Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPress Brute-Force-Angriffe und was Sie dagegen tun müssen

Mehrere wichtige Quellen haben bestätigt, dass in diesem Moment massenhaft Brute-Force-Angriffe auf WordPress- und Joomla-Sites durchgeführt werden. HostGator, InMotion Hosting, LiquidWeb und viele andere haben ihre Kunden über dieses Problem informiert. Das Botnetz der Hacker umfasst über 90.000 verschiedene IPs, und sie haben es auf WordPress-Anfänger abgesehen, die einige sehr häufige Fehler machen. Ja, das hört sich alles beängstigend an. Hier ist, was Sie tun müssen, um Ihre Chancen zu verringern, gehackt zu werden.

1. Verwenden Sie nicht mehr den Benutzernamen admin

Anfänger verwenden oft sehr gebräuchliche Benutzernamen wie admin, administrator, test, root usw. Unsere Freunde von Sucuri haben berichtet, dass diese Benutzernamen im Moment stark angegriffen werden. Wenn Sie einen generischen WordPress-Benutzernamen wie admin verwenden, sollten Sie ihn sofort ändern.

Wir haben eine einfach zu befolgende Anleitung, die Ihnen zeigt, wie Sie Ihren Benutzernamen in WordPress ändern können.

2. Verwenden Sie ein sicheres Passwort

Bitte, bitte, bitte verwenden Sie ein sehr sicheres Passwort. Diese Brute-Force-Angriffe zielen auf alle gängigen Passwörter ab, die Menschen verwenden. Ein sicheres Passwort enthält Groß- und Kleinbuchstaben, Zahlen und Symbole. Verwenden Sie nicht dasselbe Passwort an mehreren Stellen. Es ist nie zu spät, eine Passwortverwaltungslösung wie 1Password oder LastPass zu verwenden.

3. Bewahren Sie gute Backups auf

Die beste Sicherheit, die Sie für Ihre Website haben können, ist eine gute Backup-Lösung. Wir verwenden VaultPress, das einen monatlichen Service darstellt. Wenn Sie jedoch nicht monatlich zahlen möchten, dann empfehlen wir Ihnen BackupBuddy.

Bitte machen Sie gute Backups von Ihrer Website, denn die meisten Hosting-Unternehmen tun dies nicht.

4. Verwenden Sie Zwei-Faktor-Authentifizierung

Verwenden Sie die Zwei-Faktor-Authentifizierung. Selbst wenn jemand Ihr Passwort errät, kann er nicht auf Ihre Website zugreifen, weil er den Sicherheitscode nicht hat. Wir empfehlen dringend, dass Sie dies jetzt tun.

5. Passwortschutz für WP-Admin und Begrenzung der Login-Versuche

Wir empfehlen unseren Benutzern immer, die Anzahl der Anmeldeversuche zu begrenzen. Dies allein kann jedoch nicht alle Angriffe abwehren, da dieses Botnetz 90.000 IPs umfasst. Eine weitere Möglichkeit ist der Passwortschutz für Ihr WP-Admin-Verzeichnis. Sie können auch Ihre wp-login.php-Datei auf eine bestimmte IP beschränken.

6. Verwenden Sie Sucuri

Wenn Sie Sucuri noch nicht nutzen, dann empfehlen wir Ihnen dringend, Sucuri zu nutzen. Sie sind immer auf dem neuesten Stand und es gibt niemanden, dem wir mehr vertrauen würden, wenn es um unsere WordPress-Sicherheit geht. Siehe 5 Gründe, warum wir Sucuri verwenden.

Wir sind uns nicht sicher, was das Ziel dieser Angriffe ist, aber was auch immer es ist, wir würden es hassen zu sehen, dass unsere Nutzer dem zum Opfer fallen. Bitte halten Sie Ihre Websites auf dem neuesten Stand und befolgen Sie alle oben genannten Tipps.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

14 KommentareEine Antwort hinterlassen

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all „.htaccess“ files. Any changes you have made to your „.htaccess“ files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  3. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Admin

  4. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  5. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  6. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  7. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  8. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  9. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  10. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  11. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.