WPBeginner Sites»WPBeginner»Blog»News»WordPress Brute-Force-Angriffe und was Sie dagegen tun müssen

WordPress Brute-Force-Angriffe und was Sie dagegen tun müssen

Zuletzt aktualisiert am April 11th, 2024 von | Rezensiert von: Syed Balkhi

Teilen Tweet Teilen Facebook Messenger WhatsApp E-Mail

Hinweis der Redaktion: Wir erhalten eine Provision für Partnerlinks auf WPBeginner. Die Provisionen haben keinen Einfluss auf die Meinung oder Bewertung unserer Redakteure. Erfahre mehr über Redaktioneller Prozess.

Mehrere wichtige Quellen haben bestätigt, dass in diesem Moment massenhaft Brute-Force-Angriffe auf WordPress- und Joomla-Sites durchgeführt werden. HostGator, InMotion Hosting, LiquidWeb und viele andere haben ihre Kunden über dieses Problem informiert. Das Botnetz der Hacker umfasst über 90.000 verschiedene IPs, und sie haben es auf WordPress-Anfänger abgesehen, die einige sehr häufige Fehler machen. Ja, das hört sich alles beängstigend an. Hier ist, was Sie tun müssen, um Ihre Chancen zu verringern, gehackt zu werden.

1. Verwenden Sie nicht mehr den Benutzernamen admin

Anfänger verwenden oft sehr gebräuchliche Benutzernamen wie admin, administrator, test, root usw. Unsere Freunde von Sucuri haben berichtet, dass diese Benutzernamen im Moment stark angegriffen werden. Wenn Sie einen generischen WordPress-Benutzernamen wie admin verwenden, sollten Sie ihn sofort ändern.

Wir haben eine einfach zu befolgende Anleitung, die Ihnen zeigt, wie Sie Ihren Benutzernamen in WordPress ändern können.

2. Verwenden Sie ein sicheres Passwort

Bitte, bitte, bitte verwenden Sie ein sehr sicheres Passwort. Diese Brute-Force-Angriffe zielen auf alle gängigen Passwörter ab, die Menschen verwenden. Ein sicheres Passwort enthält Groß- und Kleinbuchstaben, Zahlen und Symbole. Verwenden Sie nicht dasselbe Passwort an mehreren Stellen. Es ist nie zu spät, eine Passwortverwaltungslösung wie 1Password oder LastPass zu verwenden.

3. Bewahren Sie gute Backups auf

Die beste Sicherheit, die Sie für Ihre Website haben können, ist eine gute Backup-Lösung. Wir verwenden VaultPress, das einen monatlichen Service darstellt. Wenn Sie jedoch nicht monatlich zahlen möchten, dann empfehlen wir Ihnen BackupBuddy.

Bitte machen Sie gute Backups von Ihrer Website, denn die meisten Hosting-Unternehmen tun dies nicht.

4. Verwenden Sie Zwei-Faktor-Authentifizierung

Verwenden Sie die Zwei-Faktor-Authentifizierung. Selbst wenn jemand Ihr Passwort errät, kann er nicht auf Ihre Website zugreifen, weil er den Sicherheitscode nicht hat. Wir empfehlen dringend, dass Sie dies jetzt tun.

5. Passwortschutz für WP-Admin und Begrenzung der Login-Versuche

Wir empfehlen unseren Benutzern immer, die Anzahl der Anmeldeversuche zu begrenzen. Dies allein kann jedoch nicht alle Angriffe abwehren, da dieses Botnetz 90.000 IPs umfasst. Eine weitere Möglichkeit ist der Passwortschutz für Ihr WP-Admin-Verzeichnis. Sie können auch Ihre wp-login.php-Datei auf eine bestimmte IP beschränken.

6. Verwenden Sie Sucuri

Wenn Sie Sucuri noch nicht nutzen, dann empfehlen wir Ihnen dringend, Sucuri zu nutzen. Sie sind immer auf dem neuesten Stand und es gibt niemanden, dem wir mehr vertrauen würden, wenn es um unsere WordPress-Sicherheit geht. Siehe 5 Gründe, warum wir Sucuri verwenden.

Wir sind uns nicht sicher, was das Ziel dieser Angriffe ist, aber was auch immer es ist, wir würden es hassen zu sehen, dass unsere Nutzer dem zum Opfer fallen. Bitte halten Sie Ihre Websites auf dem neuesten Stand und befolgen Sie alle oben genannten Tipps.

Beliebt bei WPBeginner Jetzt gleich!

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

14 KommentareEine Antwort hinterlassen

Syed Balkhi says

Mai 2, 2024 um 2:24 pm

Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Janet says

Apr 17, 2013 um 12:18 am

I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

Warning: Installing or uninstalling FrontPage extensions will result in the loss of all „.htaccess“ files. Any changes you have made to your „.htaccess“ files will be lost.

If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

Thanks for your help and all your VERY helpful information!

Antworten
- Editorial Staff says
  
  Apr 18, 2013 um 8:28 am
  
  As long as you have backups, then you should be good to go.
  
  Antworten
  
  Admin
  - Janet says
    
    Apr 24, 2013 um 9:12 pm
    
    Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!
    
    Antworten
Sarah B R says

Apr 16, 2013 um 9:13 pm

Hello,
I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
Thanks for the help.

Antworten
- Editorial Staff says
  
  Apr 18, 2013 um 8:29 am
  
  That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
  
  Antworten
  
  Admin
Edwin Lynch says

Apr 14, 2013 um 8:18 pm

I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam

Antworten
Ratnesh says

Apr 14, 2013 um 2:40 am

Login lock down is the best plugin to secure WordPresss blog by brute force attack

Antworten
Robert Connor says

Apr 14, 2013 um 1:21 am

Some good advice my site admin panel is getting bombarded daily with login attemps!

Antworten
Jane says

Apr 13, 2013 um 10:41 pm

How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

Antworten
Jennifer says

Apr 13, 2013 um 11:03 am

I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

Antworten
Esther says

Apr 13, 2013 um 9:13 am

Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

Antworten
Keith Davis says

Apr 13, 2013 um 7:13 am

Hi guys
Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

Just given you a callout on #WordPress

Antworten
Scott Hack says

Apr 12, 2013 um 9:05 pm

Would love to see a limit to logins added to core for 3.6

Antworten