O tehnică comună folosită de hackeri pentru a obține acces neautorizat la site-uri web se numește „Brute Force”. Folosind această tehnică, hackerii folosesc software conceput pentru a scana un site web pentru vulnerabilități și a obține acces prin exploatarea oricăreia dintre ele. Folosim Sucuri pentru securitatea site-urilor noastre web, deoarece blochează activ solicitările malițioase. Un punct de intrare comun pe care aceste bot-uri brute force încearcă să-l exploateze este prin rularea scanărilor de autori. În acest articol, vă vom arăta cum să descurajați atacurile brute force blocând scanările de autori în WordPress.
Notă: Dacă utilizați Limit Login Attempt și Google Authenticator, atunci sunteți destul de bine protejat împotriva atacurilor de tip brute-force.
Mai întâi să înțelegem ce încearcă să facă aceste încercări brute force. La început, ei încearcă să găsească un nume de utilizator pe blogul dvs. sau ID-ul autorului. Adesea, numele de utilizator folosit pentru a vă conecta la WordPress și numele autorului sunt aceleași. Odată ce găsesc un nume de utilizator, aceasta rezolvă 50% din puzzle. Acum, ei atacă prin forță brută site-ul dvs. pentru a sparge parola, încercând diverse combinații de parole.
Pentru a bloca scanarea autorilor pe site-ul dvs., pur și simplu adăugați acest cod în fișierul .htaccess din directorul rădăcină WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Acest lucru va bloca bot-urile de la rularea scanărilor de autori pe site-ul dvs. web. Utilizatorii site-ului dvs. web pot accesa în continuare paginile autorilor, dar bot-urile nu vor putea face acest lucru.
Sperăm că ați găsit util acest sfat. Dorim să subliniem că acest lucru nu previne atacurile de tip brute-force. Acesta este doar un pas de precauție pe care îl puteți lua pentru a descuraja hackerul. Când cineva dorește cu disperare să vă atace site-ul, va găsi o modalitate de a face acest lucru. Vă recomandăm cu tărie să utilizați Sucuri și să păstrați copii de rezervă regulate ale WordPress. P.S. iată 5 motive pentru care folosim Sucuri.
Acest sfat a fost trimis de: Ian Armstrong
Julian
Salut. Codul pentru a bloca scanările de autori a cauzat o eroare 404 pe unele pagini. După ce am eliminat acest cod din fișierul meu .htaccess, paginile s-au încărcat cu succes. Am folosit acest cod pe 2 site-uri cu exact aceleași rezultate.
Înțeleg că acest tutorial a fost publicat acum 5 ani, puteți, vă rog, să luați în considerare actualizarea lui?
Suport WPBeginner
Cu siguranță vom analiza actualizarea acestui articol în viitor.
Admin
Sanskar
Va bloca și roboții motoarelor de căutare și ai Adsense?
Suport WPBeginner
Nu, nu va funcționa. Va bloca doar dacă un bot încearcă să acceseze URL-ul autorului folosind un șir de interogare. Căutările și crawler-ele AdSense accesează paginile accesând link-urile de pe site-ul dvs. Dacă utilizați deja permalinks frumoase, atunci URL-urile dvs. de autor vor fi accesibile motoarelor de căutare cu un link de genul /author/Sanskar
Admin
naw
salut
ce zici, pe serverul iis te rog ?
Mert Can
Salut,
Cum pot bloca acest link? Cineva încearcă să-mi sparg site-ul.
http://example.com/?author=1
Mulțumesc,
lando
Salut wpbeginner,
Cum pot verifica dacă codul funcționează? Am adăugat codul la sfârșitul fișierului meu .htaccess.
Mulțumesc
Francis
Tutorial drăguț.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Ευχαριστώ για αυτό, παιδιά
Ωραίο και εύκολο να το προσθέσετε στο .htaccess.
Folosesc limita de autentificări și am găsit recent un plugin grozav numit Simple Firewall, care adaugă o casetă de selectare GASP la panoul dvs. de autentificare.
Sunt de acord cu voi în ceea ce privește utilizarea Sucuri – destul de ieftin când te gândești la asta și dacă îl folosești pe mai multe site-uri, prețul pe site este și mai ieftin.
Zimbrul
Nu folosesc niciodată același utilizator pentru autorul blogului și administratorul site-ului, deoarece linkul autorului și numele de utilizator pot fi găsite cu ușurință. De obicei, administratorul este un nume de utilizator de 22+ caractere cu o parolă de 22+ caractere și o adresă de e-mail foarte greu de ghicit. Va dura ani de zile pentru a ghici. Și am și pluginul Limit login… Nu folosesc autentificatorul Google, deoarece acest lucru mă împiedică să mă conectez la un site web folosind aplicația WordPress pentru mobil.
Rahul
Foarte util. Mulțumim pentru această secțiune de cod grozavă, Ian și WPBeginner.