Bedrohungsinformationen

WordPress unter Beschuss: 37.288 Angriffe an einem einzigen Wochenende registriert

Mai 26, 2026 · Patrick Schlesinger

Das Wochenende vom 23. bis 24. Mai war das bisher aktivste 48-Stunden-Zeitraum in unserem Netzwerk. Die Mitgliedsseiten übermittelten über die ReportedIP 37.288 Angriffsmeldungen, die sich auf 15.066 eindeutige Angreifer-IPs bezogen. Mehr als ein Viertel dieser Meldungen – nämlich 10.078 – stammte von WordPress-Seiten, auf denen das Hive-Plugin installiert war.

Wenn Sie ein öffentliches WordPress-System betreiben und nicht hinter einer reputationsbasierten Sperre stehen, gibt es mittlerweile in jeder Woche ein ganzes Wochenende voller Hintergrundaktivitäten. Hier sehen Sie, was uns die Community in diesen zwei Tagen geliefert hat, wie die Muster aussehen und was wir darauf aufgesetzt haben.

So sah das Wochenende aus

Drei Säulen, eine Infrastruktur

Die drei größten Angriffskategorien am Samstag und Sonntag waren Hacking-Versuche (23.019 Meldungen), Brute-Force-Anmeldeversuche (10.215) und kombinierte SSH- und WordPress-Angriffe (3.889). Die Gesamtsumme ist höher als die Anzahl der eindeutigen IP-Adressen, da dieselben Angreifer-IPs innerhalb weniger Minuten mehrere Kategorien auf derselben Website angreifen – ein einzelner Host führt einen Brute-Force-Angriff durch, scheitert und versucht es dann sofort erneut wp-config.php.bak und /.env auf dasselbe Ziel.

Das ist der Netzwerkeffekt, der den Ruf einer Community ausmacht: Eine IP-Adresse, die um 14:02 Uhr UTC das Anmeldeformular von Website A bombardiert, steht bereits um 14:03 Uhr UTC auf der Sperrliste von Website B, noch bevor sie Website B überhaupt erreicht hat. Am Wochenende tauchte die durchschnittliche IP-Adresse eines Angreifers in 2,5 der 9 von der API erfassten Bedrohungskategorien auf – es handelt sich nicht um Einzweck-Bots, sondern um komplette Toolkits.

Herkunft: 18.254 IP-Adressen stammen aus vier Ländern

Die geografische Konzentration war am Wochenende ungewöhnlich gering. 18.254 der von uns erfassten eindeutigen IP-Adressen der Angreifer stammten aus vier Ländern:

• Vereinigte Staaten: 10.920 IP-Adressen – überwiegend Hosting-Anbieter und Cloud-Bereiche, keine privaten Anschlüsse.
• Indien: 3.038 IP-Adressen – eine breite Mischung aus ASNs von Telekommunikationsunternehmen und kleinen VPS-Anbietern.
• Pakistan: 2.281 IP-Adressen – konzentriert auf drei große Internetdienstanbieter.
• Niederlande: 2.015 IP-Adressen – fast ausschließlich Bulletproof- und Budget-Hosting.

Das Blockieren auf Länderebene ist ein stumpfes Instrument, und wir empfehlen es nicht als Standardvorgehensweise. Wenn Sie jedoch wiederholt Anfragen von einer dieser vier Quellen erhalten und keinen business haben, Datenverkehr von dort zuzulassen, spricht die Kosten-Nutzen-Rechnung schnell dafür.

WordPress ist nach wie vor das Hauptziel

10.078 der 37.288 Meldungen – 27 % – stammten von WordPress-Seiten, auf denen ReportedIP läuft. Diese Seiten blockieren zusammen täglich mehr als 600 verschiedene Angriffsmuster; am Wochenende stieg diese Zahl auf über 1.100 Muster pro Seite. Kunden, bei denen der Hardening-Modus von Hive aktiviert war, erlebten am Samstag zweimal und am Sonntag einmal, wie der neue rollierende 2-Stunden-Rückblick in Kraft trat, jedes Mal, wenn eine koordinierte Angriffswelle eine Gruppe von 20 bis 50 Websites innerhalb desselben 60-Sekunden-Fensters traf.

Am Montagmorgen erhielten wir auch die üblichen paar Anrufe von Kunden, deren Websites waren nicht geschützt und kompromittiert: eine verunstaltete Startseite, ein WP-Admin-Benutzer namens admin-backup die sie nie erstellt haben, oder einen Plugin-Ordner voller verschleierter PHP-Dateien. Nichts davon ist ungewöhnlich, alles lässt sich verhindern.

Was Hive dagegen unternommen hat

In den Tagen nach dem Wochenende wurden zwei Dinge veröffentlicht, die beide direkt auf den Vorschlägen der Community basierten, die über die API eingereicht wurden:

• Hive 2.0.15 (veröffentlicht am 21. Mai): Administratorbenachrichtigungen an mehrere Empfänger werden vom Relay nicht mehr stillschweigend verworfen, der Hardening-Modus wird nicht mehr stündlich bei demselben Angriffsmuster reaktiviert, und der 429-Backoff des Relays wird nun auch auf Client-Seite berücksichtigt. Vollständige Versionshinweise →
• 40-Kanal-Täuschungsfläche: jede Anfrage bezüglich wp-config.php.bak, .env.production.bak, configuration.php.bak, gängige SQL-Dumps im Web-Stammverzeichnis, .aws/credentials, .ssh/id_rsaoder eine der 33 anderen Köderdateien gilt nun als hochgradig vertrauenswürdiges Angreifersignal – und dieses Signal fließt in die Reputationsdatenbank der Community ein, wenn Hive im Community-Netzwerk-Modus läuft.

Schützen Sie sich

Wenn Sie eine öffentliche WordPress-Website betreiben, ist die kostengünstigste und sinnvollste Maßnahme, die Sie diese Woche ergreifen können, die Installation von Hive im Community-Network-Modus. Es kostet nichts, reduziert die Brute-Force-Last um eine Größenordnung, und jeder von Ihnen protokollierte Block macht das Netzwerk für die nächste Website schneller.

• Holen Sie sich ReportedIP → Vollversion mit 12 Sensoren, 4-Faktor-2FA und Hardening-Modus.
• Einen Honeypot betreiben → Einen Köder-Server im Internet aufstellen und so zuverlässige Bedrohungsdaten für das Netzwerk bereitstellen.
• API-Referenz → Nutzen Sie die Reputation-API direkt, wenn Sie Ihren eigenen WAF-Stack betreiben.

Das Wochenende liegt bereits hinter uns. Das nächste steht schon vor der Tür. Es gehen ständig neue Meldungen ein – der Zähler läuft, während Sie dies lesen.