Mehrere wichtige Quellen haben bestätigt, dass in diesem Moment massenhaft Brute-Force-Angriffe auf WordPress- und Joomla-Sites durchgeführt werden. HostGator, InMotion Hosting, LiquidWeb und viele andere haben ihre Kunden über dieses Problem informiert. Das Botnetz der Hacker umfasst über 90.000 verschiedene IPs, und sie haben es auf WordPress-Anfänger abgesehen, die einige sehr häufige Fehler machen. Ja, das hört sich alles beängstigend an. Hier ist, was Sie tun müssen, um Ihre Chancen zu verringern, gehackt zu werden.
1. Verwenden Sie nicht mehr den Benutzernamen admin
Anfänger verwenden oft sehr gebräuchliche Benutzernamen wie admin, administrator, test, root usw. Unsere Freunde von Sucuri haben berichtet, dass diese Benutzernamen im Moment stark angegriffen werden. Wenn Sie einen generischen WordPress-Benutzernamen wie admin verwenden, sollten Sie ihn sofort ändern.
Wir haben eine einfach zu befolgende Anleitung, die Ihnen zeigt, wie Sie Ihren Benutzernamen in WordPress ändern können.
2. Verwenden Sie ein sicheres Passwort
Bitte, bitte, bitte verwenden Sie ein sehr sicheres Passwort. Diese Brute-Force-Angriffe zielen auf alle gängigen Passwörter ab, die Menschen verwenden. Ein sicheres Passwort enthält Groß- und Kleinbuchstaben, Zahlen und Symbole. Verwenden Sie nicht dasselbe Passwort an mehreren Stellen. Es ist nie zu spät, eine Passwortverwaltungslösung wie 1Password oder LastPass zu verwenden.
3. Bewahren Sie gute Backups auf
Die beste Sicherheit, die Sie für Ihre Website haben können, ist eine gute Backup-Lösung. Wir verwenden VaultPress, das einen monatlichen Service darstellt. Wenn Sie jedoch nicht monatlich zahlen möchten, dann empfehlen wir Ihnen BackupBuddy.
Bitte machen Sie gute Backups von Ihrer Website, denn die meisten Hosting-Unternehmen tun dies nicht.
4. Verwenden Sie Zwei-Faktor-Authentifizierung
Verwenden Sie die Zwei-Faktor-Authentifizierung. Selbst wenn jemand Ihr Passwort errät, kann er nicht auf Ihre Website zugreifen, weil er den Sicherheitscode nicht hat. Wir empfehlen dringend, dass Sie dies jetzt tun.
5. Passwortschutz für WP-Admin und Begrenzung der Login-Versuche
Wir empfehlen unseren Benutzern immer, die Anzahl der Anmeldeversuche zu begrenzen. Dies allein kann jedoch nicht alle Angriffe abwehren, da dieses Botnetz 90.000 IPs umfasst. Eine weitere Möglichkeit ist der Passwortschutz für Ihr WP-Admin-Verzeichnis. Sie können auch Ihre wp-login.php-Datei auf eine bestimmte IP beschränken.
6. Verwenden Sie Sucuri
Wenn Sie Sucuri noch nicht nutzen, dann empfehlen wir Ihnen dringend, Sucuri zu nutzen. Sie sind immer auf dem neuesten Stand und es gibt niemanden, dem wir mehr vertrauen würden, wenn es um unsere WordPress-Sicherheit geht. Siehe 5 Gründe, warum wir Sucuri verwenden.
Wir sind uns nicht sicher, was das Ziel dieser Angriffe ist, aber was auch immer es ist, wir würden es hassen zu sehen, dass unsere Nutzer dem zum Opfer fallen. Bitte halten Sie Ihre Websites auf dem neuesten Stand und befolgen Sie alle oben genannten Tipps.
Janet
I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:
Warning: Installing or uninstalling FrontPage extensions will result in the loss of all „.htaccess“ files. Any changes you have made to your „.htaccess“ files will be lost.
If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?
Thanks for your help and all your VERY helpful information!
Editorial Staff
As long as you have backups, then you should be good to go.
Admin
Janet
Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!
Sarah B R
Hello,
I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
Thanks for the help.
Editorial Staff
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Login lock down is the best plugin to secure Wordpresss blog by brute force attack
Robert Connor
Some good advice my site admin panel is getting bombarded daily with login attemps!
Jane
How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.
Jennifer
I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.
Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.
Esther
Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol
Keith Davis
Hi guys
Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.
Just given you a callout on #WordPress
Scott Hack
Would love to see a limit to logins added to core for 3.6