sich ergeben. Im Moment nutze ich Limit Login Attempt und IP-Adress-Blocker gemeinsam. Der IP-Adress-Blocker blockiert die von mir gepflegte IP-Liste mit über 30.000 IP-Adressen die spammen oder attackieren und diejenigen, die noch nicht in dieser Liste sind werden mir gemeldet wenn sie auf Login Attempt stoßen. Wenn ich jetzt BruteProtect einsetze brauche ich nur noch ein Plugin, nämlich dieses? Weil es blockt und die Blacklist gleichzeitig füttert? Es werden aber nur Attacken aufgenommen, keine Spammer? Was ist jetzt die optimale Lösung? Danke für eine mögliche Anregung.

    1. Hans Jung schrieb am 6. November 2014, um 13:27 Uhr:

      Hallo Siegfried,
      aus meiner Erfahrung funktioniert Limit login Attempt sehr gut. Das von dir erwähnte IP-Adress-Blocker kennen ich nicht, daher kann ich zu dieser Kombination leider keine Aussage machen. Wie du es beschreibst, hört sich deine Lösung sehr vernünftig an. BruteProtect gilt nur für den Login zu deiner Seite, es hat keinen Einfluss auf die Kommentare und Spammer. Für den Spam bräuchtest du also eine andere Lösung (Akismet (mit Erweiterung für den deutschen Datenschutz), Captchas oder Antispam-Bee).

      1. Siegfried schrieb am 6. November 2014, um 16:55 Uhr:

        Hallo Hans,
        vielen Dank für Deine Rückmeldung. Ja, für den Spam nutze ich Antispam-Bee, was ich sehr schätze und über das ich die Spam-IPs einsammle. Und wie es im Moment aussieht bleibe ich dann bei meiner Lösung. Übrigens Kompliment für Euren Blog – sehr empfehlenswert.

  2. Yor schrieb am 7. November 2014, um 13:04 Uhr:

    Brute Force Attacken sollte man bereits auf Server-Ebene unterbinden und nicht erst vor dem WordPress-Pflegebereich.

    Mit dem Server-Modul Fail2Ban lassen sich Brute-Force-Logins ins WP-Backend abwehren, was zu gesteigerter Sicherheit und verbesserter Leistung (durch verringerten Bot-Traffic) des CMS führt.

    Nach der Installation von Fail2Ban auf dem Webserver, lassen sich fehlerhafte htaccess-Logins (vorgeschaltet vor die wp-login.php) als 401 Statuscode an Fail2Ban senden. Dazu muss diese Fail2Ban-Regel auf dem Server eingetragen werden: https://gist.github.com/sergejmueller/8562240

    Alternativ oder zusätzlich, können falsche WordPress-Logins als 403 Statuscode an die Bots übermitteln werden. Dazu muss die functions.php um diese Aktion erweitert werden: https://gist.github.com/sergejmueller/5582131

  3. Marc Nilius schrieb am 16. Februar 2015, um 12:12 Uhr:

    Wie sieht es denn hier mit dem Datenschutz aus? Es werden ja vollständige IP-Adressen an den Betreiber des Plugins gesendet. Ist das schon datenschutz-relevant? (ähnliche Problematik wie bei Aksimet)

    Danke,
    Marc

    1. Hans Jung schrieb am 16. Februar 2015, um 17:21 Uhr:

      Hallo Marc,
      du hast recht, das Übermitteln der IPs ist problematisch. Allerdings werden hier nicht pauschal die IPs aller Leser/Besucher einer Seite übermittelt, sondern nur IPs von gescheiterten Loginversuchen am Backend.

      1. Marc Nilius schrieb am 16. Februar 2015, um 18:01 Uhr:

        Macht das denn einen Unterschied? Bei Aksimet werden ja auch nur die IP-Adressen der Kommentatoren übermittelt (und nicht von jedem Besucher).
        Würde mich echt interessieren, wie das datenschutzrechtlich im Detail beurteilt wird. Denn an sich ist das Plugin eine tolle Idee, allerdings dann wieder in Deutschland eher nicht einsetzbar.
        Wäre schade drum…

  4. Michelle schrieb am 18. Mai 2015, um 15:05 Uhr:

    Haltet ihr denn das Plugin Limit Login Attempts für ausreichend, um einen Brute Force Angriff zu verhindern? Inwiefern darf man sich auf Server-Ebene auf die Sicherheitsmechanismen des Hosters verlassen?

    1. Hans Jung schrieb am 18. Mai 2015, um 17:51 Uhr:

      Hallo Michelle,
      wenn die Brute Force nur von einer IP ausgeführt wird: Ja. Wahrscheinlicher ist, dass sie eher einer DDoS mit vielen IPs gleicht. Dann kann die Serverlast (gerade bei shared Hosting) zu gering sein und sich bei deinen Usern durch zu lange Ladezeiten bemerkbar machen. Aber die IP-Sperren und die E-Mail Benachrichtigung machen dich 1. darauf aufmerksam und 2. verschaffen sie dir den nötigen Spielraum, um darauf zu reagieren.

  5. Roland Wiegmann schrieb am 4. Juni 2015, um 14:43 Uhr:

    Sicherheit + Spamschutz in WP-Blogs – hochinteressant.
    Mich würde in diesem Zusammenhang interessieren, wie eine Kombination von Contact Form 7 inkl. Honeypot und Bullet Proof Security (htaccess-Basis) eingeschätzt wird, zumal die meisten WP-Betreiber ja wenig bis keine Zugriffschancen auf den Server haben.

  6. Björn schrieb am 24. Januar 2016, um 22:56 Uhr:

    Hallo,
    BruteProtect ist jetzt bei JETPACK mit eingebaut. Es muss nur in den Einstellungen von Jetpack aktiviert werden.
    BruteProtect gibt es jetzt nicht mehr als separates Plugin.

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..