Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Så här skyddar du din webbplats i WordPress från Brute Force-attacker

Vill du skydda din WordPress site från brute-force-attacker?

En brute force-attack kan sakta ner din website, göra den otillgänglig och till och med knäcka dina password för att installera skadlig kod på din website.

I den här artikeln visar vi dig hur du skyddar din site WordPress mot brute-force-attacker.

How to Protect Your WordPress Site From Brute Force Attacks

Vad är en Brute Force-attack?

En brute force-attack är en hackningsmetod där man genom att pröva sig fram och göra error bryter sig in på en website, i ett nätverk eller i en dator.

Den vanligaste typen av brute force-attack är gissning av password. Hackare använder automatiserad programvara för att fortsätta gissa dina login-information så att de kan få tillgång till din website.

Dessa automatiserade hacking tools kan också dölja sig genom att använda olika IP-adresser och locations, vilket gör det svårare att identifiera och blockera misstänkta aktiviteter.

En brute force-attack utan problem kan ge hackare tillgång till din websites admin area. De kan installera skadlig kod, stjäla information om användare och radera allt på din site.

Även misslyckade brute force-attacker kan orsaka förödelse genom att skicka för många requests till dina WordPress webbhotell servrar, sakta ner eller till och med helt krascha din website.

Med detta sagt, låt oss ta en titt på hur du kan skydda din WordPress website från brute-force-attacker. Här är de steg vi kommer att följa:

1. Installera ett tillägg för firewall i WordPress

Brute force-attacker lägger mycket belastning på dina servrar. Även de misslyckade kan sakta ner din website eller helt krascha servern. Det är därför det är viktigt att blockera dem innan de kommer till din server.

För att göra det behöver du en lösning för en website firewall. En firewall filtrerar bort dålig trafik och blockerar den från att komma åt din site.

How Sucuri firewall works

Det finns två typer av website firewalls som du kan använda:

  • Application Level Firewalls undersöker trafiken när den når din server, men innan de flesta WordPress-skript hämtar. Den här metoden är inte lika effektiv eftersom en brute-force-attack fortfarande kan påverka hämtar på din server.
  • Website Firewalls på DNS-nivå dirigerar trafiken till din website genom deras proxyservrar i molnet. Detta allow dem att endast skicka äkta trafik till din huvudsakliga web server på webbhotellet samtidigt som det ger en boost till din WordPress hastighet och prestanda.

Vi rekommenderar att du använder Sucuri. De är branschledande inom säkerhet för websites och har marknadens bästa firewall för WordPress. Eftersom de har en website firewall på DNS-nivå innebär det att all din website-trafik går genom deras proxy, där dålig trafik filtreras bort.

Vi använder Sucuri på vår website, och du kan läsa vår kompletta Sucuri review för att lära dig mer.

2. Install WordPress Updates

Vissa vanliga brute force-attacker riktar sig aktivt mot kända sårbarheter i äldre versioner av WordPress, populära tillägg till WordPress eller teman.

WordPress core och de flesta populära WordPress plugins är open source, och sårbarheter fixas ofta mycket snabbt med en update. Men om du inte installerar updates lämnar du din website sårbar för de gamla hoten.

Gå bara till sidan Dashboard ” Updates i WordPress admin area för att kontrollera om det finns tillgängliga updates. Denna page kommer att visa all updates för din WordPress core, tillägg och themes.

Updating WordPress Core From the Dashboard

Mer detaljer finns i våra guider om hur du uppdaterar WordPress på ett säkert sätt och uppdaterar WordPress tillägg på rätt sätt.

3. Skydda WordPress Admin Directory

De flesta brute force-attacker på en WordPress-webbplats försöker få tillgång till WordPress admin area. Du kan lägga till ett password-skydd på din WordPress admin directory på server-nivå. Detta blockerar obehörig åtkomst till ditt WordPress admin area.

Logga in på kontrollpanelen på ditt WordPress webbhotell (cPanel) och klicka på ikonen ”Directory Privacy” under section Files.

