Kilka głównych źródeł potwierdziło, że masowe ataki brute force są ukierunkowane na witryny WordPress i Joomla. HostGator, InMotion Hosting, LiquidWeb i wiele innych firm poinformowało swoich klientów o tym problemie. Botnet hakerów zawiera ponad 90 000 różnych adresów IP i żeruje na początkujących użytkownikach WordPressa, którzy popełniają bardzo powszechne błędy. Tak, to wszystko brzmi przerażająco, więc oto, co musisz zrobić, aby zmniejszyć swoje szanse na włamanie.
1. Przestań używać nazwy użytkownika admin
Często początkujący użytkownicy używają bardzo popularnych nazw użytkowników, takich jak admin, administrator, test, root itp. Nasi przyjaciele z Sucuri poinformowali, że te nazwy użytkowników są obecnie celem ataków. Jeśli masz ogólną nazwę użytkownika WordPress, taką jak admin, powinieneś ją teraz zmienić.
Mamy łatwy do naśladowania poradnik, który pokaże ci, jak zmienić twoją nazwę użytkownika w WordPress.
2. Użyj silnego hasła
Proszę, proszę, proszę używaj bardzo silnego hasła. Te ataki brute force próbują atakować wszystkie najpopularniejsze hasła używane przez ludzi. Silne hasło zawiera wielkie i małe litery, cyfry i symbole. Nie używaj tego samego hasła w więcej niż jednej lokalizacji. Nigdy nie jest za późno, aby zacząć korzystać z rozwiązania do zarządzania hasłami, takiego jak 1Password lub LastPass.
3. Przechowuj dobre kopie zapasowe
Najlepszym zabezpieczeniem, jakie możesz mieć dla swojej witryny internetowej, jest świetne rozwiązanie do tworzenia kopii zapasowych. Używamy VaultPress, który jest usługą miesięczną. Jeśli jednak nie chcesz płacić co miesiąc, zdecydowanie zalecamy zakup BackupBuddy.
Zachowaj dobre kopie zapasowe twojej witryny, ponieważ większość firm hostingowych tego nie robi.
4. Używaj uwierzytelniania dwuskładnikowego
Zacznij używać uwierzytelniania dwuskładnikowego. W ten sposób nawet jeśli ktoś odgadnie twoje hasło, nie będzie mógł uzyskać dostępu do twojej witryny, ponieważ nie będzie miał kodu zabezpieczenia. Zdecydowanie zalecamy zrobienie tego już teraz.
5. Zabezpieczony hasłem WP-Admin i ograniczenie prób logowania
Zawsze zalecamy naszym użytkownikom ograniczenie prób logowania. Jednak samo to nie jest w stanie zabezpieczyć wszystkich ataków, ponieważ ten botnet zawiera 90 000 adresów IP. Inną rzeczą, którą możesz zrobić, jest zabezpieczenie hasłem twojego katalogu WP-admin. Możesz również ograniczyć twój plik wp-login.php do określonego adresu IP.
6. Zacznij używać Sucuri
Jeśli nie korzystasz z Sucuri, to zdecydowanie zalecamy rozpoczęcie korzystania z Sucuri. Są zawsze na bieżąco i nie ma nikogo innego, komu zaufalibyśmy bardziej, jeśli chodzi o nasze zabezpieczenia WordPress. Zobacz 5 powodów, dla których korzystamy z Sucuri.
Nie jesteśmy pewni, jaki jest ostateczny cel tych ataków, ale cokolwiek to jest, nie chcielibyśmy, aby nasi użytkownicy padli ich ofiarą. Prosimy o aktualizowanie twoich witryn i stosowanie się do wszystkich powyższych wskazówek.
Janet
I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:
Warning: Installing or uninstalling FrontPage extensions will result in the loss of all „.htaccess” files. Any changes you have made to your „.htaccess” files will be lost.
If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?
Thanks for your help and all your VERY helpful information!
Editorial Staff
As long as you have backups, then you should be good to go.
Administrator
Janet
Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!
Sarah B R
Hello,
I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
Thanks for the help.
Editorial Staff
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Administrator
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Login lock down is the best plugin to secure Wordpresss blog by brute force attack
Robert Connor
Some good advice my site admin panel is getting bombarded daily with login attemps!
Jane
How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.
Jennifer
I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.
Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.
Esther
Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol
Keith Davis
Hi guys
Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.
Just given you a callout on #WordPress
Scott Hack
Would love to see a limit to logins added to core for 3.6