Brute-Force
Angriffsmethode, bei der Passwörter oder Zugangsdaten durch systematisches Durchprobieren aller möglichen Kombinationen geknackt werden.
Aktualisiert: 23. Februar 2026
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist der Versuch, ein Passwort, einen Schlüssel oder eine andere geheime Information durch erschöpfendes Durchprobieren zu ermitteln — ohne inhaltliche Analyse, nur durch schiere Rechenkraft. Der Begriff stammt aus dem Englischen: "brute force" bedeutet rohe Gewalt. Der Angreifer überwältigt die Sicherheitsbarriere nicht durch Intelligenz, sondern durch Ausdauer.
Für WordPress-Betreiber ist Brute-Force der häufigste Angriffsvektor gegen die Login-Seite /wp-login.php. Automatisierte Bots testen rund um die Uhr bekannte Benutzernamen (allen voran "admin") gegen eine Liste gängiger Passwörter. Diese Angriffe sind primitiv, aber wirksam — weil viele Nutzer schwache oder wiederverwendete Passwörter haben.
Kurzprofil Brute-Force
- Typ: Angriff (Authentifizierungsangriff)
- Bedrohungsklasse: OWASP A07:2021 – Identification and Authentication Failures
- Betroffene Systeme: Login-Formulare, SSH, FTP, ZIP-Archive, verschlüsselte Dateien
- Schweregrad: Hoch (bei schwachen Passwörtern: Kritisch)
- Automatisierungsgrad: Vollständig automatisiert, rund um die Uhr
Wie funktioniert ein Brute-Force-Angriff?
Die Grundlogik ist trivial: Probiere alle Kombinationen aus, bis eine passt. In der Praxis gibt es mehrere Varianten mit unterschiedlicher Effizienz:
Reiner Brute-Force: Alle möglichen Zeichenkombinationen einer bestimmten Länge werden systematisch durchprobiert. Für ein 8-Zeichen-Passwort aus Groß/Kleinbuchstaben und Zahlen sind das 62⁸ = ca. 218 Milliarden Kombinationen. Moderne Hardware schafft Milliarden Hash-Prüfungen pro Sekunde — ein schwaches lokales Passwort ist in Minuten geknackt, ein Online-Angriff gegen eine Login-Seite ist durch Rate-Limiting auf Tage oder Wochen verlangsamt.
Dictionary Attack (Wörterbuchangriff): Statt aller Kombinationen wird eine Liste bekannter Passwörter durchprobiert. Die RockYou-Passwortliste enthält über 14 Millionen reale Passwörter aus einem Datenleck von 2009 und ist bis heute ein Standardwerkzeug. Damit werden in der Praxis die allermeisten schwachen Passwörter gefunden.
Credential Stuffing: Der Angreifer verwendet Kombinationen aus Nutzernamen und Passwörtern, die aus anderen Datenlecks stammen. Wer dasselbe Passwort auf mehreren Plattformen verwendet, ist hier besonders gefährdet — das geknackte Passwort von einem Forum gilt automatisch als Kandidat für WordPress, E-Mail und Banking.
Reverse Brute-Force: Hier wird nicht ein Konto mit vielen Passwörtern angegriffen, sondern ein schwaches Passwort (z.B. "123456") gegen viele bekannte Benutzernamen getestet. Dabei bleibt die Anzahl der Versuche pro Konto niedrig, was Account-Lockout-Mechanismen umgeht.
Brute-Force in der WordPress-Praxis
WordPress ist ein bevorzugtes Ziel, weil es das meistverbreitete CMS der Welt ist und die Login-URL standardmäßig unter /wp-login.php oder /wp-admin erreichbar ist — bekannt, vorhersehbar, automatisierbar.