Obs: Vi använder Bluehost i vår screenshot, men liknande inställningar är också tillgängliga på andra topp webbhotell som HostGator.

Click on the Directory Privacy option in the Files section

Därefter måste du lokalisera wp-admin foldern.

När du hittar den ska du klicka på knappen ”Edit”.

Using Directory Privacy to Password-Protect wp-admin

På nästa page kan du ställa in säkerhetsinställningarna för foldern.

Först måste du kontrollera boxen för ”Password protect this directory”. Därefter kan du enter ett namn för den skyddade katalogen.

Password Protecting a Directory

Därefter kommer du att bli ombedd att ange ett användarnamn och ett password.

Du kommer att bli ombedd att ange denna information när du försöker komma åt denna directory.

Providing a Username and Password for a Protected Directory

När du har enter denna information klickar du på knappen ”Save” för att store dina settings.

Din WordPress admin directory är nu skyddad med password.

Du kommer att se ett new login när du besöker din WordPress admin area.

Password protect WordPress admin example

Om du runar på ett 404 error eller error too many redirects message, då måste du add to följande rad till din WordPress .htaccess-fil:

ErrorDocument 401 default

Mer detaljer hittar du i vår artikel om hur du skyddar WordPress admin directory med password.

4. Add till tvåfaktors-autentisering i WordPress

Tvåfaktors-autentisering add to ett ytterligare säkerhetslager till din WordPress login vy. Användare kommer att behöva sina telefoner för att generera ett engångslösenord tillsammans med sina credentials för att komma åt WordPress admin area.

Users Must Enter an Authentication Code Before Logging In

Genom att lägga till tvåfaktors-autentisering blir det svårare för hackare att få åtkomst även om de kan knäcka ditt WordPress password.

För detaljerade steg-för-steg-instruktioner, se vår guide om hur du lägger till tvåfaktors-autentisering i WordPress.

5. Använd unika och starka password

Password är nyckeln till att få tillgång till din WordPress site eller din ecommerce store. Du måste använda unika, starka lösenord för alla dina accounts. Ett starkt password är en kombination av siffror, bokstäver och specialtecken.

Det är viktigt att du använder starka lösenord, inte ej bara för dina WordPress-användarkonton, utan även för din FTP-klient, webbhotellets panel och din WordPress-databas.

Många Beginnare frågar oss hur man kommer ihåg alla dessa unika password. Men det behöver du inte. Det finns utmärkta appar för hantering av lösenord tillgängliga som på ett säkert sätt lagrar dina lösenord och automatiskt fyller i dem åt dig.

För att lära dig mer, se vår guide för nybörjare om de bästa sätten att hantera lösenord för WordPress.

6. Inaktivera Directory Browsing

När din web server inte kan hitta en indexfil (t.ex. index.php eller index.html), visas som standard automatiskt en index page som visar innehållet i directory.

Directory Browsing

Under en brute force-attack kan hackare använda directory browsing som gillar detta för att leta efter sårbara filer. För att fixa detta måste du lägga till följande rad längst ner i din WordPress .htaccess-fil med hjälp av en FTP-tjänst:

Options -Indexes

För mer detaljer, se vår artikel om hur du inaktiverar directory browsing i WordPress.

7. Inaktivera exekvering av PHP-filer i specifika WordPress-mappar

Hackare kanske vill installera och köra ett PHP-skript i dina WordPress-folders. WordPress är huvudsakligen skrivet i PHP, vilket innebär att du inte kan inaktivera det i alla WordPress foldrar.

Det finns dock vissa mappar som inte behöver några PHP-skript, till exempel din WordPress uploads folder som ligger på /wp-content/uploads.

Du kan säkert inaktivera PHP-körning i mappen uploads, vilket är en vanlig plats som hackare använder för att dölja bakdörrsfiler.

Först måste du öppna en textredigerare som gillar Notepad på din dator och klistra in följande kod:

<Files *.php>
deny from all
</Files>

Nu, save denna fil som .htaccess och upload den till /wp-content/uploads/ folders på din website med hjälp av en FTP-klient.

