Hast du auch plötzlich eine E-Mail im Posteingang erhalten, die einen Versuch zur Zurücksetzung des Passworts ankündigt, obwohl du diesen nicht selbst initiiert hast? Bist du besorgt, dass deine Website gehackt werden könnte? Was solltest du tun?
WordPress bietet eine integrierte Möglichkeit, durch die registrierte Benutzer eigenständig ihr Passwort zurücksetzen können. Wenn ein Benutzer sein WordPress-Passwort vergessen hat, kann er über die „Passwort vergessen“-Funktion auf der Anmeldeseite eine Nachricht an seine E-Mail-Adresse senden lassen. Diese enthält dann einen Link zum Zurücksetzen des Benutzer-Passworts. Normalerweise ist dies eine nützliche Funktion, wenn man seine Anmeldedaten in WordPress vergessen hat. Aber was ist, wenn dieses Zurücksetzen nicht von dir initiiert wurde und du die E-Mail erhältst?
Keine Panik – diese Mails kommen immer wieder vor!
Wenn du eine unerwartete E-Mail zum Zurücksetzen deines WordPress-Passworts erhältst, ohne dass du eine entsprechende Anfrage gestellt hast, könnte dies bedeuten, dass jemand versucht hat, dein Passwort zurückzusetzen, sei es versehentlich oder absichtlich. In solchen Fällen ist es wichtig, die Sicherheit deines Kontos zu überprüfen, auch wenn kein tatsächlicher Angriff stattgefunden hat.
Beispielsweise durchforsten viele große Bot-Systeme, die oft aus Asien (China, Hongkong, Singapur, Vietnam, Thailand, Malaysia, Indien, etc.) oder aus Ost-Europa (Russland, Ukraine, Bulgarien, Rumänien, etc.) stammen, ständig das Netz nach CMS-Installationen und prüfen dabei auch automatisch Login-Seiten von WordPress-Websites. Sie versuchen, Schwachstellen auszunutzen, indem sie automatisierte Angriffe durchführen, um sich Zugang zu den Administrator-Accounts zu verschaffen.
Oft kann auch es der Versuch sein, Sicherheitslücken auszunutzen. So gab es in den alten WordPress-Versionen 4.2 bis zur Version 4.7.4 eine ExploitBox-Schwachstelle namens „Unauthorized Password Reset“. Aber auch Themes und Plugins haben häufig Sicherheitslücken. Deshalb ist es wichtig, die CMS-Installationen regelmäßig zu aktualisieren. Die Verwendung starker Passwörter in WordPress ist ebenfalls äußerst wichtig, weil unsichere oder leicht erratbare Passwörter ein erhebliches Risiko für die Sicherheit darstellen können.
Wie sieht die „Passwort zurücksetzen“ Nachricht in WordPress aus?
Die Nachricht hat in der Regel den Betreff [DeineWebsite] Passwort zurücksetzen und startet dann mit dem Text „Jemand hat das Zurücksetzen des Passworts für folgendes Konto angefordert„. Es folgen der Name der Website und der mit der Mailadresse verknüpfte WordPress-Benutzername.
Dann kommt der Text „Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren. Um dein Passwort zurückzusetzen, besuche folgende Adresse:„Hier folgt dann ein längerer Link. Und als Letztes der Hinweis-Text „Diese Anforderung zum Zurücksetzen des Passworts stammt von der IP-Adresse XYZ„.
In meinem Fall stammt die E-Mail von der IP-Adresse 59.42.122.1. Die IP-Adresse kann bei deiner Mail aber ganz anders lauten.
Ein sogenannter IP-Lookup kann schnell helfen, die geografische Lage einer IP-Adresse zu bestimmen. Damit konnte ich herausfinden, das es eine IP-Adresse aus China ist. Diese kostenlosen Dienste im Internet kannst Du beispielsweise dafür nutzen:
- https://nordvpn.com/de/ip-lookup/
- https://www.livewatch.de/de/tools/ip-lookup
- https://iplocation.io/
Da ich das Zurücksetzen nicht selbst ausgelöst habe und auch nicht in China wohne, wird hier schnell deutlich, dass hier wohl ein großes chinesisches Bot-Netzwerk einfach die Server durchforstet und das Versenden der Mails ausgelöst hat. Es gibt Hunderttausende von automatisierten Bots und Skripten, die das Internet rund um die Uhr scannen und sondieren. Das ist völlig normal.
Was Du eine solche Mail erhalten? Was tun in einem solchen Fall?
Bist Du beunruhigt? In solchen Momenten ist es wichtig, ruhig zu bleiben und die Situation rational zu analysieren. Hinterfrage immer den Zweck und den Absender solcher E-Mails! Und klicke bitte niemals vorschnell auf verdächtige Links in E-Mails, da diese Teil eines Phishing-Versuchs sein könnten.
- Hast du tatsächlich dein Passwort für den WordPress-Zugang vergessen und den Zurücksetzungsprozess selbst angestoßen? Nur in diesem Fall ist es in Ordnung, und die E-Mail ist legitim.
