Är din WordPress-webbplats sårbar för brute-force-attacker? Dessa attacker kan inte bara sakta ner din webbplats och göra den svår att komma åt, utan de kan till och med tillåta hackare att knäcka dina lösenord och installera skadlig kod. Detta kan allvarligt skada din webbplats och din verksamhet.
På WPBeginner förlitar vi oss starkt på säkerhetsverktyg som Sucuri och Cloudflare för att hålla vår webbplats säker. Sucuri hjälpte oss en gång att blockera 450 000 WordPress-attacker under en 3-månadersperiod.
I den här artikeln visar vi dig hur du skyddar din WordPress-webbplats från brute-force-attacker.
Vad är ett brute force-angrepp?
En brute force-attack är en hackningsmetod som använder försök och misstag för att bryta sig in på en webbplats, ett nätverk eller ett datorsystem.
Den vanligaste typen av brute force-attacker är lösenordsgissning. Hackare använder automatiserad programvara för att fortsätta gissa din inloggningsinformation så att de kan få tillgång till din webbplats.
Dessa automatiserade hackningsverktyg kan också förkläda sig genom att använda olika IP-adresser och platser, vilket gör det svårare att identifiera och blockera misstänkta aktiviteter.
En lyckad brute force-attack kan ge hackare tillgång till din webbplats adminområde. De kan installera skadlig kod, stjäla användarinformation och radera allt på din webbplats.
Även misslyckade brute force-attacker kan orsaka stor skada genom att skicka för många förfrågningar till dina WordPress-värdar, vilket saktar ner eller till och med kraschar din webbplats helt.
Med det sagt, låt oss titta på hur du skyddar din WordPress-webbplats från brute-force-attacker. Här är stegen vi kommer att följa:
- Installera ett WordPress brandväggsplugin
- Installera WordPress-uppdateringar
- Skydda WordPress Admin-katalog
- Lägg till tvåfaktorsautentisering i WordPress
- Använd unika och starka lösenord
- Inaktivera katalogbläddring
- Inaktivera exekvering av PHP-filer i specifika WordPress-mappar
- Installera och konfigurera ett WordPress-säkerhetskopieringsplugin
1. Installera ett WordPress brandväggsplugin
Brute force-attacker lägger en stor belastning på dina servrar. Även de misslyckade kan sakta ner din webbplats eller helt krascha servern. Det är därför viktigt att blockera dem innan de når din server.
För att göra det behöver du en webbplatsbrandväggslösning. En brandvägg filtrerar bort dålig trafik och blockerar den från att komma åt din webbplats.
Det finns två typer av webbplatsbrandväggar som du kan använda:
- Applikationsnivåbrandväggar granskar trafiken när den når din server men innan de flesta WordPress-skript laddas. Denna metod är inte lika effektiv eftersom ett brute-force-angrepp fortfarande kan påverka din serverbelastning.
- DNS-nivå webbplatsbrandväggar dirigerar din webbplatstrafik genom sina molnproxy-servrar. Detta gör att de bara kan skicka äkta trafik till din huvudsakliga webbhotellsserver samtidigt som de ger en skjuts åt din WordPress hastighet och prestanda.
Vi rekommenderar att använda Sucuri. De är branschledande inom webbplatssäkerhet och den bästa WordPress brandväggen på marknaden. Eftersom de har en brandvägg på DNS-nivå, innebär det att all din webbplatstrafik går genom deras proxy, där skadlig trafik filtreras bort.
Vi använder Sucuri på vår webbplats, och du kan läsa vår fullständiga Sucuri-recension för att lära dig mer.
2. Installera WordPress-uppdateringar
Vissa vanliga brute force-attacker riktar sig aktivt mot kända sårbarheter i äldre versioner av WordPress, populära WordPress-plugins eller teman.
WordPress kärna och de flesta populära WordPress-plugins är öppen källkod, och sårbarheter åtgärdas ofta mycket snabbt med en uppdatering. Men om du misslyckas med att installera uppdateringar, lämnar du din webbplats sårbar för dessa gamla hot.
Gå helt enkelt till sidan Instrumentpanel » Uppdateringar i WordPress adminområde för att kontrollera efter tillgängliga uppdateringar. Den här sidan visar alla uppdateringar för din WordPress-kärna, plugins och teman.
För mer information, se våra guider om hur man säkert uppdaterar WordPress och korrekt uppdaterar WordPress-plugins.
3. Skydda WordPress Admin-katalogen
De flesta brute force-attacker mot en WordPress-webbplats försöker få åtkomst till WordPress adminområde. Du kan lägga till lösenordsskydd på din WordPress adminkatalog på servernivå. Detta blockerar obehörig åtkomst till ditt WordPress adminområde.
Logga helt enkelt in på ditt WordPress-värdkontrollpanel (cPanel) och klicka på ikonen 'Directory Privacy' under avsnittet Filer.
Notera: Vi använder Bluehost i vår skärmdump, men liknande inställningar finns tillgängliga hos andra ledande hostingföretag som HostGator också.
