Was ist ein Brute-Force-Angriff?
Bei einem Brute-Force-Angriff versucht ein Angreifer, Zugangsdaten zu ermitteln, indem er systematisch und automatisiert alle möglichen Kombinationen von Benutzernamen und Passwörtern durchprobiert – so lange, bis eine Kombination funktioniert. Der Name kommt vom englischen brute force – also „rohe Gewalt": statt Cleverness wird schlichtes Durchprobieren eingesetzt.
Moderne Brute-Force-Angriffe arbeiten nicht mehr wirklich zufällig. Sie nutzen vorrangig:
- Wörterbuch-Attacken: Listen mit Millionen häufig verwendeter Passwörter (rockyou.txt enthält über 14 Millionen Einträge)
- Credential Stuffing: Benutzernamen-Passwort-Paare aus bekannten Datenlecks (z.B. von Yahoo, LinkedIn oder anderen gehackten Diensten)
- Gezielte Kombinationen: Name + Geburtsjahr, bekannte Firmennamen + typische Passwort-Muster
Warum ist WordPress besonders gefährdet?
WordPress hat strukturelle Eigenschaften, die Brute-Force-Angriffe begünstigen:
Bekannter Login-Pfad: Jede Standard-WordPress-Installation ist unter /wp-admin oder /wp-login.php erreichbar. Es gibt keine Einrichtung, keine Randomisierung – jeder Bot kennt die Adresse.
Verräterische Fehlermeldungen: WordPress unterscheidet standardmäßig zwischen falschem Benutzernamen und falschem Passwort. Ein Angreifer kann so erst den Benutzernamen bestätigen und dann nur noch das Passwort knacken.
Standard-Benutzername „admin": Viele Installationen laufen mit diesem voreingestellten Namen. Er ist der erste Kandidat bei jedem Brute-Force-Versuch.
Die Variante über XML-RPC: Brute Force auf Steroiden
Eine besonders gefährliche Variante nutzt die XML-RPC-Schnittstelle (xmlrpc.php). Über diese Schnittstelle können Hunderte Loginversuche in einer einzigen HTTP-Anfrage gebündelt werden. Das bedeutet: Normale Schutzmechanismen, die einzelne fehlgeschlagene Versuche zählen, greifen hier nicht. Der Angreifer kann tausende Kombinationen testen, während er nur eine Anfrage abschickt.
Wie erkenne ich einen Brute-Force-Angriff?
- Auffällig viele fehlgeschlagene Login-Versuche in den Server-Logs
- Verlangsamung der Website durch hohe Last auf dem Login-Endpunkt
- E-Mail-Benachrichtigungen eines Sicherheits-Plugins (z.B. Wordfence) über gesperrte IPs
- Ungewöhnliche Login-Aktivitäten zu unüblichen Zeiten
Schutzmaßnahmen gegen Brute-Force-Angriffe
Login-Versuche begrenzen: Nach 3–5 Fehlversuchen wird die IP-Adresse temporär gesperrt. Das macht Brute-Force-Angriffe zeitlich unrentabel.
Zwei-Faktor-Authentifizierung (2FA): Selbst wenn das Passwort geknackt wird, ist ein Einloggen ohne den zweiten Faktor unmöglich. → Mehr dazu: Zwei-Faktor-Authentifizierung
Starke Passwörter / Passphrasen: Ab 17 Zeichen wird ein Passwort für Brute-Force-Angriffe praktisch unknackbar. Empfehlung: drei zufällige Wörter kombiniert (z.B. „TaubeSchlittschuhKlavier").
Standard-Benutzernamen „admin" entfernen: Den Login-Benutzernamen auf einen individuellen Namen ändern.
Login-URL anpassen: Den Standardpfad /wp-login.php durch eine individuelle URL ersetzen, die kein automatisierter Bot kennt.
XML-RPC deaktivieren: Die Schnittstelle blockieren, sofern sie nicht für externe Dienste benötigt wird. → Mehr dazu: XML-RPC
Web Application Firewall (WAF): Eine WAF erkennt und blockiert Brute-Force-Muster, bevor sie den WordPress-Login erreichen.
Einen vollständigen Überblick aller Schutzmaßnahmen bietet der Beitrag WordPress Sicherheitslücken: Der vollständige Leitfaden.
Fazit
Brute-Force-Angriffe auf WordPress sind kein gezielter Angriff – sie sind statistisch unvermeidlich. Jede WordPress-Website wird täglich von Bots auf schwache Zugangsdaten geprüft. Die gute Nachricht: Mit wenigen konsequenten Maßnahmen – starkes Passwort, 2FA, Login-Limit – lässt sich dieser Angriffsvektor fast vollständig schließen.
