Möchten Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen?
Ein Brute-Force-Angriff kann Ihre Website verlangsamen, sie unzugänglich machen und sogar Ihre Passwörter knacken, um Malware auf Ihrer Website zu installieren.
In diesem Artikel zeigen wir Ihnen, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können.
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine Hacking-Methode, bei der durch Versuch und Irrtum in eine Website, ein Netzwerk oder ein Computersystem eingebrochen wird.
Die häufigste Art von Brute-Force-Angriffen ist das Erraten von Passwörtern. Hacker verwenden automatisierte Software, um Ihre Anmeldeinformationen zu erraten, damit sie Zugang zu Ihrer Website erhalten können.
Diese automatisierten Hacking-Tools können sich auch tarnen, indem sie verschiedene IP-Adressen und Standorte verwenden, was es schwieriger macht, verdächtige Aktivitäten zu erkennen und zu blockieren.
Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Verwaltungsbereich Ihrer Website verschaffen. Sie können Malware installieren, Benutzerdaten stehlen und alles auf Ihrer Website löschen.
Selbst erfolglose Brute-Force-Angriffe können verheerenden Schaden anrichten, indem sie zu viele Anfragen an Ihre WordPress-Hosting-Server senden und Ihre Website verlangsamen oder sogar ganz zum Absturz bringen.
Werfen wir also einen Blick darauf, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können. Hier sind die Schritte, die wir befolgen werden:
1. Installieren Sie ein WordPress Firewall Plugin
Brute-Force-Angriffe belasten Ihre Server in hohem Maße. Selbst die erfolglosen Angriffe können Ihre Website verlangsamen oder den Server komplett zum Absturz bringen. Deshalb ist es wichtig, sie zu blockieren, bevor sie auf Ihren Server gelangen.
Dazu benötigen Sie eine Website-Firewall-Lösung. Eine Firewall filtert schlechten Datenverkehr heraus und blockiert den Zugriff auf Ihre Website.
Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können:
- Firewalls auf Anwendungsebene prüfen den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist nicht so effizient, da ein Brute-Force-Angriff immer noch Ihre Serverlast beeinträchtigen kann.
- Website-Firewalls auf DNS-Ebene leiten Ihren Website-Datenverkehr über ihre Cloud-Proxy-Server. So können sie nur echten Datenverkehr an Ihren Haupt-Webhosting-Server senden und gleichzeitig die Geschwindigkeit und Leistung von WordPress steigern.
Wir empfehlen die Verwendung von Sucuri. Sucuri ist der Branchenführer im Bereich Website-Sicherheit und die beste WordPress-Firewall auf dem Markt. Da sie eine Website-Firewall auf DNS-Ebene haben, bedeutet dies, dass Ihr gesamter Website-Verkehr über ihren Proxy läuft, wo schlechter Verkehr herausgefiltert wird.
Wir verwenden Sucuri auf unserer Website, und Sie können unseren vollständigen Sucuri-Test lesen, um mehr zu erfahren.
2. WordPress-Updates installieren
Einige gängige Brute-Force-Angriffe zielen aktiv auf bekannte Sicherheitslücken in älteren Versionen von WordPress, beliebten WordPress-Plugins oder Themes ab.
Der WordPress-Kern und die meisten beliebten WordPress-Plugins sind Open Source, und Schwachstellen werden oft sehr schnell mit einem Update behoben. Wenn Sie es jedoch versäumen, Updates zu installieren, bleibt Ihre Website anfällig für diese alten Bedrohungen.
Gehen Sie einfach auf die Seite Dashboard “ Updates im WordPress-Verwaltungsbereich, um nach verfügbaren Updates zu suchen. Auf dieser Seite werden alle Updates für Ihren WordPress-Kern, Ihre Plugins und Themes angezeigt.
Weitere Einzelheiten finden Sie in unseren Anleitungen zur sicheren Aktualisierung von WordPress und zur korrekten Aktualisierung von WordPress-Plugins.
