Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Wie man Brute Force durch Blockieren von Autoren-Scans in WordPress verhindert

Eine gängige Technik, die von Hackern verwendet wird, um sich unbefugten Zugang zu Websites zu verschaffen, heißt „Brute Force“. Bei dieser Technik verwenden Hacker eine Software, die eine Website nach Schwachstellen durchsucht und sich Zugang verschafft, indem sie eine dieser Schwachstellen ausnutzt. Wir verwenden Sucuri für die Sicherheit unserer Websites, weil es bösartige Anfragen aktiv blockiert. Ein gängiger Einstiegspunkt, den diese Brute-Force-Bots auszunutzen versuchen, ist die Durchführung eines Autorenscans. In diesem Artikel zeigen wir Ihnen, wie Sie Brute-Force-Angriffe verhindern können, indem Sie Autoren-Scans in WordPress blockieren.

Hinweis: Wenn Sie Limit Login Attempt und Google Authenticator verwenden, sind Sie ziemlich gut gegen Brute-Force-Angriffe geschützt.

Lassen Sie uns zunächst verstehen, was diese Brute-Force-Angriffe bezwecken. Zunächst versuchen sie, einen Benutzernamen auf Ihrem Blog oder die Autoren-ID zu finden. Oft sind der Benutzername, mit dem man sich bei WordPress anmeldet, und der Autorenname identisch. Sobald sie einen Benutzernamen gefunden haben, sind damit 50 % des Rätsels gelöst. Jetzt versuchen sie mit roher Gewalt, das Passwort zu knacken, indem sie verschiedene Passwortkombinationen ausprobieren.

Um das Scannen von Autoren auf Ihrer Website zu blockieren, fügen Sie einfach diesen Code in die .htaccess-Datei im WordPress-Stammverzeichnis ein.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

# END block author scans 

Dadurch werden Bots daran gehindert, Autorenscans auf Ihrer Website durchzuführen. Die Benutzer Ihrer Website können weiterhin auf die Autorenseiten zugreifen, aber Bots können dies nicht tun.

Wir hoffen, dass Sie diesen Tipp nützlich fanden. Wir möchten betonen, dass dies keine Brute-Force-Angriffe verhindert. Dies ist lediglich eine Vorsichtsmaßnahme, die Sie ergreifen können, um Hacker zu entmutigen. Wenn jemand verzweifelt versucht, Ihre Website anzugreifen, dann wird er einen Weg finden, dies zu tun. Wir empfehlen Ihnen dringend, Sucuri zu verwenden und regelmäßig WordPress-Backups zu erstellen. P.S. Hier sind 5 Gründe, warum wir Sucuri verwenden.

Dieser Tipp wurde gesendet von: Ian Armstrong

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

12 KommentareEine Antwort hinterlassen

  1. Julian

    Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.

    I understand this tutorial was published 5 years ago, can you please consider updating it?

    • WPBeginner Support

      We will certainly take a look at updating this article in the future.

      Admin

  2. Sanskar

    Will this block search engine and Adsense crawlers too?

    • WPBeginner Support

      No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar

      Admin

  3. naw

    hi
    how about, on iis server please ?

  4. lando

    Hi wpbeginner,

    How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.

    Thanks

  5. Jigar Doshi

    really easy to add the htc access file.
    thanks for the info, guys :)

  6. Keith Davis

    Thanks for this one guys
    Nice and easy to add that to .htaccess.

    I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.

    I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.

  7. Zimbrul

    I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.

  8. Rahul

    Very useful. Thanks for this awesome snippet Ian and WPBeginner.

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.