Flera stora källor har bekräftat att det pågår massiva brute force-angrepp mot WordPress- och Joomla-webbplatser just nu. HostGator, InMotion Hosting, LiquidWeb, och många andra har informerat sina kunder om detta problem. Hackarnas botnät innehåller över 90 000 olika IP-adresser, och de utnyttjar WordPress-nybörjare som gör några mycket vanliga misstag. Ja, allt detta låter skrämmande, så här är vad du behöver göra för att minska dina chanser att bli hackad.
1. Sluta använda administratörsanvändarnamnet
Ofta använder nybörjare mycket vanliga användarnamn som admin, administrator, test, root etc. Våra vänner på Sucuri rapporterade att dessa användarnamn för närvarande är hårt måltavlor. Om du har ett generiskt WordPress-användarnamn som admin, bör du ändra det omedelbart.
Vi har en lätt att följa handledning som visar dig hur du ändrar ditt användarnamn i WordPress.
2. Använd ett starkt lösenord
Snälla, snälla, snälla använd ett mycket starkt lösenord. Dessa brute force-attacker försöker rikta in sig på alla de vanligaste lösenorden som folk använder. Ett starkt lösenord innehåller stora och små bokstäver, siffror och symboler. Använd inte samma lösenord på mer än ett ställe. Det är aldrig för sent att börja använda en lösenordshanteringslösning som 1Password eller LastPass.
3. Behåll bra säkerhetskopior
Den bästa säkerheten du kan ha för din webbplats är en bra backup-lösning. Vi använder VaultPress vilket är en månatlig tjänst. Men om du inte vill betala månadsvis, så rekommenderar vi starkt att du skaffar BackupBuddy.
Vänligen behåll bra säkerhetskopior av din webbplats eftersom de flesta hostingföretag inte gör det.
4. Använd tvåfaktorsautentisering
Börja använda tvåfaktorsautentisering. På så sätt, även om någon gissar ditt lösenord, kan de inte komma åt din webbplats eftersom de inte har säkerhetskoden. Vi rekommenderar starkt att du gör detta omedelbart.
5. Lösenordsskydda WP-Admin och begränsa inloggningsförsök
Vi rekommenderar alltid våra användare att begränsa inloggningsförsök. Detta ensamt kan dock inte skydda mot alla attacker eftersom detta botnät innehåller 90 000 IP-adresser. En annan sak du kan göra är att lösenordsskydda din WP-admin-katalog. Du kan också begränsa din wp-login.php-fil till en specifik IP.
6. Börja använda Sucuri
Om du inte använder Sucuri, rekommenderar vi starkt att du börjar använda Sucuri. De är alltid på alerten, och det finns ingen annan vi skulle lita mer på när det gäller vår WordPress-säkerhet. Se 5 anledningar till varför vi använder Sucuri.
Vi är inte säkra på vad slutmålet för dessa attacker är, men oavsett vad det är, skulle vi hata att se våra användare falla offer för detta. Håll dina webbplatser uppdaterade och följ alla tips ovan.
Jiří Vaněk
Personligen skulle jag rekommendera ett annat tips. Jag använder ett GEO-IP-plugin för att skydda adminområdet, där för vissa webbplatser åtkomst är begränsad till endast vissa länder, och för andra är den begränsad till specifika IP-adresser. Detta ger ganska bra skydd eftersom när adminåtkomst är begränsad till specifika IP-adresser, är en angripare relativt chanslös.
För dem som inte vill använda ett plugin kan du begränsa administratörsåtkomst till vissa IP-adresser med hjälp av .htaccess-filen. Det är ganska enkelt men en mycket effektiv lösning.
Janet
Jag arbetar med att säkra webbplatser för mina kunder och behöver lösenordsskydda deras wp-admin-mapp. Jag har ett problem och hoppas att någon kan hjälpa till. När jag går till cPanel för att lösenordsskydda den mappen får jag ett felmeddelande om att Frontpage Extensions är installerade, vilket förhindrar lösenordsskydd. När jag försöker avinstallera tilläggen får jag detta meddelande:
Varning: Att installera eller avinstallera FrontPage-tillägg kommer att resultera i förlust av alla ".htaccess"-filer. Alla ändringar du har gjort i dina ".htaccess"-filer kommer att gå förlorade.
Om jag gjorde en .htacess-säkerhetskopia som instruerades på den här sidan https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , skulle det räcka?
Tack för din hjälp och all din MYCKET hjälpsamma information!
Redaktionell personal
Så länge du har säkerhetskopior, så bör du vara redo att köra.
Admin
Janet
Tack! Jag hade problem med .htacess, men vår webbhotell fixade allt åt oss. Tack så mycket för hjälpen!
Sarah B R
Hej,
Jag följde dina riktlinjer för tvåstegsautentisering och det fungerade bra första gången för några dagar sedan.
Jag ville logga in idag och gick till appen på min telefon och wordpress-kontot jag hade lagt till finns ingenstans. Så nu kan jag inte logga in.
Tack för hjälpen.
Redaktionell personal
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Login lock down är det bästa pluginet för att säkra Wordpress-bloggar mot brute force-attacker
Robert Connor
Bra råd, mitt webbplatsadministratörspanel bombarderas dagligen med inloggningsförsök!
Jane
Hur vet du när du har blivit attackerad med Brute-Force? Min klient har haft problem med sin WP-sida nyligen, så jag undrar om det har att göra med det.
Jennifer
Jag har en webbplats som för närvarande utsätts för ett brute force-angrepp. Det är OAVBRYTET. Webbplatsen använder SUCURI (tack och lov!) och de har redan gjort en rensning åt oss.
Tack, Syed & team, för all den bra informationen. Jag har precis lagt till tvåfaktorsautentisering och kommer att implementera resten av dina förslag så snart som möjligt.
Esther
Tack för länken till gratisvideon, jag startade precis min WP-sida igår, efter att ha drivit en Blogger-sida, och den är, sparkar, min, rumpa! Jag är ganska tekniskt kunnig, så jag har ingen aning om vad mitt problem är, bara att jag har ett! lol
Keith Davis
Hej allihopa
Läs artikeln på Sucuri:s webbplats – jag är med de där killarna och jag använder några andra säkerhetsåtgärder.
Gav dig precis en uppmärksamhet på #WordPress
Scott Hack
Skulle gärna se en gräns för inloggningar tillagd i kärnan för 3.6