Powszechną techniką stosowaną przez hakerów w celu uzyskania nieautoryzowanego dostępu do stron internetowych jest tzw. „Brute Force”. Używając tej techniki, hakerzy wykorzystują oprogramowanie zaprojektowane do skanowania strony internetowej w poszukiwaniu luk i uzyskiwania dostępu poprzez wykorzystanie którejkolwiek z nich. Używamy Sucuri do zabezpieczania naszych stron internetowych, ponieważ aktywnie blokują złośliwe żądania. Jednym z powszechnych punktów wejścia, które te boty brute force próbują wykorzystać, jest przeprowadzanie skanów autorów. W tym artykule pokażemy, jak zniechęcić do ataków brute force poprzez blokowanie skanów autorów w WordPressie.
Uwaga: Jeśli używasz Limit Login Attempt i Google Authenticator, jesteś dość dobrze chroniony przed atakami typu brute-force.
Najpierw zrozumiejmy, co te próby brute force próbują osiągnąć. Na początku próbują znaleźć nazwę użytkownika na Twoim blogu lub identyfikator autora. Często nazwa użytkownika używana do logowania się do WordPressa i nazwa autora są takie same. Gdy znajdą nazwę użytkownika, rozwiązują 50% zagadki. Teraz próbują złamać hasło, próbując różnych kombinacji haseł.
Aby zablokować skanowanie autorów na swojej stronie, po prostu dodaj ten kod do pliku .htaccess w głównym katalogu WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
To zablokuje boty przed przeprowadzaniem skanów autorów na Twojej stronie internetowej. Użytkownicy Twojej strony internetowej nadal będą mogli uzyskać dostęp do stron autorów, ale boty nie będą mogły tego zrobić.
Mamy nadzieję, że ta wskazówka okazała się przydatna. Chcemy podkreślić, że nie zapobiega to atakom typu brute force. Jest to jedynie środek ostrożności, który możesz podjąć, aby zniechęcić hakera. Kiedy ktoś desperacko chce zaatakować Twoją witrynę, znajdzie sposób, aby to zrobić. Zdecydowanie zalecamy korzystanie z Sucuri i regularne tworzenie kopii zapasowych WordPress. P.S. oto 5 powodów, dla których używamy Sucuri.
Ta wskazówka została wysłana przez: Ian Armstrong
Julian
Witam. Kod blokujący skanowanie autorów spowodował błąd 404 na niektórych stronach. Po usunięciu tego kodu z mojego pliku .htaccess strony ładowały się pomyślnie. Użyłem tego kodu na 2 stronach z dokładnie takimi samymi wynikami.
Rozumiem, że ten tutorial został opublikowany 5 lat temu, czy możesz go proszę zaktualizować?
Wsparcie WPBeginner
Z pewnością przyjrzymy się aktualizacji tego artykułu w przyszłości.
Admin
Sanskar
Czy to zablokuje również roboty wyszukiwarek i boty Adsense?
Wsparcie WPBeginner
Nie, nie będzie. Zablokuje tylko wtedy, gdy bot próbuje uzyskać dostęp do adresu URL autora za pomocą ciągu zapytania. Boty wyszukiwarek i AdSense indeksują strony, uzyskując dostęp do linków na Twojej witrynie. Jeśli już korzystasz z przyjaznych linków (pretty permalinks), adresy URL autorów będą dostępne dla wyszukiwarek pod linkiem typu /author/Sanskar
Admin
naw
cześć
jak na serwerze iis proszę?
Mert Can
Cześć,
Jak mogę zablokować ten link? Ktoś próbuje włamać się na moją stronę.
http://example.com/?author=1
Dzięki,
lando
Witaj wpbeginner,
Jak mogę zweryfikować, czy kod działa? Dodałem kod na samym dole mojego pliku .htaccess.
Dzięki
Francis
Dobry samouczek.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Ευχαριστώ για αυτό, παιδιά
Ωραίο και εύκολο να το προσθέσεις στο .htaccess.
Używam limitu logowań i niedawno znalazłem świetną wtyczkę o nazwie Simple Firewall, która dodaje pole wyboru GASP do panelu logowania.
Zgadzam się z wami co do używania Sucuri – całkiem tanio, jeśli się o tym pomyśli, a jeśli używa się jej na kilku stronach, cena za stronę jest jeszcze niższa.
Zimbrul
Nigdy nie używam tego samego użytkownika do autora bloga i administratora strony, ponieważ link do autora i nazwa użytkownika mogą być łatwo wykryte. Zazwyczaj administrator to nazwa użytkownika składająca się z 22+ znaków z hasłem składającym się z 22+ znaków i bardzo trudnym do odgadnięcia adresem e-mail. Odgadnięcie tego zajmie lata. A także mam wtyczkę Limit Login… Nie używam Google Authenticator, ponieważ uniemożliwia mi to logowanie się na stronie za pomocą aplikacji WordPress na telefon.
Rahul
Bardzo przydatne. Dzięki za ten świetny fragment, Ian i WPBeginner.