Hvordan beskytte ditt WordPress-nettsted fra brute Force Attacks (trinnvis)
Vil du beskytte ditt WordPress-nettsted fra brute force angrep? Disse angrepene kan redusere nettstedet ditt, gjøre det utilgjengelig, og til og med sprekke passordene dine for å installere skadelig programvare på nettstedet ditt. I denne artikkelen vil vi vise deg hvordan du beskytter ditt WordPress-nettsted mot brute force-angrep.
Hva er et Brute Force Attack?
Brute Force Attack er en hacking-metode som benytter prøve- og feilteknikker for å bryte inn på et nettsted, et nettverk eller et datasystem.
Hackere bruker automatisert programvare for å sende et stort antall forespørsler til målsystemet. Med hver forespørsel forsøker disse programmene å gjette informasjonen som trengs for å få tilgang, for eksempel passord eller PIN-koder.
Disse verktøyene kan også skjule seg ved å bruke forskjellige IP-adresser og steder, noe som gjør det vanskeligere for det målrettede systemet å identifisere og blokkere disse mistenkelige aktiviteter.
Et vellykket brute force-angrep kan gi hackere tilgang til nettstedets administrasjonsområde. De kan installere bakdør, malware, stjele brukerinformasjon og slette alt på nettstedet ditt.
Selv mislykkede brute force-angrep kan forårsake ødeleggelse ved å sende for mange forespørsler som bremser WordPress-hosting-serverne dine og til og med krasjer dem.
Når det er sagt, la oss ta en titt på hvordan du beskytter ditt WordPress-nettsted fra brute force angrep.
Trinn 1. Installer en WordPress-brannmurplugin
Brute Force Attacks legger mye belastning på serverne dine. Selv de mislykkede kan redusere nettstedet ditt eller krasje serveren helt. Derfor er det viktig å blokkere dem før de kommer til serveren din.
For å gjøre det, trenger du en nettside brannmur løsning. En brannmur filtrerer ut dårlig trafikk og blokkerer den fra å få tilgang til nettstedet ditt.
Det finnes to typer nettside-brannmurer som du kan bruke.
Programnivå Firewall - Disse brannmurpluggene undersøker trafikken når den når serveren din, men før du laster inn de fleste WordPress-skript. Denne metoden er ikke så effektiv fordi et brute force attack kan fortsatt påvirke serverbelastningen.
DNS-nivå nettside brannmur - Disse brannmurene ruter trafikken på nettstedet ditt via deres proxy-servere. Dette gjør at de bare kan sende ekte trafikk til din viktigste web hosting server samtidig som du gir et løft til WordPress-hastigheten og ytelsen.
Vi anbefaler at du bruker Sucuri. Det er bransjeleder i nettsikkerhet og den beste WordPress-brannmuren i markedet. Siden det er en DNS-nivå nettside brannmur, betyr det at alt ditt nettsted trafikk går gjennom deres proxy der dårlig trafikk er filtrert ut.
Vi bruker Sucuri på vår nettside, og du kan lese vår komplette Sucuri gjennomgang for å lære mer.
Trinn 2. Installer WordPress-oppdateringer
Noen vanlige brute force-angrep målretter aktivt mot kjente sårbarheter i eldre versjoner av WordPress, populære WordPress-plugins eller temaer.
WordPress-kjerne og mest populære WordPress-plugins er åpen kildekode og sårbarheter blir ofte løst veldig raskt med en oppdatering. Men hvis du ikke klarer å installere oppdateringer, lar du nettstedet ditt være sårbart for de gamle truslene.
Bare gå til Dashboard »Oppdateringer side i WordPress admin-området for å sjekke om tilgjengelige oppdateringer. Denne siden viser alle oppdateringer for WordPress-kjerne, plugins og temaer.
For mer informasjon, se vår guide om hvordan du oppdaterer WordPress-plugins på riktig måte.
Trinn 3. Beskytt WordPress Admin Directory
De fleste brute force-angrep på et WordPress-nettsted prøver å få tilgang til WordPress-administrasjonsområdet. Du kan legge til passordbeskyttelse på WordPress admin-katalogen på servernivå. Dette vil blokkere uautorisert tilgang til ditt WordPress admin-område.
Bare logg inn på ditt WordPress hosting kontrollpanel (cPanel) og klikk på 'Directory Privacy' ikonet under Files section.
Merk: Vi bruker Bluehost i skjermbildet, men liknende innstillinger er tilgjengelige på andre topp hosting selskaper, så vel som SiteGround, HostGator, etc..
Deretter må du finne wp-admin-mappen og klikke på mappenavnet.
cPanel vil nå be deg om å gi et navn for den begrensede mappen, brukernavnet og passordet. Når du har skrevet inn denne informasjonen, klikker du på lagre-knappen for å lagre innstillingene dine.
Din WordPress admin katalog er nå passordbeskyttet. Du vil se en ny påloggingsprompt når du besøker ditt WordPress-administrasjonsområde.
