Was ist eine Passwortverletzung?

Was ist ein Passwortbruch? Welche Schritte sollten Sie unternehmen, um zu verhindern, dass dies auf Ihrer WordPress-Website passiert?

Seit der Einführung des Internets und der Anmeldeformulare für Websites wurde uns allen beigebracht, sichere, unknackbare Passwörter zu verwenden, um unsere Online-Privatsphäre zu schützen. Aber als Besitzer einer WordPress-Seite ist es noch wichtiger denn je. Aufgrund ständiger Cybersicherheitsbedrohungen müssen Sie Maßnahmen ergreifen, um Passwortverletzungen zu vermeiden, die dazu führen könnten, dass ein Hacker Ihre Website übernimmt.

In diesem Leitfaden werden wir uns mit dem Risiko von Passwortverletzungen befassen und wie sie verwendet werden, um die vollständige Kontrolle über Ihre WordPress-Site zu erlangen. Wir zeigen Ihnen auch genau, was Sie tun müssen, um Ihre Website vor einem Passwortverstoß zu schützen. Lass uns einen Blick darauf werfen.

Was ist eine Passwortverletzung?

Kurz gesagt, ein Passwortbruch liegt vor, wenn jemand ohne Ihre Erlaubnis Zugriff auf Ihr Passwort hat. Passwortverletzungen treten oft in großem Umfang auf, da große Mengen von Benutzernamen- und Passwortkombinationen kompromittiert werden. Passwortverletzungen führen oft zu Lecks und Datenbank-Dumps. Diese Datenbank-Dumps werden im Dark Web offengelegt oder sogar verkauft.

Passwortverletzungen sind aus mehreren Gründen ein großes Problem. Der erste ist natürlich, dass ein Hacker Zugriff auf Ihre Online-Konten erlangen kann. Sobald Ihr Passwort in eine Datenpanne eingeschlossen ist, ist Ihre Online-Sicherheit stark beeinträchtigt.

Schlimmer noch, wenn Sie ein Passwort für mehrere Konten wiederverwenden, werden alle diese Konten kompromittiert. Laut einem aktuellen Verizon Data Breach Investigations Report verwenden mehr als 70 % der Mitarbeiter Passwörter an ihren Arbeitsplätzen wieder. Aber die wichtigste Statistik aus dem Verizon-Bericht ist, dass 81 % der Hacking-bezogenen Verstöße entweder gestohlene oder schwache Passwörter nutzten.

Was ist ein Man-in-the-Middle (MITM)-Angriff?

Wenn es um Passwortverletzungen geht, ist es wichtig, MITM- oder Man-in-the-Middle-Angriffe zu verstehen. Man-in-the-Middle-Angriffe sind ein allgemeiner Begriff für alle Cyber-Angriffe, bei denen sich Hacker in eine Vermittlerposition zwischen Sender und Empfänger von Informationen oder Daten stellen.

Ein Beispiel dafür wäre, dass sich ein Hacker zwischen dem Webbrowser eines Benutzers und der Website befindet, die er gerade besucht. Indem sie sich in der Mitte positionieren, können Angreifer den Zielinhalt abhören und in vielen Fällen modifizieren, wenn er zwischen den beiden verschiedenen Standorten gesendet und empfangen wird.

Wenn ein Hacker in der Lage ist, die Anmeldeinformationen eines Website-Benutzers zu erfassen, kann er diese Informationen manchmal verwenden, um privilegierten Zugriff auf Ihre WordPress-Website zu erhalten. Und wenn sie in der Lage sind, die Administratoranmeldeinformationen Ihrer Website zu erfassen, können sie mit Ihrer Website alles tun, was sie möchten, einschließlich der Umleitung an einen völlig anderen Ort.

Wie Hacker Passwörter und Zugangsdaten für die Anmeldung stehlen

Hacker verwenden viele Techniken, um Ihre Passwörter zu stehlen, darunter Phishing, das Stehlen Ihrer Authentifizierungscookies und die Suche nach unsicheren oder unverschlüsselten Verbindungen.