Typischer Angriffsablauf gegen WordPress:
- Bot scannt das Internet nach WordPress-Instanzen (erkennbar an
wp-login.php,wp-content/,generator-Meta-Tag) - Automatisierter Login-Versuch mit
admin/password123 - Falls fehlgeschlagen: nächster Eintrag aus Wörterbuchliste
- Parallel: Login-Versuche von Hunderten verschiedener IP-Adressen (verteilter Angriff, Bypass von IP-Blocking)
Gegenmaßnahmen für WordPress:
Schutz gegen Brute-Force auf WordPress
- Starke Passwörter erzwingen: Mindestlänge 16 Zeichen, Passwort-Manager verwenden
- Login-Versuche limitieren: Rate-Limiting per Plugin (z.B. Limit Login Attempts Reloaded) oder auf Web-Server-Ebene
- Two-Factor Authentication (2FA): Zweiter Faktor macht ein geknacktes Passwort allein nutzlos
- CAPTCHA auf Login-Seite: Automatisierte Bots stoppen
- Login-URL umbenennen: Sicherheit durch Obscurity — kein vollständiger Schutz, aber reduziert automatisierte Angriffe
- CrowdSec oder fail2ban: IP-Adressen nach X Fehlversuchen automatisch blockieren
- XML-RPC deaktivieren:
xmlrpc.phperlaubt Tausende Login-Versuche in einer einzigen Anfrage - Benutzernamen verbergen: REST API
/wp-json/wp/v2/usersabsichern, Autor-Archiv-URLs anpassen
Ein oft übersehener Schwachpunkt: WordPress gibt standardmäßig zurück, ob ein Benutzername existiert. Eine Fehlermeldung wie „Fehler: Das Passwort für den Benutzer admin ist falsch" bestätigt dem Angreifer, dass „admin" ein gültiger Benutzername ist. Sichere Konfigurationen antworten generisch: „Ungültige Anmeldedaten".
Was passiert bei einem erfolgreichen Brute-Force-Angriff?
Ein erfolgreicher Brute-Force-Angriff auf ein WordPress-Administrator-Konto gibt dem Angreifer vollständigen Zugriff auf die Website: Er kann Inhalte manipulieren, Malware einschleusen (z.B. Backdoors in Theme-Dateien), die Seite für Spam-Versand missbrauchen, Daten von Nutzern und Kunden exfiltrieren und die Domain für Phishing-Kampagnen nutzen.
Besonders gefährlich: Der Angriff hinterlässt im ersten Schritt keine offensichtlichen Spuren. Viele gehackte WordPress-Sites werden erst Wochen später entdeckt — wenn Suchmaschinen Malware-Warnungen anzeigen oder der Hoster wegen Spam-Versand sperrt.
Auch nicht-administrative Konten sind ein Einstiegspunkt: Ein kompromittierter Autor kann XSS in Artikel einschleusen oder als Pivoting-Punkt für weitere Angriffe dienen.
Häufige Fragen
Wie lange dauert ein Brute-Force-Angriff auf ein WordPress-Login? Mit Rate-Limiting (z.B. max. 5 Versuche pro Minute) und einem 16-Zeichen-Zufallspasswort: praktisch unendlich — der Angriff würde Millionen Jahre dauern. Ohne Rate-Limiting und mit einem schwachen Passwort wie "wordpress2024": Sekunden bis Minuten. Der entscheidende Faktor ist die Kombination aus Passwortlänge/-komplexität und serverseitigem Rate-Limiting.
Schützt das Umbenennen von wp-login.php wirklich? Es reduziert automatisierte Bot-Angriffe deutlich, da die meisten Bots fest verdrahtete URLs verwenden. Es ist aber kein vollständiger Schutz — gezielte Angreifer können die neue URL finden. Das Umbenennen ist eine sinnvolle ergänzende Maßnahme, kein Ersatz für starke Passwörter und 2FA.
Was ist Credential Stuffing und ist es dasselbe wie Brute-Force? Credential Stuffing ist eine Sonderform des Brute-Force, die sich auf gestohlene Passwort-/Nutzernamen-Kombinationen aus Datenlecks stützt. Reiner Brute-Force probiert alle Möglichkeiten, Credential Stuffing nutzt bekannte reale Kombinationen. Credential Stuffing ist in der Praxis gefährlicher, weil die Trefferquote bei Nutzern mit Passwort-Wiederverwendung erschreckend hoch ist.