8. Installera och konfigurera ett tillägg för backup i WordPress

Backups är det viktigaste verktyget i din WordPress säkerhetsarsenal. Om allt annat Misslyckas, så kommer backuper att allow you att enkelt återställa din website.

De flesta webbhotell för WordPress erbjuder begränsade alternativ för backup. Dessa backuper är dock ej garanterade och you är ensamt ansvarig för att göra dina egna backuper.

Det finns flera bra tillägg för backup av WordPress som allow you att schemalägga automatiska säkerhetskopior.

Vi rekommenderar att du använder Duplicator. Det är nybörjarvänligt och låter dig snabbt ställa in automatiska backups och lagra dem på avlägsna locations som Google Drive, Dropbox, Amazon S3, One Drive och mer.

Duplicator

Det finns också en gratis version av Duplicator som du kan använda för att komma igång.

För Step-by-Step-instruktioner kan du följa den här guiden om hur du säkerhetskopierar din WordPress site med Duplicator.

Alla ovan nämnda tips hjälper dig att skydda din WordPress site mot brute-force-attacker. För en mer omfattande säkerhetsinställning bör du följa instruktionerna i vår ultimata WordPress säkerhetsguide för Beginner.

Vi hoppas att den här artikeln hjälpte dig att lära dig hur du skyddar din WordPress site från brute-force-attacker. Du kanske också vill se vår guide om hur man fixar en hackad WordPress -webbplats och våra expertval för de bästa drag and drop page builders för WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avslöjande: Vårt innehåll stöds av våra läsare. Det innebär att om du klickar på några av våra länkar, kan vi tjäna en provision. Se hur WPBeginner finansieras, varför det är viktigt, och hur du kan stödja oss. Här är vår editoriala process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Den ultimata WordPress-verktygslådan

Få GRATIS tillgång till vår verktygslåda - en samling WordPress-relaterade produkter och resurser som varje professionell användare bör ha!

Reader Interactions

15 kommentarerLämna ett svar

  1. Dayo Olobayo

    This is a great guide on securing your WordPress site! One additional tip I’d recommend is to regularly monitor your login attempts. Many security plugins offer detailed logs where you can track login attempts, including origin IP addresses. This can help you identify suspicious activity and potentially block malicious IPs.

    • Mrteesurez

      Thanks for your recommendation.
      I used to check the logs details do as to identify the IP address of the login attempts. But is there any way to receive a notification for login attempts directly to email ?
      Do you know any plugin doing that ?

      • Dayo Olobayo

        I believe Limit Login Attempts Reloaded plugin can send email notifications for login attempts. You can check it out.

        • Mrteesurez

          Ok, Thanks for your reply, Dayo. It’s difficult and takes time to be logging in frequently to check error log attempts across multiple website, that’s why I preferred receiving emails on any attempt. Thanks.

  2. Jiří Vaněk

    I noticed that you didn’t include the option to change the URL of the WordPress administration in the list. Is there a reason for that? It’s also one of the very good methods to prevent attacks, as attackers won’t know the URL of the website’s administration.

    • WPBeginner Support

      We do not recommend that as that can cause problems with plugins and debugging and does not add greatly to the security of a site.

      Administratör

      • Jiří Vaněk

        Well, you probably have experience with this. I use it on my blog and have never had a problem on all sites. I assumed that changing the URL might make the administration more secure by not knowing the URL for the attacker, but I’ll take your advice.

  3. Moinuddin Waheed

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

  4. Renuga

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    • WPBeginner Support

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      Administratör

  5. Dreamandu

    I am under the brute force attack right now from different IPs. What can I do to protect my site right now?

    • WPBeginner Support

      You can use any of the methods in this article to start combating the brute force attack

      Administratör

  6. Chidubem Ezenwa

    Yet another helpful guide. Thanks guys.

Lämna ett svar

Tack för att du väljer att lämna en kommentar. Tänk på att alla kommentarer modereras enligt våra policy för kommentarer, och din e-postadress kommer INTE att publiceras. Vänligen använd INTE nyckelord i namnfältet. Låt oss ha en personlig och meningsfull konversation.