ハッカーがサイトに不正アクセスするためによく使うテクニックは「ブルートフォース」と呼ばれるものだ。このテクニックを使って、ハッカーはサイトの脆弱性をスキャンするように設計されたソフトウェアを使用し、脆弱性のいずれかを悪用してアクセスします。Sucuriは、悪意のあるリクエストを有効化した上でブロックするため、当社ではサイトのセキュリティにSucuriを使用しています。これらの総当たりボットが悪用しようとする一般的なエントリーポイントの1つは、投稿者スキャンを実行することです。この投稿では、WordPressでオーサースキャンをブロックすることで、ブルートフォースを阻止する方法を紹介します。
注:Limit Login Attemptと Google Authenticatorを使用している場合、ブルートフォース攻撃からかなり保護されている。
まず、ブルートフォースアテンプトが何をしようとしているのかを理解しよう。まず、彼らはあなたのブログのユーザー名や投稿者IDを見つけようとします。WordPressにサインインするためのユーザー名と作者名が同じであることはよくある。ユーザー名が見つかれば、パズルの50%は解決する。次に、彼らはさまざまな異なるパスワードの組み合わせを試して、パスワードをクラックするためにあなたのサイトを総当たりします。
あなたのサイトの作者スキャンをブロックするには、WordPressルートディレクトリの.htaccessファイルに次のコードを追加するだけです。
[cbk1]
これにより、あなたのサイトでボットが投稿者スキャンを実行するのをブロックします。サイトユーザーは投稿者ページにアクセスできますが、ボットはアクセスできません。
このヒントがお役に立てば幸いです。これはブルートフォース攻撃を防ぐものではないことを強調しておきます。これは、ハッカーを思いとどまらせるための注意的なステップにすぎません。誰かがあなたのサイトをどうしても攻撃したい場合、彼らはそうする方法を見つけるでしょう。Sucuriを利用し、WordPressのバックアップを定期的に取ることを強くお勧めする。追伸:私たちがSucuriを利用している5つの理由はこちらです。
このヒントはイアン・アームストロング
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Julian says
Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.
I understand this tutorial was published 5 years ago, can you please consider updating it?
WPBeginner Support says
We will certainly take a look at updating this article in the future.
管理者
Sanskar says
Will this block search engine and Adsense crawlers too?
WPBeginner Support says
No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar
管理者
naw says
hi
how about, on iis server please ?
Mert Can says
Hi,
How can I block this link? Somebody trying to my website to hack.
http://example.com/?author=1
Thanks,
lando says
Hi wpbeginner,
How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.
Thanks
Francis says
Nice tutorial.
Jigar Doshi says
really easy to add the htc access file.
thanks for the info, guys
Keith Davis says
Thanks for this one guys
Nice and easy to add that to .htaccess.
I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.
I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.
Zimbrul says
I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.
Rahul says
Very useful. Thanks for this awesome snippet Ian and WPBeginner.