Vill du skydda din WordPress site från brute-force-attacker?
En brute force-attack kan sakta ner din website, göra den otillgänglig och till och med knäcka dina password för att installera skadlig kod på din website.
I den här artikeln visar vi dig hur du skyddar din site WordPress mot brute-force-attacker.
Vad är en Brute Force-attack?
En brute force-attack är en hackningsmetod där man genom att pröva sig fram och göra error bryter sig in på en website, i ett nätverk eller i en dator.
Den vanligaste typen av brute force-attack är gissning av password. Hackare använder automatiserad programvara för att fortsätta gissa dina login-information så att de kan få tillgång till din website.
Dessa automatiserade hacking tools kan också dölja sig genom att använda olika IP-adresser och locations, vilket gör det svårare att identifiera och blockera misstänkta aktiviteter.
En brute force-attack utan problem kan ge hackare tillgång till din websites admin area. De kan installera skadlig kod, stjäla information om användare och radera allt på din site.
Även misslyckade brute force-attacker kan orsaka förödelse genom att skicka för många requests till dina WordPress webbhotell servrar, sakta ner eller till och med helt krascha din website.
Med detta sagt, låt oss ta en titt på hur du kan skydda din WordPress website från brute-force-attacker. Här är de steg vi kommer att följa:
1. Installera ett tillägg för firewall i WordPress
Brute force-attacker lägger mycket belastning på dina servrar. Även de misslyckade kan sakta ner din website eller helt krascha servern. Det är därför det är viktigt att blockera dem innan de kommer till din server.
För att göra det behöver du en lösning för en website firewall. En firewall filtrerar bort dålig trafik och blockerar den från att komma åt din site.
Det finns två typer av website firewalls som du kan använda:
- Application Level Firewalls undersöker trafiken när den når din server, men innan de flesta WordPress-skript hämtar. Den här metoden är inte lika effektiv eftersom en brute-force-attack fortfarande kan påverka hämtar på din server.
- Website Firewalls på DNS-nivå dirigerar trafiken till din website genom deras proxyservrar i molnet. Detta allow dem att endast skicka äkta trafik till din huvudsakliga web server på webbhotellet samtidigt som det ger en boost till din WordPress hastighet och prestanda.
Vi rekommenderar att du använder Sucuri. De är branschledande inom säkerhet för websites och har marknadens bästa firewall för WordPress. Eftersom de har en website firewall på DNS-nivå innebär det att all din website-trafik går genom deras proxy, där dålig trafik filtreras bort.
Vi använder Sucuri på vår website, och du kan läsa vår kompletta Sucuri review för att lära dig mer.
2. Install WordPress Updates
Vissa vanliga brute force-attacker riktar sig aktivt mot kända sårbarheter i äldre versioner av WordPress, populära tillägg till WordPress eller teman.
WordPress core och de flesta populära WordPress plugins är open source, och sårbarheter fixas ofta mycket snabbt med en update. Men om du inte installerar updates lämnar du din website sårbar för de gamla hoten.
Gå bara till sidan Dashboard ” Updates i WordPress admin area för att kontrollera om det finns tillgängliga updates. Denna page kommer att visa all updates för din WordPress core, tillägg och themes.
Mer detaljer finns i våra guider om hur du uppdaterar WordPress på ett säkert sätt och uppdaterar WordPress tillägg på rätt sätt.
3. Skydda WordPress Admin Directory
De flesta brute force-attacker på en WordPress-webbplats försöker få tillgång till WordPress admin area. Du kan lägga till ett password-skydd på din WordPress admin directory på server-nivå. Detta blockerar obehörig åtkomst till ditt WordPress admin area.
Logga in på kontrollpanelen på ditt WordPress webbhotell (cPanel) och klicka på ikonen ”Directory Privacy” under section Files.
Obs: Vi använder Bluehost i vår screenshot, men liknande inställningar är också tillgängliga på andra topp webbhotell som HostGator.
Därefter måste du lokalisera wp-admin foldern.
När du hittar den ska du klicka på knappen ”Edit”.
På nästa page kan du ställa in säkerhetsinställningarna för foldern.
Först måste du kontrollera boxen för ”Password protect this directory”. Därefter kan du enter ett namn för den skyddade katalogen.
Därefter kommer du att bli ombedd att ange ett användarnamn och ett password.
Du kommer att bli ombedd att ange denna information när du försöker komma åt denna directory.
När du har enter denna information klickar du på knappen ”Save” för att store dina settings.
Din WordPress admin directory är nu skyddad med password.
Du kommer att se ett new login när du besöker din WordPress admin area.
Om du runar på ett 404 error eller error too many redirects message, då måste du add to följande rad till din WordPress .htaccess-fil:
ErrorDocument 401 default
Mer detaljer hittar du i vår artikel om hur du skyddar WordPress admin directory med password.
4. Add till tvåfaktors-autentisering i WordPress
Tvåfaktors-autentisering add to ett ytterligare säkerhetslager till din WordPress login vy. Användare kommer att behöva sina telefoner för att generera ett engångslösenord tillsammans med sina credentials för att komma åt WordPress admin area.
Genom att lägga till tvåfaktors-autentisering blir det svårare för hackare att få åtkomst även om de kan knäcka ditt WordPress password.
