Une technique courante utilisée par les pirates pour obtenir un accès non autorisé aux sites Web s'appelle « force brute ». En utilisant cette technique, les pirates utilisent des logiciels conçus pour scanner un site Web à la recherche de vulnérabilités et y accéder en exploitant l'une d'entre elles. Nous utilisons Sucuri pour la sécurité de nos sites Web car ils bloquent activement les requêtes malveillantes. Un point d'entrée courant que ces robots de force brute tentent d'exploiter est l'exécution d'analyses d'auteurs. Dans cet article, nous vous montrerons comment décourager la force brute en bloquant les analyses d'auteurs dans WordPress.
Remarque : Si vous utilisez Limit Login Attempt et Google Authenticator, vous êtes alors assez bien protégé contre les attaques par force brute.
Comprendrons d'abord ce que ces tentatives de force brute essaient de faire. Au début, ils essaient de trouver un nom d'utilisateur sur votre blog ou l'ID de l'auteur. Souvent, le nom d'utilisateur utilisé pour se connecter à WordPress et le nom de l'auteur sont les mêmes. Une fois qu'ils ont trouvé un nom d'utilisateur, cela résout 50 % du problème. Maintenant, ils utilisent la force brute sur votre site pour cracker le mot de passe en essayant diverses combinaisons de mots de passe.
Pour bloquer l'analyse d'auteurs sur votre site Web, ajoutez simplement ce code dans le fichier .htaccess du répertoire racine de WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Cela bloquera les robots de l'exécution d'analyses d'auteurs sur votre site Web. Vos utilisateurs de site Web pourront toujours accéder aux pages d'auteurs, mais les robots ne pourront pas le faire.
Nous espérons que ce conseil vous a été utile. Nous tenons à souligner que cela n'empêche pas les attaques par force brute. C'est juste une mesure de précaution que vous pouvez prendre pour décourager le pirate. Quand quelqu'un veut désespérément attaquer votre site, il trouvera un moyen de le faire. Nous vous recommandons vivement d'utiliser Sucuri et de conserver des sauvegardes régulières de WordPress. P.S. voici 5 raisons pour lesquelles nous utilisons Sucuri.
Ce conseil a été envoyé par : Ian Armstrong
Julian
Bonjour. Le code pour bloquer les scans d'auteurs a provoqué une erreur 404 sur certaines pages. Après avoir supprimé ce code de mon fichier .htaccess, les pages se sont chargées avec succès. J'ai utilisé ce code sur 2 sites avec exactement les mêmes résultats.
Je comprends que ce tutoriel a été publié il y a 5 ans, pourriez-vous envisager de le mettre à jour ?
Support WPBeginner
Nous allons certainement examiner la mise à jour de cet article à l'avenir.
Admin
Sanskar
Cela bloquera-t-il aussi les robots des moteurs de recherche et d'Adsense ?
Support WPBeginner
Non, cela ne le fera pas. Il ne bloquera que si un bot essaie d'accéder à l'URL de l'auteur en utilisant une chaîne de requête. Les robots de recherche et d'Adsense explorent les pages en accédant aux liens de votre site. Si vous utilisez déjà des permaliens personnalisés, vos URL d'auteur seront accessibles aux moteurs de recherche avec un lien comme /author/Sanskar
Admin
naw
salut
comment faire, sur le serveur iis s'il vous plaît ?
Mert Can
Bonjour,
Comment puis-je bloquer ce lien ? Quelqu'un essaie de pirater mon site web.
http://example.com/?author=1
Merci,
lando
Salut wpbeginner,
Comment puis-je vérifier si le code fonctionne ? J'ai ajouté le code tout en bas de mon fichier .htaccess.
Merci
Francis
Bon tutoriel.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Merci pour celle-ci les gars
Facile et agréable à ajouter à .htaccess.
J'utilise le plugin Limit Logins et j'ai récemment trouvé un excellent plugin appelé Simple Firewall, qui ajoute une case à cocher GASP à votre panneau de connexion.
Je suis d'accord avec vous les gars concernant l'utilisation de Sucuri – assez bon marché quand on y pense et si vous l'utilisez sur plusieurs sites, le prix par site est encore plus bas.
Zimbrul
Je n'utilise jamais le même utilisateur pour l'auteur du blog et l'administrateur du site car le lien de l'auteur et le nom d'utilisateur peuvent être facilement trouvés. Habituellement, l'administrateur est un nom d'utilisateur de plus de 22 caractères avec un mot de passe de plus de 22 caractères et une adresse e-mail très difficile à deviner. Cela prendra des années à deviner. Et j'ai aussi le plugin Limit Login... Je n'utilise pas l'authentificateur Google car cela m'interdit de me connecter à un site Web en utilisant l'application WordPress pour mobile.
Rahul
Très utile. Merci pour cet excellent extrait Ian et WPBeginner.