Vad är brute force-attacker?
En brute force-attack innebär att hackare använder program för att systematiskt testa tusentals olika lösenordskombinationer mot din WordPress-inloggning. De räknar med att någon kombination ska fungera — antingen för att du har ett svagt lösenord eller för att de testar vanliga kombinationer som "admin/password123".
Jag ser det här hos våra kunder varje vecka. Loggarna visar hundratals inloggningsförsök per dag från olika IP-adresser runt om i världen. De flesta misslyckas, men det räcker att de lyckas en gång.
Varför är det så vanligt just nu?
WordPress är det mest använda CMS:et i världen. Det gör det till en attraktiv målskiva. Dessutom är standardinställningarna i WordPress ganska generösa — det finns ingen begränsning på antal inloggningsförsök från början.
Attackerna blir också allt mer sofistikerade. Istället för att bara testa från en IP-adress använder hackare nu nätverk av tusentals datorer (så kallade botnets) för att sprida attackerna.
6 sätt att skydda dig mot brute force-attacker
1. Stark lösenordspolicy
Det självklara första steget. Använd långa lösenord med blandade tecken. Men det räcker inte — även starka lösenord kan knäckas om hackaren har obegränsat antal försök.
2. Begränsa inloggningsförsök
Installera ett plugin som automatiskt blockerar IP-adresser efter ett visst antal misslyckade inloggningar. Vi använder ofta Wordfence eller Limit Login Attempts Reloaded.
Standardinställningen brukar vara 3-5 försök innan blockering. Det är rimligt — legitimt glömda lösenord händer, men 10+ försök är misstänkt.
3. Byt ut standardanvändarnamnet "admin"
Många WordPress-sajter har fortfarande administratörer som heter "admin". Det gör attackernas jobb lättare — de behöver bara gissa lösenordet.
Skapa en ny användare med administratörsbehörighet och radera den gamla admin-användaren. Välj ett användarnamn som inte är uppenbart kopplat till företaget.
4. Aktivera tvåfaktorsautentisering
Even om hackaren skulle gissa rätt lösenord behöver de fortfarande tillgång till din telefon för att logga in. Det här är det mest effektiva skyddet vi har sett.
Plugins som Wordfence eller Google Authenticator gör det här enkelt att sätta upp.
5. Dölj wp-admin från allmänheten
Du kan konfigurera servern så att inloggningssidan bara är tillgänglig från specifika IP-adresser. Det fungerar bra om du alltid jobbar från samma kontor, men mindre praktiskt om teamet jobbar remote.
Alternativt kan du använda plugins som ändrar inloggnings-URL:en från /wp-admin till något annat. Det stoppar automatiska attacker som letar efter standardsökvägar.
6. Övervakning och notifikationer
Sätt upp alerts som varnar dig om onormala inloggningsförsök. De flesta säkerhetspluginen har den här funktionen. Du vill veta direkt om någon försöker bryta sig in.
Vad händer om attacken lyckas?
Om hackaren kommer in kan de installera skadlig kod, stjäla kunddata eller använda din server för att skicka spam. Reparationskostnaden ligger ofta mellan 15 000-50 000 kr beroende på skadans omfattning.
Det är därför vi alltid rekommenderar förebyggande åtgärder. Det kostar mycket mindre att skydda sig än att städa upp efteråt.
Behöver du hjälp med WordPress-säkerhet?
Vi ser brute force-attacker dagligen hos kunder som inte har skydd. Det är en av anledningarna till att säkerhetsuppdateringar och övervakning ingår i våra WordPress supportavtal. Vi sätter upp rätt skydd från början och håller koll så du kan fokusera på annat.
Vill du veta hur säker din WordPress-webb är just nu? Kör vårt gratis webbtest så får du en snabb överblick över de mest kritiska säkerhetsluckorna.
