Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPress Brute Force-attacker och vad du behöver göra åt det

Flera stora källor har bekräftat att det finns massattacker med brute force som riktas mot WordPress- och Joomla-webbplatser som vi talar just nu. HostGator, InMotion Hosting, LiquidWeb och många andra har informerat sina kunder om denna issue. Hackarnas botnet innehåller över 90 000 olika IP-adresser, och de ger sig på WordPress-beginnare som gör några mycket vanliga misstag. Ja, det låter skrämmande alltihop, så här är vad du behöver göra för att minska dina chanser att bli hackad.

1. Sluta använda användarnamnet admin

Ofta använder Beginnare mycket vanliga användarnamn som admin, administratör, test, root etc. Våra vänner kl Sucuri har rapporterat att dessa användarnamn är hårt utsatta just nu. Om du har ett generiskt användarnamn för WordPress som admin, bör du ändra det just nu.

Vi har en lätt att följa tutorial som visar dig hur du ändrar ditt användarnamn i WordPress.

2. Använd ett starkt password

Vänligen, vänligen, vänligen använd ett mycket starkt password. Dessa brute force-attacker försöker rikta in sig på alla de vanligaste lösenorden som människor använder. Ett starkt password innehåller stora och små bokstäver, siffror och symboler. Använd ej samma password på mer än en location. Det är aldrig för sent att börja använda en lösning för hantering av lösenord som 1Password eller LastPass.

3. Håll bra backup

Den bästa säkerheten du kan ha för din website är en bra lösning för backup. Vi använder VaultPress som är en månatlig tjänst. Men om du inte gillar att betala månadsvis rekommenderar vi starkt att du skaffar BackupBuddy.

Vänligen håll bra backup av din site eftersom de flesta webbhotell inte gör det.

4. Använd tvåfaktors-autentisering

Börja använda tvåfaktors-autentisering. På så sätt kan du, även om någon gissar ditt password, inte komma åt din site eftersom de inte har säkerhetskoden. Vi rekommenderar starkt att du gör detta just nu.

5. Skydda WP-Admin med password och limit login-försök

Vi rekommenderar alltid våra användare att limit login-försök. Detta kan dock inte ensamt skydda alla attacker eftersom detta botnet innehåller 90 000 IP-adresser. En annan sak du kan göra är att skydda din WP-admin directory med password. You can also limit your wp-login.php file to a specific IP.

6. Börja använda Sucuri

Om du ej använder Sucuri, rekommenderar vi starkt att du börjar använda Sucuri. De är alltid högst upp, och det finns ingen annan som vi litar mer på när det gäller vår WordPress-säkerhet. Se 5 skäl till varför vi använder Sucuri.

Vi är inte säkra på vad som är slutmålet för dessa attacker, men vad det än är skulle vi hata att se våra användare falla offer för detta. Vänligen håll dina webbplatser uppdaterade och följ alla tips ovan.

Avslöjande: Vårt innehåll stöds av våra läsare. Det innebär att om du klickar på några av våra länkar, kan vi tjäna en provision. Se hur WPBeginner finansieras, varför det är viktigt, och hur du kan stödja oss. Här är vår editoriala process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Den ultimata WordPress-verktygslådan

Få GRATIS tillgång till vår verktygslåda - en samling WordPress-relaterade produkter och resurser som varje professionell användare bör ha!

Reader Interactions

14 kommentarerLämna ett svar

  1. Jiří Vaněk

    Personally, I would recommend another tip. I use a GEO-IP plugin to protect the admin area, where for some websites, access is restricted to only certain countries, and for others, it is limited to specific IP addresses. This provides quite good protection because when admin access is restricted to specific IP addresses, an attacker is relatively out of luck.

    For those who don’t want to use a plugin, you can restrict admin access to certain IPs using the .htaccess file. It is quite simple but a very effective solution.

  2. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all ”.htaccess” files. Any changes you have made to your ”.htaccess” files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  3. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Administratör

  4. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  5. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  6. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  7. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  8. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  9. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  10. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  11. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Lämna ett svar

Tack för att du väljer att lämna en kommentar. Tänk på att alla kommentarer modereras enligt våra policy för kommentarer, och din e-postadress kommer INTE att publiceras. Vänligen använd INTE nyckelord i namnfältet. Låt oss ha en personlig och meningsfull konversation.