Die Sicherheitsexperten von Sucuri beobachten seit einigen Tagen verstärkte Brute Force Attacken auf WordPress. Bei dieser Art des Angriffs versucht der Angreifer durch viele Versuche das Passwort automatisiert zu „erraten“.
Weil diese Attacken für gewöhnlich auf die Login-Seite abzielen, lassen sie sich vergleichsweise einfach eindämmen.
Durch einen Zugriff auf die XML-RPC genannte Schnittstelle, die aktuell neben einigen Plugins etwa auch von den offiziellen WordPress Apps für iOS und Android genutzt wird, erhöhen die Angreifer ihre Effizienz um ein hundertfaches. Sie können die Passwörter also deutlich schneller „erraten“ und umgehen den üblichen Schutz der Login-Seite.
Das Absichern der XML-RPC Schnittstelle kann entweder über das Jetpack Plugin oder über einen einfachen Zusatz zur .htaccess Datei erfolgen, den Sergej Müller schon 2014 für WP LETTER #69 notiert hat.