Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Jak zniechęcić do Brute Force poprzez blokowanie skanowania autorów w WordPress

Powszechną techniką stosowaną przez hakerów w celu uzyskania nieautoryzowanego dostępu do witryn internetowych jest „Brute Force”. Korzystając z tej techniki, hakerzy używają oprogramowania zaprojektowanego do skanowania witryny internetowej w poszukiwaniu luk w zabezpieczeniach i uzyskują dostęp, wykorzystując dowolną z nich. Używamy Sucuri do zabezpieczenia naszych witryn internetowych, ponieważ włączają one aktywne blokowanie złośliwych żądań. Jednym z powszechnych punktów wejścia, które te boty brute force próbują wykorzystać, jest uruchomienie autorskiego skanowania. W tym artykule pokażemy, jak zniechęcić do stosowania metody brute force poprzez blokowanie autorskich skanów w WordPress.

Uwaga: Jeśli korzystasz z Limit Login Attempt i Google Authenticator, to jesteś dość dobrze zabezpieczony przed atakami brute-force.

Najpierw zrozummy, co próbują zrobić te próby brute force. Najpierw próbują znaleźć nazwę użytkownika na twoim blogu lub identyfikator autora. Często nazwa użytkownika używana do logowania się do WordPressa i nazwa autora są takie same. Po znalezieniu nazwy użytkownika rozwiązuje to 50% zagadki. Teraz próbują złamać hasło na twojej witrynie, próbując różnych kombinacji haseł.

Aby zablokować skanowanie autorów na twojej witrynie internetowej, po prostu dodaj ten kod w pliku .htaccess w katalogu głównym WordPress.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

# END block author scans 

.

Spowoduje to zablokowanie botów przed uruchamianiem skanowania autorów w twojej witrynie internetowej. Użytkownicy twojej witryny internetowej nadal będą mogli uzyskać dostęp do stron autorów, ale boty nie będą mogły tego zrobić.

Mamy nadzieję, że ta wskazówka okaże się przydatna. Chcemy podkreślić, że nie zapobiega to atakom typu brute force. Jest to tylko krok ostrzegawczy, który można podjąć, aby zniechęcić hakera. Jeśli ktoś desperacko chce zaatakować twoją witrynę, znajdzie na to sposób. Zdecydowanie zalecamy korzystanie z Sucuri i regularne tworzenie kopii zapasowych WordPress. P.S. oto 5 powodów, dla których używamy Sucuri.

Ta wskazówka została wysłana przez: Ian Armstrong

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Reader Interactions

12 komentarzyZostaw odpowiedź

  1. Julian

    Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.

    I understand this tutorial was published 5 years ago, can you please consider updating it?

    • WPBeginner Support

      We will certainly take a look at updating this article in the future.

      Administrator

  2. Sanskar

    Will this block search engine and Adsense crawlers too?

    • WPBeginner Support

      No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar

      Administrator

  3. naw

    hi
    how about, on iis server please ?

  4. lando

    Hi wpbeginner,

    How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.

    Thanks

  5. Jigar Doshi

    really easy to add the htc access file.
    thanks for the info, guys :)

  6. Keith Davis

    Thanks for this one guys
    Nice and easy to add that to .htaccess.

    I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.

    I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.

  7. Zimbrul

    I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.

  8. Rahul

    Very useful. Thanks for this awesome snippet Ian and WPBeginner.

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.