Mehrere wichtige Quellen haben bestätigt, dass gerade jetzt Massen-Brute-Force-Angriffe auf WordPress- und Joomla-Seiten stattfinden. HostGator, InMotion Hosting, LiquidWeb und viele andere haben ihre Kunden über dieses Problem informiert. Das Botnetz der Hacker enthält über 90.000 verschiedene IPs und sie machen Jagd auf WordPress-Anfänger, die sehr häufige Fehler machen. Ja, das klingt alles beängstigend, also hier ist, was Sie tun müssen, um Ihre Chancen, gehackt zu werden, zu verringern.
1. Verwenden Sie nicht den Benutzernamen des Administrators
Oft verwenden Anfänger sehr gebräuchliche Benutzernamen wie admin, administrator, test, root usw. Unsere Freunde von Sucuri berichteten, dass diese Benutzernamen gerade stark ins Visier genommen werden. Wenn Sie einen generischen WordPress-Benutzernamen wie admin haben, sollten Sie ihn sofort ändern.
Wir haben ein einfach zu befolgendes Tutorial, das Ihnen zeigt, wie Sie Ihren Benutzernamen in WordPress ändern.
2. Verwenden Sie ein starkes Passwort
Bitte, bitte, bitte verwenden Sie ein sehr starkes Passwort. Diese Brute-Force-Angriffe versuchen, alle gängigsten Passwörter anzugreifen, die Leute verwenden. Ein starkes Passwort enthält Groß- und Kleinbuchstaben, Zahlen und Symbole. Verwenden Sie nicht dasselbe Passwort an mehr als einem Ort. Es ist nie zu spät, mit der Verwendung einer Passwortmanagement-Lösung wie 1Password oder LastPass zu beginnen.
3. Gute Backups aufbewahren
Die beste Sicherheit, die Sie für Ihre Website haben können, ist eine großartige Backup-Lösung. Wir verwenden VaultPress, einen monatlichen Dienst. Wenn Sie jedoch nicht monatlich bezahlen möchten, empfehlen wir Ihnen dringend, BackupBuddy zu besorgen.
Bitte machen Sie gute Backups Ihrer Website, da die meisten Hosting-Unternehmen dies nicht tun.
4. Verwenden Sie Zwei-Faktor-Authentifizierung
Beginnen Sie mit der Verwendung von Zwei-Faktor-Authentifizierung. Auf diese Weise können sie, selbst wenn jemand Ihr Passwort errät, nicht auf Ihre Website zugreifen, da sie den Sicherheitscode nicht haben. Wir empfehlen Ihnen dringend, dies sofort zu tun.
5. Schützen Sie WP-Admin mit einem Passwort und begrenzen Sie Login-Versuche
Wir empfehlen unseren Benutzern immer, Login-Versuche zu begrenzen. Dies allein kann jedoch nicht alle Angriffe abwehren, da dieses Botnetz 90.000 IPs enthält. Eine weitere Möglichkeit ist, Ihr WP-Admin-Verzeichnis mit einem Passwort zu schützen. Sie können auch Ihre wp-login.php-Datei auf eine bestimmte IP beschränken.
6. Verwenden Sie Sucuri
Wenn Sie Sucuri nicht verwenden, empfehlen wir Ihnen dringend, Sucuri zu verwenden. Sie sind immer auf dem Laufenden und wir vertrauen niemandem mehr, wenn es um unsere WordPress-Sicherheit geht. Sehen Sie 5 Gründe, warum wir Sucuri verwenden.
Wir sind uns nicht sicher, was das Endziel dieser Angriffe ist, aber was auch immer es ist, wir möchten nicht, dass unsere Benutzer zum Opfer fallen. Bitte halten Sie Ihre Websites auf dem neuesten Stand und befolgen Sie alle oben genannten Tipps.
