Uma técnica comum usada por hackers para obter acesso não autorizado a sites é chamada de ‘Força Bruta’. Usando essa técnica, hackers usam software projetado para escanear um site em busca de vulnerabilidades e obter acesso explorando qualquer uma delas. Usamos Sucuri para a segurança de nossos sites porque eles bloqueiam ativamente solicitações maliciosas. Um ponto de entrada comum que esses bots de força bruta tentam explorar é executando varreduras de autor. Neste artigo, mostraremos como desencorajar a força bruta bloqueando varreduras de autor no WordPress.
Observação: Se você estiver usando Limit Login Attempt e Google Authenticator, você estará bem protegido contra ataques de força bruta.
Primeiro, vamos entender o que essas tentativas de força bruta estão tentando fazer. No início, eles tentam encontrar um nome de usuário em seu blog ou o ID do autor. Frequentemente, o nome de usuário usado para fazer login no WordPress e o nome do autor são os mesmos. Uma vez que eles encontram um nome de usuário, isso resolve 50% do quebra-cabeça. Agora eles usam força bruta em seu site para quebrar a senha, tentando várias combinações de senhas diferentes.
Para bloquear a varredura de autor em seu site, basta adicionar este código ao arquivo .htaccess no diretório raiz do WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Isso bloqueará os bots de executar varreduras de autor em seu site. Os usuários do seu site ainda poderão acessar as páginas de autor, mas os bots não poderão fazê-lo.
Esperamos que você tenha achado esta dica útil. Queremos enfatizar que isso não impede ataques de força bruta. Este é apenas um passo de cautela que você pode tomar para desencorajar o hacker. Quando alguém quer desesperadamente atacar seu site, então eles encontrarão uma maneira de fazê-lo. Recomendamos fortemente que você use a Sucuri e mantenha backups regulares do WordPress. P.S. aqui estão 5 razões pelas quais usamos a Sucuri.
Esta dica foi enviada por: Ian Armstrong
Julian
Olá. O código para bloquear varreduras de autor causou um erro 404 em algumas páginas. Após remover este código do meu arquivo .htaccess, as páginas carregaram com sucesso. Usei este código em 2 sites com os mesmos resultados.
Entendo que este tutorial foi publicado há 5 anos, você poderia considerar atualizá-lo?
WPBeginner Support
Certamente daremos uma olhada em atualizar este artigo no futuro.
Admin
Sanskar
Isso também bloqueará os rastreadores de mecanismos de busca e do Adsense?
WPBeginner Support
Não, não vai. Ele só bloqueará se um bot estiver tentando acessar a URL do autor usando uma string de consulta. Rastreadores de busca e de anúncios rastreiam páginas acessando links em seu site. Se você já estiver usando permalinks bonitos, suas URLs de autor serão acessíveis aos mecanismos de busca com um link como /author/Sanskar
Admin
naw
oi
como sobre, no servidor iis por favor?
Mert Can
Olá,
Como posso bloquear este link? Alguém tentando invadir meu site.
http://example.com/?author=1
Obrigado,
lando
Olá wpbeginner,
Como verifico se o código funciona? Adicionei o código no final do meu arquivo .htaccess.
Obrigado
Francis
Bom tutorial.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Obrigado por este, pessoal
Fácil e simples de adicionar isso ao .htaccess.
Eu uso o limit logins e recentemente encontrei um ótimo plugin chamado Simple Firewall, que adiciona uma caixa de seleção GASP ao seu painel de login.
Concordo com vocês sobre o uso do Sucuri – bem barato quando você pensa nisso e se você o usa em vários sites, o preço por site é ainda mais barato.
Zimbrul
Eu nunca uso o mesmo usuário para o autor do blog e o administrador do site, pois o link do autor e o nome de usuário podem ser facilmente descobertos. Geralmente o administrador é um nome de usuário com mais de 22 caracteres, com uma senha de mais de 22 caracteres e um endereço de e-mail muito difícil de adivinhar. Isso levará anos para ser adivinhado. E eu também tenho o plugin Limit Login… Eu não uso o Google Authenticator, pois isso me impede de fazer login em um site usando o aplicativo WordPress para celular.
Rahul
Muito útil. Obrigado por este ótimo snippet Ian e WPBeginner.