Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Cómo desalentar la fuerza bruta bloqueando los exploradores de autor en WordPress

Una técnica común utilizada por los piratas informáticos para obtener acceso no autorizado a sitios web se denomina “fuerza bruta”. Mediante esta técnica, los hackers utilizan software diseñado para explorar un sitio web en busca de vulnerabilidades y obtener acceso explotando cualquiera de ellas. Utilizamos Sucuri para la seguridad de nuestros sitios web porque bloquean activamente las solicitudes malintencionadas. Un punto de entrada común que estos bots de fuerza bruta intentan explotar es ejecutando un autor scans. En este artículo, le mostraremos cómo desalentar la fuerza bruta bloqueando los author scans en WordPress.

Nota: Si está utilizando Limitar el intento de acceso y Google Authenticator, entonces está bastante bien protegido contra los ataques de fuerza bruta.

Primero vamos a entender lo que estos intentos de fuerza bruta están tratando de hacer. Al principio intentan encontrar un nombre de usuario en tu blog o el identificador de autor. A menudo el nombre de usuario utilizado para acceder a WordPress y el nombre de autor son el mismo. Una vez que encuentran un nombre de usuario, esto resuelve el 50% del rompecabezas. Ahora hacen fuerza bruta en su sitio para descifrar la contraseña probando varias combinaciones de contraseñas diferentes.

Para bloquear el autor explorar en su sitio web, sólo tiene que añadir este código en el archivo .htaccess en el directorio raíz de WordPress.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

# END block author scans 

Esto bloqueará que los bots ejecuten exploraciones de autor en su sitio web. Los usuarios de su sitio web podrán seguir accediendo a las páginas de autor, pero los bots no podrán hacerlo.

Esperamos que este consejo le haya resultado útil. Queremos hacer hincapié en que esto no impide los ataques de fuerza bruta. Es sólo una medida de precaución que puedes tomar para disuadir al hacker. Si alguien desea desesperadamente atacar su sitio, encontrará la forma de hacerlo. Le recomendamos encarecidamente que utilice Sucuri y mantenga copias de seguridad regulares de WordPress. P.D. Aquí hay 5 razones por las que usamos Sucuri.

Este tip fue enviado por: Ian Armstrong

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

12 comentariosDeja una respuesta

  1. Julian

    Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.

    I understand this tutorial was published 5 years ago, can you please consider updating it?

    • WPBeginner Support

      We will certainly take a look at updating this article in the future.

      Administrador

  2. Sanskar

    Will this block search engine and Adsense crawlers too?

    • WPBeginner Support

      No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar

      Administrador

  3. naw

    hi
    how about, on iis server please ?

  4. lando

    Hi wpbeginner,

    How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.

    Thanks

  5. Jigar Doshi

    really easy to add the htc access file.
    thanks for the info, guys :)

  6. Keith Davis

    Thanks for this one guys
    Nice and easy to add that to .htaccess.

    I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.

    I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.

  7. Zimbrul

    I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.

  8. Rahul

    Very useful. Thanks for this awesome snippet Ian and WPBeginner.

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.