Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coppa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Come scoraggiare la forza bruta bloccando le scansioni degli autori in WordPress

Una tecnica comunemente utilizzata dagli hacker per ottenere l’accesso non autorizzato ai siti web si chiama “forza bruta”. Con questa tecnica, gli hacker utilizzano un software progettato per scansionare un sito web alla ricerca di vulnerabilità e ottenere l’accesso sfruttando una qualsiasi di esse. Per la sicurezza dei nostri siti web utilizziamo Sucuri, che blocca attivamente le richieste dannose. Un punto di ingresso comune che questi bot a forza bruta cercano di sfruttare è l’esecuzione di scansioni di autori. In questo articolo vi mostreremo come scoraggiare la forza bruta bloccando le scansioni degli autori in WordPress.

Nota: se utilizzate Limita tentativo di accesso e Google Authenticator, siete abbastanza ben protetti dagli attacchi di forza bruta.

Innanzitutto cerchiamo di capire cosa cercano di fare questi tentativi di forza bruta. All’inizio cercano di trovare un nome utente sul blog o l’ID dell’autore. Spesso il nome utente utilizzato per accedere a WordPress e il nome dell’autore sono gli stessi. Una volta trovato il nome utente, questo risolve il 50% del puzzle. Ora forzano brutalmente il vostro sito per decifrare la password provando diverse combinazioni di password.

Per bloccare la scansione degli autori sul vostro sito web, è sufficiente aggiungere questo codice nel file .htaccess nella directory principale di WordPress.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

# END block author scans 

Questo bloccherà i bot dall’eseguire la scansione degli autori sul vostro sito web. Gli utenti del sito web potranno comunque accedere alle pagine degli autori, ma i bot non potranno farlo.

Ci auguriamo che questo suggerimento sia stato utile. Vogliamo sottolineare che questo non impedisce gli attacchi di forza bruta. Si tratta solo di una misura cautelativa che potete adottare per scoraggiare gli hacker. Se qualcuno vuole disperatamente attaccare il vostro sito, troverà il modo di farlo. Vi consigliamo vivamente di utilizzare Sucuri e di effettuare normali backup di WordPress. P.S. Ecco 5 motivi per cui usiamo Sucuri.

Questo suggerimento è stato inviato da: Ian Armstrong

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come WPBeginner è finanziato , perché è importante e come puoi sostenerci. Ecco il nostro processo editoriale .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Il kit di strumenti WordPress definitivo

Ottenete l'accesso gratuito al nostro kit di strumenti - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Reader Interactions

12 commentiLascia una risposta

  1. Julian

    Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.

    I understand this tutorial was published 5 years ago, can you please consider updating it?

    • WPBeginner Support

      We will certainly take a look at updating this article in the future.

      Admin

  2. Sanskar

    Will this block search engine and Adsense crawlers too?

    • WPBeginner Support

      No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar

      Admin

  3. naw

    hi
    how about, on iis server please ?

  4. lando

    Hi wpbeginner,

    How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.

    Thanks

  5. Jigar Doshi

    really easy to add the htc access file.
    thanks for the info, guys :)

  6. Keith Davis

    Thanks for this one guys
    Nice and easy to add that to .htaccess.

    I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.

    I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.

  7. Zimbrul

    I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.

  8. Rahul

    Very useful. Thanks for this awesome snippet Ian and WPBeginner.

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tenga presente che tutti i commenti sono moderati in base alle nostre politica dei commenti e il suo indirizzo e-mail NON sarà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avremo una conversazione personale e significativa.