3. Schützen Sie das WordPress-Administrationsverzeichnis
Die meisten Brute-Force-Angriffe auf eine WordPress-Website zielen darauf ab, Zugang zum WordPress-Administrationsbereich zu erhalten. Sie können Ihr WordPress-Administrationsverzeichnis auf Serverebene mit einem Passwortschutz versehen. Dadurch wird der unbefugte Zugriff auf Ihren WordPress-Administrationsbereich blockiert.
Loggen Sie sich einfach in Ihr WordPress-Hosting-Kontrollpanel (cPanel) ein und klicken Sie auf das Symbol „Verzeichnisschutz“ unter dem Abschnitt „Dateien“.
Hinweis: In unserem Screenshot verwenden wir Bluehost, aber ähnliche Einstellungen sind auch bei anderen Top-Hosting-Unternehmen wie HostGator verfügbar.
Als nächstes müssen Sie den Ordner wp-admin finden.
Sobald Sie sie gefunden haben, sollten Sie auf die Schaltfläche „Bearbeiten“ klicken.
Auf der nächsten Seite können Sie die Sicherheitseinstellungen für den Ordner festlegen.
Zunächst müssen Sie das Kästchen „Dieses Verzeichnis mit einem Passwort schützen“ ankreuzen. Anschließend können Sie einen Namen für das geschützte Verzeichnis eingeben.
Anschließend werden Sie aufgefordert, einen Benutzernamen und ein Passwort einzugeben.
Sie werden nach diesen Informationen gefragt, wenn Sie versuchen, auf dieses Verzeichnis zuzugreifen.
Nachdem Sie diese Informationen eingegeben haben, klicken Sie auf die Schaltfläche „Speichern“, um Ihre Einstellungen zu speichern.
Ihr WordPress-Administrationsverzeichnis ist jetzt passwortgeschützt.
Sie werden eine neue Anmeldeaufforderung sehen, wenn Sie Ihren WordPress-Administrationsbereich besuchen.
Wenn Sie eine 404-Fehlermeldung oder eine Fehlermeldung mit zu vielen Weiterleitungen erhalten, müssen Sie die folgende Zeile in Ihre WordPress- .htaccess-Datei einfügen:
ErrorDocument 401 default
Weitere Einzelheiten finden Sie in unserem Artikel über den Passwortschutz des WordPress-Administrationsverzeichnisses.
4. Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress
Die Zwei-Faktor-Authentifizierung fügt Ihrem WordPress-Anmeldebildschirm eine zusätzliche Sicherheitsebene hinzu. Benutzer müssen mit ihrem Telefon einen einmaligen Passcode zusammen mit ihren Anmeldedaten generieren, um auf den WordPress-Administrationsbereich zuzugreifen.
Mit der Zwei-Faktor-Authentifizierung wird es für Hacker schwieriger, sich Zugang zu verschaffen, selbst wenn es ihnen gelingt, Ihr WordPress-Passwort zu knacken.
Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress.
5. Einzigartige und sichere Passwörter verwenden
Passwörter sind der Schlüssel für den Zugang zu Ihrer WordPress-Website oder Ihrem eCommerce-Shop. Sie müssen eindeutige, sichere Passwörter für alle Ihre Konten verwenden. Ein sicheres Passwort besteht aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen.
Es ist wichtig, dass Sie sichere Passwörter nicht nur für Ihre WordPress-Benutzerkonten, sondern auch für Ihren FTP-Client, Ihr Webhosting-Kontrollfeld und Ihre WordPress-Datenbank verwenden.
Viele Anfänger fragen uns, wie sie sich all diese einzigartigen Passwörter merken sollen. Nun, das müssen Sie nicht. Es gibt hervorragende Passwortmanager-Apps, die Ihre Passwörter sicher speichern und automatisch für Sie ausfüllen.