Hvis du kjører inn i en 404 feil eller feil for mange omdirigeringer, må du legge til følgende linje i WordPress .htaccess-filen din.
ErrorDocument 401 standard
For mer informasjon, se vår artikkel om hvordan du kan passordbeskytte WordPress admin katalog.
Trinn 4. Legg til tofaktorautentisering i WordPress
Two-Factor-godkjenning legger til et ekstra sikkerhetslag til WordPress-påloggingsskjermen. I utgangspunktet vil brukerne trenge sine telefoner til å generere en engangs passord sammen med deres påloggingsinformasjon for å få tilgang til WordPress-administrasjonsområdet.
Legge til tofaktorautentisering vil gjøre det vanskeligere for hackere å få tilgang selv om de er i stand til å knekke ditt WordPress-passord.
For detaljerte trinnvise instruksjoner, se vår guide for hvordan du legger til tofaktorautentisering i WordPress
Trinn 5. Bruk unike sterke passord
Passord er nøklene for å få tilgang til ditt WordPress-nettsted. Du må bruke unike sterke passord for alle kontoene dine. Et sterkt passord er en kombinasjon av tall, bokstaver og spesialtegn.
Det er viktig at du bruker sterke passord for ikke bare dine WordPress brukerkontoer, men også for FTP, web hosting kontrollpanel og din WordPress database.
De fleste nybegynnere spør oss hvordan du husker alle disse unike passordene? Vel, det trenger du ikke. Det finnes gode passordbehandlingsprogrammer som sikkert lagrer passordene dine og automatisk fyller dem inn for deg.
For å lære mer, se vår nybegynners guide på beste måte å administrere passord for WordPress.
Trinn 6. Deaktiver Directory Browsing
Som standard, når webserveren ikke finner en indeksfil (dvs. en fil som index.php eller index.html), viser den automatisk en indeksside som viser innholdet i katalogen.
Under et brutalt kraftangrep kan hackere bruke katalogbrowsing for å lete etter sårbare filer. For å fikse dette må du legge til følgende linje nederst i WordPress. Htaccess-filen.
Alternativer -Indexes
For mer informasjon, se vår artikkel om hvordan du deaktiverer katalogbrowsing i WordPress.
Trinn 7. Deaktiver PHP-filutførelse i bestemte WordPress-mapper
Hackere vil kanskje installere og utføre et PHP-skript i WordPress-mappene dine. WordPress er skrevet hovedsakelig i PHP, noe som betyr at du ikke kan deaktivere det i alle WordPress-mapper.
Det er imidlertid noen mapper som ikke trenger noen PHP-skript. For eksempel laster WordPress-mappen din til / wp-innhold / opplastinger.
Du kan trygt deaktivere PHP-kjøring i opplastingsmappen som er et vanlig sted hackere bruker til å skjule bakdørsfiler.
Først må du åpne et tekstredigeringsprogram som Notisblokk på datamaskinen din og lim inn følgende kode:
nekte fra alle
Lagre denne filen som .htaccess og last den opp til / wp-innhold / opplastinger / mapper på nettstedet ditt ved hjelp av en FTP-klient.
Trinn 8. Installer og sett inn en WordPress Backup Plugin
Sikkerhetskopier er det viktigste verktøyet i WordPress Security arsenal. Hvis alt annet feiler, vil sikkerhetskopieringen tillate deg å enkelt gjenopprette nettstedet ditt.
De fleste WordPress hosting selskaper tilbyr begrenset backup alternativer. Disse sikkerhetskopiene er imidlertid ikke garantert, og du er eneansvarlig for å lage dine egne sikkerhetskopier.
Det finnes flere gode WordPress-programtilleggsprogrammer, som lar deg planlegge automatiske sikkerhetskopier.
Vi anbefaler at du bruker UpdraftPlus. Det er nybegynner vennlig og lar deg raskt sette opp automatiske sikkerhetskopier og lagre dem på eksterne steder som Google Disk, Dropbox, Amazon S3 og mer.
For trinnvise instruksjoner, se vår veiledning om hvordan du sikkerhetskopierer og gjenoppretter ditt WordPress-nettsted med UpdraftPlus
Alle de ovennevnte tipsene vil hjelpe deg med å beskytte ditt WordPress-nettsted mot brute force-angrep. For et mer omfattende sikkerhetsoppsett bør du følge instruksjonene i vår ultimate WordPress-sikkerhetsguide for nybegynnere.
Vi håper denne artikkelen hjalp deg med å lære å beskytte ditt WordPress-nettsted mot brute force-angrep. Du vil kanskje også se etter tegnene på at din WordPress er hacket og hvordan å fikse et hacket WordPress-nettsted.
Hvis du likte denne artikkelen, vennligst abonner på vår YouTube Channel for WordPress-videoopplæringsprogrammer. Du kan også finne oss på Twitter og Facebook.