Mai multe surse majore au confirmat că au loc atacuri masive de tip brute force vizând site-uri WordPress și Joomla chiar în acest moment. HostGator, InMotion Hosting, LiquidWeb și multe altele și-au informat clienții cu privire la această problemă. Rețeaua de boți a hackerilor conține peste 90.000 de IP-uri diferite și vizează începătorii WordPress care fac greșeli foarte comune. Da, totul sună înfricoșător, așa că iată ce trebuie să faci pentru a reduce șansele de a fi spart.
1. Nu mai folosiți numele de utilizator admin
Adesea, începătorii folosesc nume de utilizator foarte comune, cum ar fi admin, administrator, test, root etc. Prietenii noștri de la Sucuri au raportat că aceste nume de utilizator sunt vizate intens în acest moment. Dacă aveți un nume de utilizator WordPress generic, cum ar fi admin, ar trebui să îl schimbați chiar acum.
Avem un tutorial ușor de urmărit care vă va arăta cum să vă schimbați numele de utilizator în WordPress.
2. Folosiți o parolă puternică
Vă rugăm, vă rugăm, vă rugăm să folosiți o parolă foarte puternică. Aceste atacuri de tip brute force vizează toate cele mai comune parole pe care le folosesc oamenii. O parolă puternică conține litere mari și mici, numere și simboluri. Nu folosiți aceeași parolă în mai multe locuri. Nu este niciodată prea târziu să începeți să folosiți o soluție de gestionare a parolelor precum 1Password sau LastPass.
3. Păstrați backup-uri bune
Cea mai bună securitate pe care o puteți avea pentru site-ul dvs. web este o soluție excelentă de backup. Noi folosim VaultPress, care este un serviciu lunar. Cu toate acestea, dacă nu doriți să plătiți lunar, atunci vă recomandăm cu tărie să obțineți BackupBuddy.
Vă rugăm să păstrați copii de rezervă bune ale site-ului dvs., deoarece majoritatea companiilor de găzduire nu o fac.
4. Folosiți autentificarea în doi factori
Începeți să utilizați autentificarea în doi pași. Astfel, chiar dacă cineva vă ghicește parola, nu vă poate accesa site-ul, deoarece nu are codul de securitate. Vă recomandăm cu tărie să faceți acest lucru chiar acum.
5. Protejați prin parolă WP-Admin și limitați încercările de conectare
Recomandăm întotdeauna utilizatorilor noștri să limiteze încercările de conectare. Cu toate acestea, acest lucru singur nu poate proteja împotriva tuturor atacurilor, deoarece această rețea de roboți conține 90.000 de adrese IP. Altceva ce puteți face este să protejați prin parolă directorul dvs. WP-admin. De asemenea, puteți limita fișierul dvs. wp-login.php la o adresă IP specifică.
6. Începeți să folosiți Sucuri
Dacă nu folosiți Sucuri, atunci vă recomandăm cu tărie să începeți să folosiți Sucuri. Sunt mereu la curent cu totul și nu avem pe nimeni altcineva în care să avem mai multă încredere când vine vorba de securitatea WordPress. Vedeți 5 motive pentru care folosim Sucuri.
Nu suntem siguri care este scopul final al acestor atacuri, dar indiferent care ar fi, nu am dori să vedem utilizatorii noștri devenind victime. Vă rugăm să vă mențineți site-urile actualizate și să urmați toate sfaturile de mai sus.
Jiří Vaněk
Personal, aș recomanda un alt sfat. Folosesc un plugin GEO-IP pentru a proteja zona de administrare, unde pentru unele site-uri web, accesul este restricționat doar la anumite țări, iar pentru altele, este limitat la adrese IP specifice. Acest lucru oferă o protecție destul de bună, deoarece atunci când accesul de administrare este restricționat la adrese IP specifice, un atacator este relativ ghinionist.
Pentru cei care nu doresc să folosească un plugin, puteți restricționa accesul de administrator la anumite adrese IP folosind fișierul .htaccess. Este destul de simplu, dar o soluție foarte eficientă.
Janet
Lucrez la securizarea site-urilor pentru clienții mei și trebuie să protejez prin parolă folderul lor wp-admin. Am o problemă și sper că cineva mă poate ajuta. Când accesez cPanel pentru a proteja prin parolă acel folder, primesc o eroare despre extensiile Frontpage instalate, ceea ce împiedică protecția prin parolă. Când încerc să dezinstalez extensiile, primesc acest mesaj:
Avertisment: Instalarea sau dezinstalarea extensiilor FrontPage va duce la pierderea tuturor fișierelor „.htaccess”. Orice modificări pe care le-ați făcut în fișierele „.htaccess” vor fi pierdute.
Dacă aș face o copie de rezervă a fișierului .htacess, așa cum este instrucționat pe această pagină https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/, ar fi suficient?
Mulțumesc pentru ajutor și pentru toate informațiile DVS. FOARTE utile!
Personal editorial
Atâta timp cât aveți backup-uri, ar trebui să fiți în regulă.
Admin
Janet
Mulțumesc! Am avut niște probleme cu .htacess, dar gazda noastră web a rezolvat totul pentru noi. Mulțumesc mult pentru ajutor!
Sarah B R
Bună ziua,
Am urmat ghidurile dumneavoastră pentru autentificarea în doi pași și a funcționat bine prima dată acum câteva zile.
Am vrut să mă autentific astăzi și am mers la aplicația de pe telefon, iar contul WordPress pe care îl adăugasem nu mai este nicăieri. Deci acum nu mă pot autentifica.
Vă mulțumesc pentru ajutor.
Personal editorial
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Blocarea conectării este cel mai bun plugin pentru a securiza blogul Wordpress împotriva atacurilor de tip brute force
Robert Connor
Niște sfaturi bune, panoul de administrare al site-ului meu este bombardat zilnic cu încercări de conectare!
Jane
De unde știi când ai fost atacat prin forță brută? Clientul meu a avut probleme cu site-ul său WP recent, așa că mă întreb dacă acest lucru are legătură cu asta.
Jennifer
Am un site care este atacat în prezent cu un atac de tip brute force. Este NEÎNCETAT. Site-ul folosește SUCURI (slavă Domnului!) și deja au făcut o curățare pentru noi.
Mulțumesc, Syed & echipă, pentru toate informațiile excelente. Tocmai am adăugat autentificarea în doi pași și voi implementa restul sugestiilor voastre cât mai curând posibil.
Esther
Mulțumesc pentru linkul către videoclipul gratuit, tocmai mi-am început site-ul WP ieri, după ce am rulat un site Blogger și îmi dă bătăi de cap! Sunt destul de priceput la tehnologie, așa că nu am idee care este problema mea, doar că am una! lol
Keith Davis
Salutare, băieți
Citiți articolul de pe site-ul Sucuri – sunt cu acei băieți și folosesc câteva alte măsuri de securitate.
Tocmai v-am menționat pe #WordPress
Scott Hack
Mi-ar plăcea să văd o limită la autentificări adăugată la nucleul pentru 3.6