Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Como desencorajar a força bruta bloqueando as varreduras de autor no WordPress

Uma técnica comum usada por hackers para obter acesso não autorizado a sites é chamada de “Brute Force”. Por meio dessa técnica, os hackers usam um software projetado para examinar um site em busca de vulnerabilidades e obter acesso explorando qualquer uma delas. Usamos a Sucuri para a segurança de nossos sites porque ela bloqueia ativamente solicitações mal-intencionadas. Um ponto de entrada comum que esses bots de força bruta tentam explorar é a execução de varreduras de autor. Neste artigo, mostraremos como desencorajar a força bruta bloqueando as varreduras de autor no WordPress.

Observação: Se estiver usando Limit Login Attempt e Google Authenticator, você estará muito bem protegido contra ataques de força bruta.

Primeiro, vamos entender o que essas tentativas de força bruta estão tentando fazer. Primeiro, elas tentam encontrar um nome de usuário no seu blog ou o ID do autor. Geralmente, o nome de usuário usado para fazer login no WordPress e o nome do autor são os mesmos. Quando eles encontram um nome de usuário, isso resolve 50% do quebra-cabeça. Agora, eles fazem força bruta em seu site para descobrir a senha, tentando várias combinações diferentes de senha.

Para bloquear a verificação do autor em seu site, basta adicionar este código ao arquivo .htaccess no diretório raiz do WordPress.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

# END block author scans 

Isso impedirá que os bots executem varreduras de autor em seu site. Os usuários do seu site ainda poderão acessar as páginas de autor, mas os bots não poderão fazer isso.

Esperamos que você tenha achado essa dica útil. Gostaríamos de enfatizar que isso não impede ataques de força bruta. Trata-se apenas de uma medida de precaução que você pode adotar para desencorajar o hacker. Quando alguém quer desesperadamente atacar seu site, ele encontrará uma maneira de fazê-lo. Recomendamos enfaticamente que você use o Sucuri e mantenha backups regulares do WordPress. P.S. Aqui estão 5 motivos pelos quais usamos a Sucuri.

Esta dica foi enviada por: Ian Armstrong

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

12 ComentáriosDeixe uma resposta

  1. Julian

    Hello. The code to block author scans caused a 404 error on some pages. After removing this code from my .htaccess file, the pages loaded successfully. I used this code on 2 sites with the exact same results.

    I understand this tutorial was published 5 years ago, can you please consider updating it?

    • WPBeginner Support

      We will certainly take a look at updating this article in the future.

      Administrador

  2. Sanskar

    Will this block search engine and Adsense crawlers too?

    • WPBeginner Support

      No it will not. It will only block if a bot is trying to access the author url using query string. Search and adsense crawlers crawl pages by accesing links on your site. If you are already using pretty permalinks then your author URLs will be accessible to search engines with a link like /author/Sanskar

      Administrador

  3. naw

    hi
    how about, on iis server please ?

  4. lando

    Hi wpbeginner,

    How do I verify if the code works? I have added the code at the very bottom of my .htaccess file.

    Thanks

  5. Jigar Doshi

    really easy to add the htc access file.
    thanks for the info, guys :)

  6. Keith Davis

    Thanks for this one guys
    Nice and easy to add that to .htaccess.

    I use the limit logins and I recently found a great plugin called Simple Firewall, which adds a GASP checkbox to your login panel.

    I’m with you guys about using Sucuri – pretty cheap when you think about it and if you use it on several sites, price per site is even cheaper.

  7. Zimbrul

    I never use the same user for the blog author and the site admin as the author link and username can be easily found out. Usualy the admin is a 22+ characters username with a 22+ characters password and a very difficult to guess email address. This will take years to guess. And I also got the Limit login plugin… I don t use Google authenticator as this forbid me to log on a website using the WordPress application for mobile.

  8. Rahul

    Very useful. Thanks for this awesome snippet Ian and WPBeginner.

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.