Weitere Informationen finden Sie in unserem Leitfaden für Einsteiger über die besten Möglichkeiten zur Verwaltung von Passwörtern für WordPress.
6. Verzeichnisdurchsuchung deaktivieren
Wenn Ihr Webserver eine Indexdatei (z. B. index.php oder index.html) nicht finden kann, zeigt er automatisch eine Indexseite mit dem Inhalt des Verzeichnisses an.
Bei einem Brute-Force-Angriff können Hacker auf diese Weise das Verzeichnis durchsuchen, um nach verwundbaren Dateien zu suchen. Um dies zu beheben, müssen Sie die folgende Zeile am Ende Ihrer WordPress-.htaccess-Datei mithilfe eines FTP-Dienstes hinzufügen:
Options -Indexes
Weitere Einzelheiten finden Sie in unserem Artikel über die Deaktivierung des Verzeichnis-Browsing in WordPress.
7. Deaktivieren der Ausführung von PHP-Dateien in bestimmten WordPress-Ordnern
Hacker könnten versuchen, ein PHP-Skript in Ihren WordPress-Ordnern zu installieren und auszuführen. WordPress ist hauptsächlich in PHP geschrieben, was bedeutet, dass Sie es nicht in allen WordPress-Ordnern deaktivieren können.
Es gibt jedoch einige Ordner, die keine PHP-Skripte benötigen, wie z. B. Ihr WordPress-Ordner /wp-content/uploads.
Sie können die Ausführung von PHP im Uploads-Ordner, der von Hackern häufig als Versteck für Backdoor-Dateien genutzt wird, sicher deaktivieren.
Zunächst müssen Sie einen Texteditor wie Notepad auf Ihrem Computer öffnen und den folgenden Code einfügen:
<Files *.php>
deny from all
</Files>
Speichern Sie diese Datei nun als .htaccess und laden Sie sie mit einem FTP-Client in den Ordner /wp-content/uploads/ auf Ihrer Website hoch.
8. Installieren und Einrichten eines WordPress-Backup-Plugins
Backups sind das wichtigste Werkzeug in Ihrem WordPress-Sicherheitsarsenal. Wenn alles andere fehlschlägt, können Sie mit Backups Ihre Website leicht wiederherstellen.
Die meisten WordPress-Hosting-Unternehmen bieten begrenzte Backup-Optionen an. Diese Backups sind jedoch nicht garantiert, und Sie sind allein für die Erstellung Ihrer eigenen Backups verantwortlich.
Es gibt mehrere großartige WordPress-Backup-Plugins, mit denen Sie automatische Backups planen können.
Wir empfehlen die Verwendung von Duplicator. Es ist einsteigerfreundlich und ermöglicht es Ihnen, schnell automatische Backups einzurichten und sie an entfernten Orten wie Google Drive, Dropbox, Amazon S3, One Drive und anderen zu speichern.
Es gibt auch eine kostenlose Version von Duplicator, die Sie für die ersten Schritte verwenden können.
Eine Schritt-für-Schritt-Anleitung finden Sie in dieser Anleitung zum Sichern Ihrer WordPress-Website mit Duplicator.
Alle oben genannten Tipps werden Ihnen helfen, Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen. Für eine umfassendere Sicherheitseinrichtung sollten Sie die Anweisungen in unserem ultimativen WordPress-Sicherheitsleitfaden für Anfänger befolgen.
Wir hoffen, dieser Artikel hat Ihnen geholfen, Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen. Vielleicht interessieren Sie sich auch für unsere Anleitung, wie Sie eine gehackte WordPress-Website reparieren können, und für unsere Expertenauswahl der besten WordPress-Drag-and-Drop-Seitenerstellungsprogramme.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Moinuddin Waheed says
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support says
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Admin
Moinuddin Waheed says
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga says
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support says
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Admin
Dreamandu says
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support says
You can use any of the methods in this article to start combating the brute force attack
Admin
Chidubem Ezenwa says
Yet another helpful guide. Thanks guys.