Um vollständig zu verstehen, wie eine Passwortverletzung passiert und wie Anmeldeinformationen gestohlen werden können, müssen Sie sich zunächst eine nicht sichere HTTP-Anforderung ansehen, die Anmeldeinformationen enthält, die mit den integrierten Entwicklertools eines Browsers übermittelt wurden.

Denken Sie daran, dass dies kein Man-in-the-Middle-Angriff ist, aber dennoch ein Passwortbruch ist. Und diese Informationen helfen zu veranschaulichen, worauf Sie etwas später in diesem Prozess achten müssen.

Jetzt müssen wir uns ansehen, was ein Hacker sieht, wenn er unverschlüsselten HTTP-Verkehr untersucht. Für dieses Beispiel verwenden wir ein Tool namens Wireshare. Dies ist ein beliebtes und kostenloses Netzwerkanalyse-Tool, das jeder verwenden kann. Ein böswilliger Benutzer, der sich im selben WLAN-Netzwerk wie Sie befindet, könnte ein solches Tool verwenden, um vertrauliche Informationen zu erhalten, die nicht über HTTPS verschlüsselt sind.

Wie genau beziehen sich Cookies auf die Website-Authentifizierung?

Ein sachkundiger Hacker kann nicht nur Ihre Anmeldeinformationen und Passwörter stehlen, sondern auch Ihr Authentifizierungs-Cookie stehlen und es verwenden, um sich auf Ihrer Website vollständig als Sie auszugeben.

Es ist wichtig zu verstehen, dass HTTP ein sogenanntes zustandsloses Protokoll ist. Mit anderen Worten, bei HTTP weist der Server Anforderungen, die über denselben TCP-Socket ankommen, keine individuelle Bedeutung zu.

Dies bedeutet, dass der Browser ein temporäres Token speichern muss, das Ihnen beim Surfen auf der Website folgt, es sei denn, Sie möchten jedes Mal Ihr vollständiges Passwort eingeben, wenn Sie eine Seite auf der Website aufrufen.

Dieses Token wird als Sitzungstoken bezeichnet. Und der Browser sendet dieses Token automatisch mit jeder einzelnen Anfrage, die Sie auf der Website stellen. Glücklicherweise haben Webbrowser einen Mechanismus, der genau für diese Funktion eingebaut ist. Und der Mechanismus sind Cookies.

Aus diesem Grund werden Sie, wenn Sie alle in Ihrem Browser gespeicherten Cookies löschen, von allen Websites abgemeldet, auf denen Sie zuvor angemeldet waren.

Dies informiert uns darüber, dass Hacker und böswillige Angreifer nicht einmal Ihr Passwort kennen müssen, um eine Passwortverletzung zu begehen und sich als Sie auszugeben. Alles, was sie tun müssen, ist, Ihr Sitzungstoken in die Hände zu bekommen, und sie können sich direkt auf Ihrer Website anmelden.

Wie in unserem vorherigen Beispiel einer WordPress-Passwortverletzung werden Sie sehen, dass die gleichen identischen Informationen jetzt für einen Angreifer zugänglich sind, der Wireshark verwendet.

Dann kann der Hacker mit einer völlig kostenlosen Browsererweiterung wie Cookie-Editor den Wert des von ihm gestohlenen Cookies problemlos in seinem Webbrowser verwenden und beginnen, wie Sie in Ihrem WordPress-Admin-Dashboard zu navigieren. Und für Sie selbst oder Ihre Website wird daraus nichts Gutes.

So schützen Sie sich vor Passwortverletzungen

Denken Sie daran, dass einige Arten von Angriffen mit Passwortverletzungen für einen erfahrenen Hacker mit äußerst geringem Aufwand durchzuführen sind. Und dies gilt insbesondere für schlecht gesicherte oder öffentliche Netzwerke, wie z. B. öffentliche WLAN-Standorte.