Därefter behöver du lokalisera mappen wp-admin.
När du hittar den bör du klicka på dess 'Redigera'-knapp.
På nästa sida kan du ställa in säkerhetsinställningarna för mappen.
Först måste du markera rutan för 'Lösenordsskydda den här katalogen'. Därefter kan du ange ett namn för den skyddade katalogen.
Därefter kommer du att bli ombedd att ange ett användarnamn och lösenord.
Du kommer att bli ombedd om denna information när du försöker komma åt den här katalogen.
Efter att ha angett denna information, klicka på knappen 'Spara' för att lagra dina inställningar.
Din WordPress adminkatalog är nu lösenordsskyddad.
Du kommer att se en ny inloggningsprompt när du besöker ditt WordPress-adminområde.
Om du stöter på ett 404-fel eller meddelandet för många omdirigeringar, måste du lägga till följande rad i din WordPress .htaccess-fil:
ErrorDocument 401 default
För mer information, se vår artikel om hur du lösenordsskyddar WordPress-administratörskatalogen.
4. Lägg till tvåfaktorsautentisering i WordPress
Tvåfaktorsautentisering lägger till ett extra säkerhetslager till din WordPress-inloggningsskärm. Användare kommer att behöva sina telefoner för att generera en engångskod tillsammans med sina inloggningsuppgifter för att komma åt WordPress-administratörsområdet.
Att lägga till tvåfaktorsautentisering kommer att göra det svårare för hackare att få åtkomst även om de lyckas knäcka ditt WordPress-lösenord.
För detaljerade steg-för-steg-instruktioner, se vår guide om hur man lägger till tvåfaktorsautentisering i WordPress.
5. Använd unika och starka lösenord
Lösenord är nycklarna för att få åtkomst till din WordPress-webbplats eller e-handelsbutik. Du måste använda unika, starka lösenord för alla dina konton. Ett starkt lösenord är en kombination av siffror, bokstäver och specialtecken.
Det är viktigt att du använder starka lösenord inte bara för dina WordPress-användarkonton utan även för din FTP-klient, webbhotellspanel och din WordPress-databas.
Många nybörjare frågar oss hur man kommer ihåg alla dessa unika lösenord. Tja, det behöver du inte. Det finns utmärkta lösenordshanteringsappar tillgängliga som säkert lagrar dina lösenord och automatiskt fyller i dem åt dig.
För att lära dig mer, se vår nybörjarguide om de bästa sätten att hantera lösenord för WordPress.
6. Inaktivera katalogbläddring
Som standard, när din webbserver inte kan hitta en indexfil (som index.php eller index.html), visar den automatiskt en indexsida som visar innehållet i katalogen.
Under ett brute-force-angrepp kan hackare använda katalogbläddring som denna för att leta efter sårbara filer. För att åtgärda detta behöver du lägga till följande rad längst ner i din WordPress .htaccess-fil med hjälp av en FTP-tjänst:
Options -Indexes
För mer information, se vår artikel om hur du inaktiverar katalogbläddring i WordPress.
7. Inaktivera PHP-filkörning i specifika WordPress-mappar
Hackare kan vilja installera och köra ett PHP-skript i dina WordPress-mappar. WordPress är huvudsakligen skrivet i PHP, vilket innebär att du inte kan inaktivera det i alla WordPress-mappar.
Det finns dock vissa mappar som inte behöver några PHP-skript, till exempel din WordPress-uppladdningsmapp som finns på /wp-content/uploads.
Du kan säkert inaktivera PHP-körning i uppladdningsmappen, vilket är en vanlig plats som hackare använder för att dölja bakdörrsfiler.
Först måste du öppna en textredigerare som Anteckningar på din dator och klistra in följande kod:
<Files *.php>
deny from all
</Files>
Spara nu den här filen som .htaccess och ladda upp den till mapparna /wp-content/uploads/ på din webbplats med en FTP-klient.
8. Installera och konfigurera ett WordPress-säkerhetskopieringsplugin
Säkerhetskopior är det viktigaste verktyget i din WordPress-säkerhetsarsenal. Om allt annat misslyckas, kommer säkerhetskopior att göra det möjligt för dig att enkelt återställa din webbplats.
De flesta WordPress-värdar erbjuder begränsade säkerhetskopieringsalternativ. Dessa säkerhetskopior är dock inte garanterade, och du är ensam ansvarig för att göra dina egna säkerhetskopior.
Det finns flera utmärkta WordPress backup-plugins som låter dig schemalägga automatiska säkerhetskopior.
Vi rekommenderar att du använder Duplicator. Det är nybörjarvänligt och låter dig snabbt ställa in automatiska säkerhetskopior och lagra dem på fjärrplatser som Google Drive, Dropbox, Amazon S3, OneDrive och mer.
Det finns också en gratisversion av Duplicator som du kan använda för att komma igång.
För steg-för-steg-instruktioner kan du följa den här guiden på hur du säkerhetskopierar din WordPress-webbplats med Duplicator.
