Haben Sie schon einmal von Dieben gehört, die versuchen, in ein verschlossenes Haus einzudringen, indem sie verschiedene Schlüssel ausprobieren? So ungefähr funktioniert ein Brute-Force-Angriff auf WordPress-Websites. Angreifer zielen darauf ab, Benutzer mit schwachen Administratorkennwörtern ins Visier zu nehmen, um sich mit Brute-Force Zugang zu verschaffen. Wenn Sie sich fragen, wie Sie an diesen Punkt gekommen sind, wollen wir es für Sie aufschlüsseln. Vor einigen Versionen verwendete WordPress für seine Benutzer einen Standardbenutzernamen namens „admin“. Angreifer machen sich diese Konten zunutze, indem sie versuchen, unterschiedliche Passwörter für denselben Benutzernamen zu verwenden und so in alles einzudringen, was ihnen Zugriff verschafft.
Wie verhindert man Brute-Force-Angriffe gegen WordPress?
- Der erste Schritt besteht darin, Ihren Benutzernamen zu ändern, wenn Sie immer noch „admin“ verwenden, und stattdessen einen eindeutigeren Namen zu verwenden. Dadurch wird die Möglichkeit ausgeschlossen, dass Sie zu der gefährdeten Kategorie gehören, nach der Angreifer automatisch suchen. Es ist auch der wirksamste Schritt, den Sie unternehmen können, um sich vor diesem Angriff zu schützen.
- Verwenden Sie keine schwachen Passwörter! Sicher, „123456“ ist leicht zu merken, aber es ähnelt auch der Idee, einem bekannten Dieb den Hausschlüssel zu geben. Wenn Ihnen etwas Schwieriges nicht einfällt, verwenden Sie Passwortgeneratoren, um etwas Starkes zu finden, das nicht leicht zu erraten ist. WordPress macht es außerdem einfacher, die Sicherheit Ihrer Passwörter zu verstehen, da ein Messgerät angezeigt wird, wenn Sie versuchen, ein Passwort zu erstellen.
- Halten Sie Ihre WordPress- und Computersoftwareversionen auf dem neuesten Stand und aktivieren Sie unbedingt die „Zwei-Faktor-Authentifizierung“, wenn Sie WP.com verwenden. Dies würde Ihnen signalisieren, wenn ein Versuch von einem anderen Gerät/einer anderen Region als Ihrem kommt.
- Rufen Sie Ihren Hosting-Anbieter an, wenn Sie das Gefühl haben, dass sich Ihre Admin-Seiten nur schwer anmelden lassen und träge zu sein scheinen. Sie sollten in der Lage sein, Sie in die richtige Richtung zu führen.
- Verwenden Sie ein zusätzliches Tool oder ein Plugin, das die Anzahl der Anmeldeversuche begrenzt. Wenn für Ihre Website nicht die Anmeldung mehrerer Personen erforderlich ist, können Sie sogar Plugins hinzufügen, die alle Versuche (außer Ihren) blockieren, auf wp-admin zuzugreifen.
- Wenn Sie in der Vergangenheit Opfer solcher Angriffe geworden sind und ein Muster bei den IP-Adressen oder Regionen festgestellt haben, von denen die Angriffe ausgehen, können Sie eine zusätzliche Schutzebene hinzufügen. Dies kann durch die Erstellung einer „Blockliste“ mit IP-Adressen erreicht werden, die von diesen Regionen aus versuchen, auf Ihre Website zuzugreifen. Leider würden Sie dadurch auch einige echte Benutzer blockieren, die auf Ihre Website zugreifen möchten.