Glücklicherweise ist es sehr einfach, Ihre WordPress-Site vor Passwortverletzungen zu schützen. Und es ist etwas, worauf sich jeder verantwortungsbewusste Besitzer einer WordPress-Website sofort konzentrieren muss, um einen Angriff zu vermeiden, der Ihre gesamte Website ruinieren könnte.

Stellen Sie in erster Linie sicher, dass Sie HTTPS auf allen von Ihnen verwalteten WordPress-Sites aktivieren und erzwingen. Dies ist eine absolute Voraussetzung für jede Art von WordPress-Site, ob klein oder groß – selbst wenn Ihre Benutzer keine Berechtigung erhalten, sich bei der Site anzumelden.

Einfach ausgedrückt verschlüsselt HTTPS den gesamten Datenverkehr zwischen Browsern und Ihrem Site-Server. Wenn ein Angreifer versucht, den Inhalt des mit HTTPS verschlüsselten Datenverkehrs zu lesen, sieht er am Ende nur verstümmelten, bedeutungslosen verschlüsselten Text.

Und Ihre Passwörter sind sicher.

Natürlich benötigen Sie ein SSL-Sicherheitszertifikat, um HTTPS auf Ihrer Website erzwingen zu können. Heutzutage bieten viele WordPress-Hosts kostenlose SSL-Zertifikate an, was es zu einem Kinderspiel macht.

Verwenden des iThemes Security Pro Plugins, um einen Passwortverstoß auf Ihrer WordPress-Site zu vermeiden

Ähnlich wie bei allen anderen Website-Anwendungen, die Anmeldeformulare enthalten, übermittelt das Content-Management-System WordPress Benutzernamen und Passwörter innerhalb einer HTTP-Anfrage, wenn Sie oder ein anderer Benutzer sich anmelden. Und wie Sie wahrscheinlich wissen, ist HTTP kein verschlüsseltes Protokoll.

Das bedeutet, dass, wenn Sie Ihre Website nicht sicher mit HTTPS betreiben, die gesamte Kommunikation zwischen Ihren Benutzern und Ihrem Webserver von Hackern und böswilligen Angreifern abgehört werden kann.

Hacker sind dann in der Lage, den (unverschlüsselten) Klartext-HTTP-Verkehr Ihrer WordPress-Site leicht abzufangen und dann zu modifizieren. Und natürlich sind die wertvollsten Informationen, nach denen ein Hacker sucht, die Anmeldedaten des Site-Administrators, einschließlich Ihres Passworts. Deshalb ist es so wichtig, für deine WordPress-Seite immer HTTPS zu verwenden. Hier ist eine kurze Anleitung, was HTTP vs. HTTPS bedeutet.

Wenn Sie eine WordPress-Website haben, ist das iThemes Security Pro-Plugin eine Ihrer besten Verteidigungslinien. iThemes Security ist ein leistungsstarkes WordPress-Sicherheits-Plugin mit Funktionen, die darauf ausgelegt sind, Benutzerkonten zu sichern und WordPress zu härten.

Beispielsweise ist die Funktion „Kennwortanforderungen“ in iThemes Security Pro nicht nur Ihre Kennwortrichtlinie, sondern auch Ihr Werkzeug zur Kennwortdurchsetzung.

Mit der Passwortanforderungsfunktion können Sie Mitglieder jeder WordPress-Benutzergruppe in Ihrem Dashboard einfach dazu zwingen:

• Verwenden Sie starke Passwörter
• Wählen Sie eine festgelegte Zeit, in der Passwörter ablaufen und von Benutzern in jeder Gruppe zurückgesetzt werden
• Ablehnen von Passwörtern, die kompromittiert wurden (dies zwingt Benutzer, Passwörter zu verwenden, die nicht in Passwortverletzungen aufgetreten sind, die von Have I Been Pwned verfolgt werden)
• Erzwingen Sie eine Passwortänderung für die gesamte Website, um sicherzustellen, dass jeder auf der Website die neue Richtlinie für starke Passwörter einhält, die Sie implementieren.