Alla ovanstående tips hjälper dig att skydda din WordPress-webbplats mot brute-force-attacker. För en mer omfattande säkerhetskonfiguration bör du följa instruktionerna i vår ultimata WordPress-säkerhetsguide för nybörjare.
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du skyddar din WordPress-webbplats från brute-force-attacker. Du kanske också vill se vår guide om hur man fixar en hackad WordPress-webbplats och våra experters val av de bästa WordPress brandväggsplugins.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Olaf
Dessa är mycket värdefulla tips. En brute force-attack kan vara mycket farlig, särskilt om värdleverantören inte har några bakomliggande lösningar och framför allt om användarna har svaga lösenord som består av enkla fraser. Personligen börjar allt alltid med lösenordet. Tecken, symboler, siffror... det är den enda rätta kombinationen. Namn och fraser är det värsta. Om folk förstår detta är de till stor del skyddade, förutsatt att lösenorden är minst åtta tecken långa. Det är dock svårt att lära folk detta, eftersom de vill ha lösenord som de kan komma ihåg. Därför är det bra att använda minneshjälpmedel för lösenord. Jag använder lösenord som inte är vettiga men kommer ihåg dem genom minneshjälpmedel. Att lägga till ett extra säkerhetslager förbättrar bara den totala säkerheten, och jag anser att tvåfaktorsautentisering är det bästa andra lagret. Med det blir chansen för ett intrång nästan minimal.
Dayo Olobayo
Detta är en utmärkt guide för att säkra din WordPress-webbplats! Ett ytterligare tips jag skulle rekommendera är att regelbundet övervaka dina inloggningsförsök. Många säkerhetsplugins erbjuder detaljerade loggar där du kan spåra inloggningsförsök, inklusive ursprungliga IP-adresser. Detta kan hjälpa dig att identifiera misstänkt aktivitet och potentiellt blockera skadliga IP-adresser.
Mrteesurez
Tack för din rekommendation.
Jag brukade kontrollera loggdetaljerna för att identifiera IP-adressen för inloggningsförsöken. Men finns det något sätt att få en avisering om inloggningsförsök direkt till e-post?
Känner du till något plugin som gör det?
Dayo Olobayo
Jag tror att pluginet Limit Login Attempts Reloaded kan skicka e-postmeddelanden för inloggningsförsök. Du kan kolla upp det.
Mrteesurez
Ok, tack för ditt svar, Dayo. Det är svårt och tar tid att logga in ofta för att kontrollera felanmälningsförsök på flera webbplatser, därför föredrog jag att få e-postmeddelanden vid varje försök. Tack.
Jiří Vaněk
Jag märkte att du inte inkluderade alternativet att ändra URL:en för WordPress-administrationen i listan. Finns det någon anledning till det? Det är också en av de mycket bra metoderna för att förhindra attacker, eftersom angripare inte kommer att känna till URL:en för webbplatsens administration.
WPBeginner Support
Vi rekommenderar inte det eftersom det kan orsaka problem med plugins och felsökning och inte tillför mycket till en webbplats säkerhet.
Admin
Jiří Vaněk
Tja, du har förmodligen erfarenhet av detta. Jag använder det på min blogg och har aldrig haft problem på alla webbplatser. Jag antog att ändra URL:en kunde göra administrationen säkrare genom att angriparen inte kände till URL:en, men jag tar ditt råd.
Moinuddin Waheed
Detta är ett mycket vanligt problem för WordPress-användare. Oftast ger vi lite eller ingen uppmärksamhet åt att skydda vår webbplats eller blogg och klagar sedan när något sådant händer.
Jag blev utsatt för denna brute force-attack 2017 och sedan dess har jag sett till att använda säkerhetskopior av hela min webbplats och tvåfaktorsautentisering för inloggning.
Finns det ett sätt att identifiera om skadlig programvara har installerats eller om vår instrumentpanel har komprometterats?
WPBeginner Support
Du kan använda några av de skanningsalternativ som vi rekommenderar i vår artikel nedan!
https://014.leahstevensyj.workers.dev/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Admin
Moinuddin Waheed
Tack för svaret och rekommendationen av handledningen.
Jag utforskar dessa guider för att skapa en framgångsrik WordPress-webbplatsbyrå.
Jag vill se till att webbplatserna jag skapar för mina kunder är idiotsäkra när det gäller säkerhet.
Renuga
HEJ,
För steg-3 admin-skydd behöver vi visa inloggningen endast i WP-admin men den visas även på webbplatsen. Så, snälla hjälp oss hur vi visar den endast i WP-admin.
WPBeginner Support
Om du menar att det finns i ditt widgetområde kanske du vill leta efter en meta-widget under Utseende>Widgets
Admin
Dreamandu
Jag är under en brute force-attack just nu från olika IP-adresser. Vad kan jag göra för att skydda min webbplats just nu?
WPBeginner Support
Du kan använda någon av metoderna i den här artikeln för att börja bekämpa brute force-attacker
Admin
Chidubem Ezenwa
Ännu en hjälpsam guide. Tack grabbar.