Powszechną techniką stosowaną przez hakerów w celu uzyskania nieautoryzowanego dostępu do stron internetowych jest „Brute Force”. Używając tej techniki, hakerzy wykorzystują oprogramowanie zaprojektowane do skanowania strony internetowej pod kątem luk i uzyskiwania dostępu poprzez wykorzystanie którejkolwiek z nich. Używamy Sucuri do zabezpieczania naszych stron internetowych, ponieważ aktywnie blokują one złośliwe żądania. Jednym z powszechnych punktów wejścia, które te boty brute force próbują wykorzystać, jest skanowanie autorów. W tym artykule pokażemy, jak zniechęcić do brute force, blokując skanowanie autorów w WordPress.
Uwaga: Jeśli używasz Limit Login Attempt i Google Authenticator, jesteś całkiem dobrze chroniony przed atakami brute-force.
Najpierw zrozumiejmy, co te próby brute force próbują osiągnąć. Na początku próbują znaleźć nazwę użytkownika na Twoim blogu lub identyfikator autora. Często nazwa użytkownika używana do logowania się do WordPressa i nazwa autora są takie same. Gdy znajdą nazwę użytkownika, rozwiązują 50% zagadki. Teraz próbują złamać hasło, próbując różnych kombinacji haseł.
Aby zablokować skanowanie autorów na swojej stronie, po prostu dodaj ten kod do pliku .htaccess w głównym katalogu WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
To zablokuje boty przed przeprowadzaniem skanów autorów na Twojej stronie internetowej. Użytkownicy Twojej strony internetowej nadal będą mogli uzyskać dostęp do stron autorów, ale boty nie będą mogły tego zrobić.
Mamy nadzieję, że ta wskazówka okazała się przydatna. Chcemy podkreślić, że nie zapobiega to atakom brute force. Jest to tylko środek ostrożności, który możesz podjąć, aby zniechęcić hakera. Kiedy ktoś desperacko chce zaatakować Twoją witrynę, znajdzie sposób, aby to zrobić. Zdecydowanie zalecamy używanie Sucuri i regularne tworzenie kopii zapasowych WordPress. P.S. oto 5 powodów, dla których używamy Sucuri.
Ta wskazówka została wysłana przez: Ian Armstrong
Julian
Witam. Kod blokujący skanowanie autorów spowodował błąd 404 na niektórych stronach. Po usunięciu tego kodu z mojego pliku .htaccess strony ładowały się pomyślnie. Użyłem tego kodu na 2 stronach z dokładnie takimi samymi wynikami.
Rozumiem, że ten tutorial został opublikowany 5 lat temu, czy możesz go proszę zaktualizować?
Wsparcie WPBeginner
Z pewnością przyjrzymy się aktualizacji tego artykułu w przyszłości.
Administrator
Sanskar
Czy to zablokuje również roboty wyszukiwarek i boty Adsense?
Wsparcie WPBeginner
Nie, nie będzie. Zablokuje tylko wtedy, gdy bot próbuje uzyskać dostęp do adresu URL autora za pomocą ciągu zapytania. Boty wyszukiwarek i AdSense indeksują strony, uzyskując dostęp do linków na Twojej witrynie. Jeśli już korzystasz z przyjaznych linków (pretty permalinks), adresy URL autorów będą dostępne dla wyszukiwarek pod linkiem typu /author/Sanskar
Administrator
naw
cześć
jak na serwerze iis proszę?
Mert Can
Cześć,
Jak mogę zablokować ten link? Ktoś próbuje włamać się na moją stronę.
http://example.com/?author=1
Dzięki,
lando
Witaj wpbeginner,
Jak mogę zweryfikować, czy kod działa? Dodałem kod na samym dole mojego pliku .htaccess.
Dzięki
Francis
Dobry samouczek.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Ευχαριστώ για αυτό, παιδιά
Ωραίο και εύκολο να το προσθέσεις στο .htaccess.
Używam limitu logowań i niedawno znalazłem świetną wtyczkę o nazwie Simple Firewall, która dodaje pole wyboru GASP do panelu logowania.
Zgadzam się z wami co do używania Sucuri – całkiem tanio, jeśli się o tym pomyśli, a jeśli używa się jej na kilku stronach, cena za stronę jest jeszcze niższa.
Zimbrul
Nigdy nie używam tego samego użytkownika do autora bloga i administratora strony, ponieważ link do autora i nazwa użytkownika mogą być łatwo wykryte. Zazwyczaj administrator to nazwa użytkownika składająca się z 22+ znaków z hasłem składającym się z 22+ znaków i bardzo trudnym do odgadnięcia adresem e-mail. Odgadnięcie tego zajmie lata. A także mam wtyczkę Limit Login… Nie używam Google Authenticator, ponieważ uniemożliwia mi to logowanie się na stronie za pomocą aplikacji WordPress na telefon.
Rahul
Bardzo przydatne. Dzięki za ten świetny fragment, Ian i WPBeginner.