Die iThemes Security Pro-Funktion „Passwortanforderungen“ schützt Ihre WordPress-Anmeldeinformationen vor den gerade in diesem Handbuch besprochenen Angriffen durch Passwortverletzungen und vielem mehr.

Tatsächlich ist es eine vollständige WordPress-Sicherheitssuite, auf die kein WordPress-Site-Besitzer verzichten sollte, wenn es Ihnen wichtig ist, Ihre Site vor allen Arten von böswilligen Angriffen zu schützen.

Außerdem gibt es Ihnen die Möglichkeit, Ihre Passwortrichtlinie mit einem einfachen Klick auf eine Schaltfläche durchzusetzen. Die Wahrheit ist, dass die meisten Menschen lieber den Weg des geringsten Widerstands gehen. Indem Sie die Option zur Verwendung schwacher oder kompromittierter Passwörter entfernen, helfen Sie sich selbst und allen, die Ihre Website verwenden, ihre Konten vollständig vor dem Schaden einer Passwortverletzung zu schützen.

Zusätzliche Vorsichtsmaßnahmen für Passwörter

Es steht zwar außer Frage, dass Sie HTTPS sofort auf Ihrer WordPress-Site aktivieren und dann eine Sicherheitssuite installieren müssen, um sie vor Angriffen durch Passwortverletzungen zu schützen, aber es gibt auch einige zusätzliche Maßnahmen, die Sie ergreifen sollten, die sich auf die Sicherheit und Härtung von WordPress beziehen:

• Fügen Sie 2FA (Zwei-Faktor-Authentifizierung) hinzu, um die Sicherheit Ihres WordPress-Site-Authentifizierungsmechanismus zu erhöhen. Das iThemes Security Pro Plugin hilft Ihnen dabei.
• Begrenzen Sie fehlgeschlagene Anmeldeversuche auf Ihrer Website, um Hacking-Versuche wie Passwort-Rate-Angriffe und DDoS-Angriffe mit dem Brute-Force-Schutz von iThemes Security zu vereiteln.
• Aktivieren Sie die Sicherheitsprotokollierung, um unbefugten Zugriff auf Ihr WordPress-Admin-Dashboard zu überwachen.
• Stellen Sie sicher, dass Sie die Dateiänderungserkennung auf Ihrer WordPress-Site aktivieren, um nicht autorisierte oder verdächtige Dateiänderungen zu erkennen.

Zusammenfassung: Vermeidung eines Passwortverstoßes auf Ihrer WordPress-Site

Ein erfolgreicher Passwortbruch ist eines der verheerendsten Dinge, die einem WordPress-Site-Besitzer passieren können. Und selbst die größten Websites der Welt sind vor ihren Gefahren nicht gefeit.

Nach dem Studium dieses Leitfadens verfügen Sie jedoch über die Tools, die Sie auf Ihrer Website einsetzen können, um diesen verheerenden Schlag zu vermeiden.

Und mit Hilfe der richtigen Tools, wie hier besprochen, sind Sie auf dem besten Weg, eine sicherere WordPress-Site zu betreiben.

Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.

Holen Sie sich iThemes Security Pro

Kristen Wright

Kristen schreibt seit 2011 Tutorials, um WordPress-Benutzern zu helfen. Als Marketingleiterin hier bei iThemes hilft sie Ihnen dabei, die besten Wege zum Erstellen, Verwalten und Pflegen effektiver WordPress-Websites zu finden. Kristen schreibt auch gerne Tagebuch (schau dir ihr Nebenprojekt The Transformation Year an!), wandert und campt, macht Step-Aerobic, kocht und liebt tägliche Abenteuer mit ihrer Familie, in der Hoffnung, ein präsenteres Leben zu führen.