Kilka głównych źródeł potwierdziło, że trwają masowe ataki siłowe na strony WordPress i Joomla. HostGator, InMotion Hosting, LiquidWeb i wiele innych poinformowało swoich klientów o tym problemie. Botnet hakerów zawiera ponad 90 000 różnych adresów IP i poluje na początkujących użytkowników WordPress, którzy popełniają bardzo powszechne błędy. Tak, to wszystko brzmi przerażająco, więc oto, co musisz zrobić, aby zmniejszyć swoje szanse na zhakowanie.
1. Przestań używać nazwy użytkownika administratora
Często początkujący używają bardzo popularnych nazw użytkowników, takich jak admin, administrator, test, root itp. Nasi przyjaciele z Sucuri poinformowali, że te nazwy użytkowników są obecnie intensywnie atakowane. Jeśli masz generyczną nazwę użytkownika WordPress, taką jak admin, powinieneś ją natychmiast zmienić.
Mamy łatwy do śledzenia tutorial, który pokaże Ci jak zmienić nazwę użytkownika w WordPress.
2. Użyj silnego hasła
Proszę, proszę, proszę używaj bardzo silnego hasła. Te ataki siłowe próbują celować we wszystkie najczęściej używane hasła. Silne hasło zawiera wielkie i małe litery, cyfry i symbole. Nie używaj tego samego hasła w więcej niż jednym miejscu. Nigdy nie jest za późno, aby zacząć korzystać z rozwiązania do zarządzania hasłami, takiego jak 1Password lub LastPass.
3. Rób dobre kopie zapasowe
Najlepszym zabezpieczeniem dla Twojej witryny jest świetne rozwiązanie do tworzenia kopii zapasowych. Używamy VaultPress, które jest usługą miesięczną. Jednak jeśli nie chcesz płacić miesięcznie, zdecydowanie zalecamy BackupBuddy.
Proszę zachować dobre kopie zapasowe swojej strony, ponieważ większość firm hostingowych tego nie robi.
4. Użyj uwierzytelniania dwuskładnikowego
Zacznij używać uwierzytelniania dwuskładnikowego. W ten sposób, nawet jeśli ktoś odgadnie Twoje hasło, nie będzie mógł uzyskać dostępu do Twojej witryny, ponieważ nie będzie miał kodu bezpieczeństwa. Zdecydowanie zalecamy zrobienie tego od razu.
5. Chroń hasłem WP-Admin i ogranicz liczbę prób logowania
Zawsze zalecamy naszym użytkownikom ograniczenie prób logowania. Jednak samo to nie chroni przed wszystkimi atakami, ponieważ ta botnet zawiera 90 000 adresów IP. Inną rzeczą, którą możesz zrobić, jest zabezpieczenie hasłem katalogu WP-admin. Możesz również ograniczyć plik wp-login.php do określonego adresu IP.
6. Zacznij korzystać z Sucuri
Jeśli nie korzystasz z Sucuri, gorąco polecamy zacząć z nich korzystać. Zawsze są na bieżąco i nie ufamy nikomu innemu, jeśli chodzi o bezpieczeństwo WordPressa. Zobacz 5 powodów, dla których używamy Sucuri.
Nie jesteśmy pewni, jaki jest ostateczny cel tych ataków, ale cokolwiek to jest, nie chcielibyśmy, aby nasi użytkownicy padli ich ofiarą. Proszę aktualizować swoje strony i stosować się do wszystkich powyższych wskazówek.
Jiří Vaněk
Osobiście poleciłbym inną wskazówkę. Używam wtyczki GEO-IP do ochrony obszaru administracyjnego, gdzie w przypadku niektórych stron internetowych dostęp jest ograniczony tylko do określonych krajów, a w innych do konkretnych adresów IP. Zapewnia to całkiem dobrą ochronę, ponieważ gdy dostęp administracyjny jest ograniczony do konkretnych adresów IP, atakujący ma stosunkowo niewielkie szanse.
Dla tych, którzy nie chcą używać wtyczki, można ograniczyć dostęp administratora do określonych adresów IP za pomocą pliku .htaccess. Jest to dość proste, ale bardzo skuteczne rozwiązanie.
Janet
Pracuję nad zabezpieczaniem stron dla moich klientów i muszę zabezpieczyć hasłem ich folder wp-admin. Mam problem i mam nadzieję, że ktoś mi pomoże. Kiedy wchodzę do cPanel, aby zabezpieczyć ten folder hasłem, otrzymuję błąd dotyczący zainstalowanych rozszerzeń Frontpage, co uniemożliwia zabezpieczenie hasłem. Kiedy próbuję odinstalować rozszerzenia, otrzymuję następujący komunikat:
Ostrzeżenie: Instalacja lub odinstalowanie rozszerzeń FrontPage spowoduje utratę wszystkich plików „.htaccess”. Wszelkie zmiany wprowadzone w plikach „.htaccess” zostaną utracone.
Jeśli zrobiłem kopię zapasową pliku .htacess zgodnie z instrukcjami na tej stronie https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/, czy to wystarczy?
Dziękuję za pomoc i wszystkie bardzo pomocne informacje!
Personel redakcyjny
Dopóki masz kopie zapasowe, wszystko powinno być w porządku.
Admin
Janet
Dziękuję! Miałem problemy z .htacess, ale nasz hosting naprawił wszystko. Wielkie dzięki za pomoc!
Sarah B R
Witaj,
Postępowałem zgodnie z Twoimi wytycznymi dotyczącymi uwierzytelniania dwuskładnikowego i zadziałało to poprawnie za pierwszym razem kilka dni temu.
Chciałem się dzisiaj zalogować i wszedłem do aplikacji na moim telefonie, a dodane konto WordPress zniknęło. Teraz nie mogę się zalogować.
Dziękuję za pomoc.
Personel redakcyjny
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Blokada logowania to najlepszy plugin do zabezpieczenia bloga WordPress przed atakami siłowymi
Robert Connor
Kilka dobrych rad, mój panel administracyjny strony jest codziennie bombardowany próbami logowania!
Jane
Skąd wiesz, kiedy zostałeś zaatakowany siłowym atakiem? Mój klient miał ostatnio problemy ze swoją stroną WP, więc zastanawiam się, czy to ma z tym związek.
Jennifer
Mam stronę, która jest obecnie atakowana atakiem siłowym. Jest NIEUSTAJĄCY. Strona korzysta z SUCURI (dzięki Bogu!) i już wykonali dla nas jedno czyszczenie.
Dziękuję, Syed i zespół, za wszystkie wspaniałe informacje. Właśnie dodałem uwierzytelnianie dwuskładnikowe i wkrótce zastosuję resztę Twoich sugestii.
Esther
Dziękuję za link do darmowego filmu, założyłem swoją stronę WP wczoraj, po prowadzeniu strony na Bloggerze, i ona mnie, po prostu, dobija! Jestem dość biegły technicznie, więc nie mam pojęcia, w czym jest mój problem, tylko że go mam! lol
Keith Davis
Cześć wszystkim
Przeczytaj artykuł na stronie Sucuri – jestem z tymi ludźmi i używam kilku innych środków bezpieczeństwa.
Właśnie Cię wyróżniłem w #WordPress
Scott Hack
Chciałbym zobaczyć limit logowań dodany do rdzenia dla wersji 3.6