- Falls du den Zurücksetzungsvorgang nicht selbst initiiert hast, handelt es sich höchstwahrscheinlich um Spam oder das Auslösen durch ein Bot-Netzwerk. Überprüfe die in der E-Mail angegebene IP-Adresse sowie gegebenenfalls die IP-Adresse deines eigenen Standorts. Der in der Mail enthaltene Text „Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.“ spricht für sich!
- Ist deine WordPress-Installation sowie deine Plugins/Themes auf dem neuesten Stand? Verwendest du ein sicheres, langes Passwort? Wenn ja, kannst du beruhigt sein. Ignoriere die E-Mail und lösche sie einfach!
- Hast Du eine uralte WordPress-Version laufen? Beim Versuch, eine Sicherheitslücke auszunutzen, könnte es ein Problem geben. Dann solltest Du weitere Maßnahmen unternehmen.
Falls du vermutest, dass jemand absichtlich versucht hat, dein Passwort aufgrund einer Sicherheitslücke zurückzusetzen, solltest du sofort Maßnahmen ergreifen, um die Sicherheit deines Kontos zu erhöhen. Dazu gehört das Ändern deines Passworts und die Aktivierung zusätzlicher Sicherheitsmaßnahmen wie der Zwei-Faktor-Authentifizierung (2FA), um sicherzustellen, dass nur autorisierte Personen Zugriff auf dein Konto erhalten. Evtl. solltest du auch in Betracht ziehen, ein Backup deiner Website einzuspielen, um eventuelle Schäden rückgängig zu machen.
Thema Passwortsicherheit – Sicheres Passwort nutzen!
Die Passwortsicherheit bei WordPress ist also von entscheidender Bedeutung, da schwache oder leicht zu erratende Passwörter ein erhebliches Sicherheitsrisiko darstellen können. Denn auch wenn der WordPress-Benutzername einem Angreifer bekannt sein sollte, dauert die Entschlüsselung eines langen, sicheren Passworts Monate bis Jahre. Deshalb empfiehlt sich die Verwendung von starken Passwörtern, die aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Darüber hinaus bietet WordPress Funktionen wie die Möglichkeit zur Aktivierung der Zwei-Faktor-Authentifizierung (2FA) und die Begrenzung der Anmeldeversuche, um die Sicherheit der Login-Seite zu erhöhen.
Ein starkes Passwort sollte die folgenden Kriterien erfüllen:
- Länge: Es sollte mindestens 12 Zeichen lang sein, idealerweise noch länger.
- Vielfalt: Es sollte eine Mischung aus Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und gegebenenfalls Leerzeichen enthalten.
- Keine einfachen Wörter: Vermeide einfache Wörter, Namen, Geburtsdaten oder andere persönliche Informationen, die leicht zu erraten sind. Passwörter wie „hallo“, „“qwertz“, iloveyou“, „Sonne“, „Wasser“ oder auch Markennamen wie „FCBayernMünchen“, „Micky Maus“, „CocaCola“ sollte man auf keinen Fall nutzen.
- Zufälligkeit: Es sollte kein leicht vorhersehbares Muster haben. Vermeide zum Beispiel wiederholte Zeichen oder einfache Sequenzen wie „1234567“, „aaaaaaa“ oder „abcdefg“.
- Einzigartigkeit: Verwende für jedes Konto ein einzigartiges Passwort, um sicherzustellen, dass ein Kompromittieren eines Kontos nicht alle anderen gefährdet.
Ein Beispiel für ein starkes Passwort wäre z.B. „#9&gT3Wv$#zFQ@p“. Es erfüllt alle oben genannten Kriterien und ist schwer zu knacken. So ein Passwort kann mit einer Brute-Force-Attacke geknackt werden – das würde aber mehrere Jahrzehnte oder noch länger dauern.
Besten Dank für die Hinweise. Ich teste z.Zt. WPS Hide Login. Die Anmelde-URL wird verändert und somit der Zugang zur Seite wp-login.php und dem Verzeichnis wp-admin.
Viele Grüße
Manfred
Hallo Manfred, leider ist das Plugin alleine für sich auch kein guter Schutz (WPS Hide hatte auch schon Sicherheitslücken). Am besten einfach ein sicheres langes Passwort verwenden. Das Login verstecken bringt in der Regel nicht viel. Die meisten WordPRess-Websites werden erfahrungsgemäß durch Plugin- und Theme-Schwachstellen gehackt.
Danke!
Vielen Dank für den sehr hilfreichen Beitrag. Ich hatte für meine beiden Websites zeitversetzt auch diese E-Mail erhalten. Mit Hilfe Ihres Links konnte ich herausfinden, dass die anfordernden IP-Adressen aus China stammen. Da meine WordPress-Installation auf dem neuesten Stand ist, werde ich nichts weiter unternehmen.
Liebe Grüße Sabine Georgi