För detaljerade steg-för-steg-instruktioner, se vår guide om hur du lägger till tvåfaktors-autentisering i WordPress.
5. Använd unika och starka password
Password är nyckeln till att få tillgång till din WordPress site eller din ecommerce store. Du måste använda unika, starka lösenord för alla dina accounts. Ett starkt password är en kombination av siffror, bokstäver och specialtecken.
Det är viktigt att du använder starka lösenord, inte ej bara för dina WordPress-användarkonton, utan även för din FTP-klient, webbhotellets panel och din WordPress-databas.
Många Beginnare frågar oss hur man kommer ihåg alla dessa unika password. Men det behöver du inte. Det finns utmärkta appar för hantering av lösenord tillgängliga som på ett säkert sätt lagrar dina lösenord och automatiskt fyller i dem åt dig.
För att lära dig mer, se vår guide för nybörjare om de bästa sätten att hantera lösenord för WordPress.
6. Inaktivera Directory Browsing
När din web server inte kan hitta en indexfil (t.ex. index.php eller index.html), visas som standard automatiskt en index page som visar innehållet i directory.
Under en brute force-attack kan hackare använda directory browsing som gillar detta för att leta efter sårbara filer. För att fixa detta måste du lägga till följande rad längst ner i din WordPress .htaccess-fil med hjälp av en FTP-tjänst:
Options -Indexes
För mer detaljer, se vår artikel om hur du inaktiverar directory browsing i WordPress.
7. Inaktivera exekvering av PHP-filer i specifika WordPress-mappar
Hackare kanske vill installera och köra ett PHP-skript i dina WordPress-folders. WordPress är huvudsakligen skrivet i PHP, vilket innebär att du inte kan inaktivera det i alla WordPress foldrar.
Det finns dock vissa mappar som inte behöver några PHP-skript, till exempel din WordPress uploads folder som ligger på /wp-content/uploads.
Du kan säkert inaktivera PHP-körning i mappen uploads, vilket är en vanlig plats som hackare använder för att dölja bakdörrsfiler.
Först måste du öppna en textredigerare som gillar Notepad på din dator och klistra in följande kod:
<Files *.php>
deny from all
</Files>
Nu, save denna fil som .htaccess och upload den till /wp-content/uploads/ folders på din website med hjälp av en FTP-klient.
8. Installera och konfigurera ett tillägg för backup i WordPress
Backups är det viktigaste verktyget i din WordPress säkerhetsarsenal. Om allt annat Misslyckas, så kommer backuper att allow you att enkelt återställa din website.
De flesta webbhotell för WordPress erbjuder begränsade alternativ för backup. Dessa backuper är dock ej garanterade och you är ensamt ansvarig för att göra dina egna backuper.
Det finns flera bra tillägg för backup av WordPress som allow you att schemalägga automatiska säkerhetskopior.
Vi rekommenderar att du använder Duplicator. Det är nybörjarvänligt och låter dig snabbt ställa in automatiska backups och lagra dem på avlägsna locations som Google Drive, Dropbox, Amazon S3, One Drive och mer.
Det finns också en gratis version av Duplicator som du kan använda för att komma igång.
För Step-by-Step-instruktioner kan du följa den här guiden om hur du säkerhetskopierar din WordPress site med Duplicator.
Alla ovan nämnda tips hjälper dig att skydda din WordPress site mot brute-force-attacker. För en mer omfattande säkerhetsinställning bör du följa instruktionerna i vår ultimata WordPress säkerhetsguide för Beginner.
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du skyddar din WordPress site från brute-force-attacker. Du kanske också vill se vår guide om hur man fixar en hackad WordPress -webbplats och våra expertval för de bästa drag and drop page builders för WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Dayo Olobayo says
This is a great guide on securing your WordPress site! One additional tip I’d recommend is to regularly monitor your login attempts. Many security plugins offer detailed logs where you can track login attempts, including origin IP addresses. This can help you identify suspicious activity and potentially block malicious IPs.
Mrteesurez says
Thanks for your recommendation.
I used to check the logs details do as to identify the IP address of the login attempts. But is there any way to receive a notification for login attempts directly to email ?
Do you know any plugin doing that ?
Dayo Olobayo says
I believe Limit Login Attempts Reloaded plugin can send email notifications for login attempts. You can check it out.
Mrteesurez says
Ok, Thanks for your reply, Dayo. It’s difficult and takes time to be logging in frequently to check error log attempts across multiple website, that’s why I preferred receiving emails on any attempt. Thanks.
Jiří Vaněk says
I noticed that you didn’t include the option to change the URL of the WordPress administration in the list. Is there a reason for that? It’s also one of the very good methods to prevent attacks, as attackers won’t know the URL of the website’s administration.
WPBeginner Support says
We do not recommend that as that can cause problems with plugins and debugging and does not add greatly to the security of a site.
Administratör
Jiří Vaněk says
Well, you probably have experience with this. I use it on my blog and have never had a problem on all sites. I assumed that changing the URL might make the administration more secure by not knowing the URL for the attacker, but I’ll take your advice.
Moinuddin Waheed says
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support says
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Administratör
Moinuddin Waheed says
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga says
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support says
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Administratör
Dreamandu says
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support says
You can use any of the methods in this article to start combating the brute force attack
Administratör
Chidubem Ezenwa says
Yet another helpful guide. Thanks guys.