Jiří Vaněk
Persönlich würde ich einen weiteren Tipp empfehlen. Ich verwende ein GEO-IP-Plugin, um den Admin-Bereich zu schützen, wobei für einige Websites der Zugriff nur auf bestimmte Länder beschränkt ist und für andere auf bestimmte IP-Adressen. Dies bietet einen ziemlich guten Schutz, denn wenn der Admin-Zugriff auf bestimmte IP-Adressen beschränkt ist, hat ein Angreifer relativ schlechte Karten.
Für diejenigen, die kein Plugin verwenden möchten, können Sie den Admin-Zugriff auf bestimmte IPs über die .htaccess-Datei einschränken. Es ist ziemlich einfach, aber eine sehr effektive Lösung.
Janet
Ich arbeite daran, Websites für meine Kunden zu sichern und muss deren wp-admin-Ordner mit einem Passwort schützen. Ich habe ein Problem und hoffe, jemand kann helfen. Wenn ich zu cPanel gehe, um diesen Ordner mit einem Passwort zu schützen, erhalte ich eine Fehlermeldung, dass Frontpage Extensions installiert sind, was das Passwortschützen verhindert. Wenn ich versuche, die Erweiterungen zu deinstallieren, erhalte ich diese Meldung:
Warnung: Die Installation oder Deinstallation von FrontPage-Erweiterungen führt zum Verlust aller ".htaccess"-Dateien. Alle Änderungen, die Sie an Ihren ".htaccess"-Dateien vorgenommen haben, gehen verloren.
Wenn ich ein .htacess-Backup wie auf dieser Seite https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ beschrieben erstellt hätte, wäre das ausreichend?
Vielen Dank für Ihre Hilfe und all Ihre SEHR hilfreichen Informationen!
Redaktion
Solange Sie Backups haben, sollte alles in Ordnung sein.
Admin
Janet
Danke! Ich hatte einige Probleme mit der .htacess, aber unser Webhost hat alles für uns behoben. Vielen Dank für die Hilfe!
Sarah B R
Hallo,
Ich habe Ihre Richtlinien für die zweistufige Authentifizierung befolgt und es hat beim ersten Mal vor ein paar Tagen gut funktioniert.
Ich wollte mich heute anmelden und ging zur App auf meinem Handy, aber das WordPress-Konto, das ich hinzugefügt hatte, ist nirgends zu finden. Jetzt kann ich mich also nicht anmelden.
Danke für die Hilfe.
Redaktion
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Login Lock Down ist das beste Plugin, um WordPress-Blogs vor Brute-Force-Angriffen zu schützen
Robert Connor
Ein guter Rat, mein Website-Admin-Panel wird täglich mit Login-Versuchen bombardiert!
Jane
Woher wissen Sie, wann Sie einem Brute-Force-Angriff ausgesetzt waren? Mein Kunde hat kürzlich Probleme mit seiner WP-Website, daher frage ich mich, ob dies damit zusammenhängt.
Jennifer
Ich habe eine Website, die gerade von einem Brute-Force-Angriff getroffen wird. Es ist UNERMÜDLICH. Die Website nutzt SUCURI (Gott sei Dank!), und sie haben bereits eine Bereinigung für uns durchgeführt.
Vielen Dank, Syed & Team, für all die großartigen Informationen. Ich habe gerade die Zwei-Faktor-Authentifizierung hinzugefügt und werde den Rest Ihrer Vorschläge so schnell wie möglich umsetzen.
Esther
Vielen Dank für den Link zum kostenlosen Video. Ich habe gestern meine WP-Seite gestartet, nachdem ich eine Blogger-Seite betrieben hatte, und sie macht mir zu schaffen! Ich bin ziemlich technikaffin, daher habe ich keine Ahnung, was mein Problem ist, nur dass ich eines habe! lol
Keith Davis
Hallo Leute
Lest den Artikel auf der Sucuri-Website – ich bin mit diesen Leuten zusammen und nutze ein paar andere Sicherheitsmaßnahmen.
Gerade einen Anruf wegen #WordPress erhalten
Scott Hack
Würde gerne sehen, dass eine Begrenzung für Logins in den Kern für 3.6 aufgenommen wird