Unbekannte attackieren WordPress-Webseiten mit Passwort-Zurücksetzen-Anfragen – Die Lösung

Seit etwa 24 Stunden läuft gerade eine massive Attacke gegen WordPress-Webseiten, und zwar fluten Unbekannte diese angegriffenen Webseiten und lösen bei Accounts mit Administrator-Rechten die Passwort-Zurücksetzen-Funktion aus.

Als Resultat bekommen alle Admins die automatischen E-Mails von WordPress mit einem Reset-Link.
So sieht das dann aus.

Meine Webseiten und die von vieler meiner Kunden wurden alle damit beglückt.

Ich persönlich habe mir nie etwas dabei gedacht – ich habe heute nur ein paar Anfragen von Kunden bekommen, die eine mittlere Panikattacke hatten. Diese Kunden konnte ich aber schnell beruhigen, denn ausser nervige E-Mails passiert hier nicht wirklich etwas.

Die meisten meiner Kunden haben eh kein Passwort à la „0000“ oder „admin“ gesetzt.

Für mich wäre der Fall klar gewesen, aber dann bin ich auf einen LinkedIn-Post eines Kollegen gestossen. Stefan hat hier ein Script / Plugin für WordPress bereitgestellt, mit dem man die Passwort-Zurücksetzen-Funktion für Administratoren deaktivieren kann. Ich muss ganz ehrlich sein, ich wäre nie auf die Idee gekommen, das „Problem“ so zu lösen.

Ich habe diese Idee geklaut 🙂 und gleich ein Script gemacht (Ihr könnt auch das Plugin von Stefan verwenden), das ihr direkt in eure functions.php-Datei innerhalb von WordPress einbauen könnt. Es ist ein wenig kleiner als das Plugin, tut aber seinen Job genauso.

/* verhindert passwort reset email für admins */
add_filter('allow_password_reset', function($allow, $user_id) {
  $user = get_userdata($user_id);
  if ($user && $user->has_cap('administrator')) return false;
  return $allow;
}, 10, 2);

Wenn ihr das Script eingebaut habt, dann funktioniert die Passwort-Zurücksetzen-Funktion nicht mehr für die Accounts mit Administrator-Rechten. Wenn ihr dann aber trotzdem mal euer Passwort vergessen habt, dann müsst ihr es über die Datenbank direkt machen oder über WP-CLI.