複数の主要な情報源から、WordPressとJoomlaサイトを標的とした大量の総当たり攻撃が行われていることが確認されました。ホスティングサービスHostGator、InMotionホスティング、LiquidWeb、および他の多くは、この問題について顧客に通知しました。ハッカーのボットネットには90,000以上の異なるIPが含まれており、彼らは非常に一般的なミスをしているWordPressの初心者を食い物にしています。ハッキングされる可能性を減らすために必要なことは以下の通りです。
1.管理者ユーザー名の使用をやめる
初心者はしばしばadmin、administrator、test、rootなどのごく一般的なユーザー名を使っている。Sucuriの友人によると、これらのユーザーネームは今、非常に狙われているとのことです。もしあなたがadminのような一般的なWordPressユーザー名を使っているのであれば、今すぐ変更すべきです。
WordPressのユーザー名を変更する簡単なチュートリアルがあります。
2.強力なパスワードを使う
どうか、どうか、非常に強力なパスワードを使ってください。これらの総当たり攻撃は、人々が使う最も一般的なパスワードをすべて標的にしようとします。強力なパスワードには、大文字、小文字、数字、記号が含まれます。同じパスワードを複数の場所で使用しないでください。1Passwordや LastPassのようなパスワード管理ソリューションを使い始めるのに遅すぎるということはありません。
3.バックアップをしっかり取る
サイトにとって最高のセキュリティは、優れたバックアップ・ソリューションです。私たちは月額サービスのVaultPressを使っています。しかし、毎月支払うのが嫌な場合は、BackupBuddyを取得することを強くお勧めします。
ほとんどのホスティングサービス会社はバックアップをとっていません。
4.2要素認証の使用
2要素認証を使い始めましょう。こうすることで、誰かがあなたのパスワードを推測しても、セキュリティコードを知らないのでサイトにアクセスすることはできません。今すぐ実行することを強くお勧めします。
5.WP-Adminをパスワードで保護し、ログインの試行を制限する。
私たちは常にログイン試行を制限することをユーザーに推奨しています。しかし、このボットネットには90,000のIPが含まれているため、これだけではすべての攻撃を防ぐことはできません。もう一つできることは、WP-adminディレクトリをパスワードで保護することです。また、wp-login.phpファイルを特定のIPに制限することもできます。
6.Sucuriを使い始める
もしSucuriを使っていないなら、Sucuriを使い始めることを強くお勧めする。Sucuriは常にトップレベルにあり、WordPressのセキュリティに関してこれほど信頼できる会社は他にありません。私たちがSucuriを使う5つの理由をご覧ください。
このような攻撃の最終的な目的が何であるかはわかりませんが、それが何であれ、私たちはユーザーがこのような餌食になるのを見たくありません。サイトを常に最新の状態に保ち、上記のヒントをすべて守ってください。
Janet
I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:
Warning: Installing or uninstalling FrontPage extensions will result in the loss of all “.htaccess” files. Any changes you have made to your “.htaccess” files will be lost.
If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?
Thanks for your help and all your VERY helpful information!
Editorial Staff
As long as you have backups, then you should be good to go.
管理者
Janet
Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!
Sarah B R
Hello,
I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
Thanks for the help.
Editorial Staff
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
管理者
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Login lock down is the best plugin to secure Wordpresss blog by brute force attack
Robert Connor
Some good advice my site admin panel is getting bombarded daily with login attemps!
Jane
How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.
Jennifer
I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.
Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.
Esther
Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol
Keith Davis
Hi guys
Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.
Just given you a callout on #WordPress
Scott Hack
Would love to see a limit to logins added to core for 3.6