Una tecnica comune utilizzata dagli hacker per ottenere l'accesso non autorizzato ai siti Web è chiamata 'Brute Force'. Utilizzando questa tecnica, gli hacker utilizzano software progettato per scansionare un sito Web alla ricerca di vulnerabilità e ottenere l'accesso sfruttandone una qualsiasi. Utilizziamo Sucuri per la sicurezza dei nostri siti Web perché bloccano attivamente le richieste dannose. Un punto di ingresso comune che questi bot brute force tentano di sfruttare è l'esecuzione di scansioni degli autori. In questo articolo, ti mostreremo come scoraggiare il brute force bloccando le scansioni degli autori in WordPress.
Nota: se stai utilizzando Limit Login Attempt e Google Authenticator, sei abbastanza ben protetto contro gli attacchi brute-force.
Innanzitutto, capiamo cosa stanno cercando di fare questi tentativi di brute force. All'inizio cercano di trovare un nome utente sul tuo blog o l'ID dell'autore. Spesso il nome utente utilizzato per accedere a WordPress e il nome dell'autore sono gli stessi. Una volta trovato un nome utente, questo risolve il 50% dell'enigma. Ora eseguono il brute force sul tuo sito per decifrare la password provando varie combinazioni di password diverse.
Per bloccare la scansione degli autori sul tuo sito Web, aggiungi semplicemente questo codice al file .htaccess nella directory principale di WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Questo bloccherà i bot dall'eseguire scansioni degli autori sul tuo sito Web. Gli utenti del tuo sito Web potranno comunque accedere alle pagine degli autori, ma i bot non saranno in grado di farlo.
Speriamo che questo suggerimento ti sia stato utile. Vogliamo sottolineare che questo non impedisce attacchi brute force. Questo è solo un passo precauzionale che puoi intraprendere per scoraggiare l'hacker. Quando qualcuno vuole disperatamente attaccare il tuo sito, troverà un modo per farlo. Ti consigliamo vivamente di utilizzare Sucuri e di effettuare regolarmente backup di WordPress. P.S. ecco 5 motivi per cui usiamo Sucuri.
Questo suggerimento è stato inviato da: Ian Armstrong
Julian
Ciao. Il codice per bloccare le scansioni dell'autore ha causato un errore 404 su alcune pagine. Dopo aver rimosso questo codice dal mio file .htaccess, le pagine sono state caricate correttamente. Ho usato questo codice su 2 siti con gli stessi identici risultati.
Capisco che questo tutorial sia stato pubblicato 5 anni fa, potresti considerare di aggiornarlo?
Supporto WPBeginner
Certamente daremo un'occhiata all'aggiornamento di questo articolo in futuro.
Amministratore
Sanskar
Questo bloccherà anche i crawler dei motori di ricerca e di AdSense?
Supporto WPBeginner
No, non lo farà. Bloccherà solo se un bot sta cercando di accedere all'URL dell'autore utilizzando una stringa di query. I crawler di ricerca e AdSense scansionano le pagine accedendo ai link sul tuo sito. Se stai già utilizzando permalink personalizzati, i tuoi URL autore saranno accessibili ai motori di ricerca con un link come /author/Sanskar
Amministratore
naw
ciao
come va, sul server iis per favore?
Mert Can
Ciao,
Come posso bloccare questo link? Qualcuno sta cercando di hackerare il mio sito web.
http://example.com/?author=1
Grazie,
lando
Ciao wpbeginner,
Come posso verificare se il codice funziona? Ho aggiunto il codice in fondo al mio file .htaccess.
Grazie
Francis
Bel tutorial.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Grazie per questo ragazzi
Bello e facile da aggiungere a .htaccess.
Uso il limite di accessi e ho recentemente trovato un ottimo plugin chiamato Simple Firewall, che aggiunge una casella di controllo GASP al tuo pannello di accesso.
Sono d'accordo con voi sull'uso di Sucuri: è piuttosto economico se ci pensi e se lo usi su più siti, il prezzo per sito è ancora più basso.
Zimbrul
Non uso mai lo stesso utente per l'autore del blog e l'amministratore del sito, poiché il link dell'autore e il nome utente possono essere facilmente scoperti. Di solito l'amministratore è un nome utente di oltre 22 caratteri con una password di oltre 22 caratteri e un indirizzo email molto difficile da indovinare. Ci vorranno anni per indovinarlo. E ho anche il plugin Limit Login... Non uso Google Authenticator perché questo mi impedisce di accedere a un sito web utilizzando l'applicazione WordPress per dispositivi mobili.
Rahul
Molto utile. Grazie per questo fantastico snippet Ian e WPBeginner.