Eine gängige Technik, die Hacker anwenden, um unbefugten Zugriff auf Websites zu erlangen, wird als „Brute Force“ bezeichnet. Mit dieser Technik nutzen Hacker Software, die darauf ausgelegt ist, eine Website auf Schwachstellen zu scannen und durch Ausnutzung einer dieser Schwachstellen Zugriff zu erlangen. Wir nutzen Sucuri für die Sicherheit unserer Websites, da sie bösartige Anfragen aktiv blockieren. Ein häufiger Einstiegspunkt, den diese Brute-Force-Bots auszunutzen versuchen, ist das Ausführen von Autoren-Scans. In diesem Artikel zeigen wir Ihnen, wie Sie Brute-Force-Angriffe durch Blockieren von Autoren-Scans in WordPress verhindern können.
Hinweis: Wenn Sie Limit Login Attempt und Google Authenticator verwenden, sind Sie ziemlich gut gegen Brute-Force-Angriffe geschützt.
Zuerst wollen wir verstehen, was diese Brute-Force-Versuche bezwecken. Zuerst versuchen sie, einen Benutzernamen auf Ihrem Blog oder die Autoren-ID zu finden. Oft sind der Benutzername, der zur Anmeldung bei WordPress verwendet wird, und der Autorenname identisch. Sobald sie einen Benutzernamen gefunden haben, ist die Hälfte des Rätsels gelöst. Nun versuchen sie per Brute-Force, Ihr Passwort zu knacken, indem sie verschiedene Passwortkombinationen ausprobieren.
Um das Autoren-Scanning auf Ihrer Website zu blockieren, fügen Sie einfach diesen Code in die Datei .htaccess im Stammverzeichnis von WordPress ein.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Dies blockiert Bots daran, Autoren-Scans auf Ihrer Website auszuführen. Ihre Website-Benutzer können weiterhin auf die Autorenseiten zugreifen, aber Bots können dies nicht tun.
Wir hoffen, dass dieser Tipp für Sie nützlich war. Wir möchten betonen, dass dies Brute-Force-Angriffe nicht verhindert. Dies ist nur ein vorsorglicher Schritt, den Sie unternehmen können, um den Hacker abzuschrecken. Wenn jemand unbedingt Ihre Website angreifen möchte, wird er einen Weg finden, dies zu tun. Wir empfehlen dringend, Sucuri zu verwenden und regelmäßige WordPress-Backups zu erstellen. P.S. Hier sind 5 Gründe, warum wir Sucuri verwenden.
Dieser Tipp wurde gesendet von: Ian Armstrong
Julian
Hallo. Der Code zum Blockieren von Autoren-Scans verursachte auf einigen Seiten einen 404-Fehler. Nach dem Entfernen dieses Codes aus meiner .htaccess-Datei wurden die Seiten erfolgreich geladen. Ich habe diesen Code auf 2 Websites mit exakt denselben Ergebnissen verwendet.
Ich verstehe, dass dieses Tutorial vor 5 Jahren veröffentlicht wurde. Könnten Sie es bitte aktualisieren?
WPBeginner Support
Wir werden uns sicherlich darum kümmern, diesen Artikel in Zukunft zu aktualisieren.
Admin
Sanskar
Blockiert dies auch Suchmaschinen- und AdSense-Crawler?
WPBeginner Support
Nein, das wird es nicht. Es wird nur blockiert, wenn ein Bot versucht, über eine Abfragezeichenfolge auf die Autoren-URL zuzugreifen. Such- und AdSense-Crawler crawlen Seiten, indem sie auf Links auf Ihrer Website zugreifen. Wenn Sie bereits Pretty Permalinks verwenden, sind Ihre Autoren-URLs für Suchmaschinen mit einem Link wie /author/Sanskar zugänglich.
Admin
naw
Hallo
Wie wäre es, auf dem IIS-Server bitte?
Mert Can
Hallo,
Wie kann ich diesen Link blockieren? Jemand versucht, meine Website zu hacken.
http://example.com/?author=1
Danke,
lando
Hallo wpbeginner,
Wie kann ich überprüfen, ob der Code funktioniert? Ich habe den Code ganz unten in meine .htaccess-Datei eingefügt.
Danke
Francis
Nettes Tutorial.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Danke dafür, Leute.
Schön und einfach, das zu .htaccess hinzuzufügen.
Ich benutze Limit Logins und habe kürzlich ein großartiges Plugin namens Simple Firewall gefunden, das Ihrem Login-Panel eine GASP-Checkbox hinzufügt.
Ich bin mit euch einig, was die Nutzung von Sucuri angeht – ziemlich günstig, wenn man darüber nachdenkt, und wenn man es auf mehreren Websites nutzt, ist der Preis pro Website noch günstiger.
Zimbrul
Ich benutze niemals denselben Benutzer für den Blog-Autor und den Website-Administrator, da der Autorenlink und der Benutzername leicht herauszufinden sind. Normalerweise ist der Administrator ein Benutzername mit 22+ Zeichen, ein Passwort mit 22+ Zeichen und eine E-Mail-Adresse, die sehr schwer zu erraten ist. Das wird Jahre dauern, um es zu erraten. Und ich habe auch das Limit Login Plugin… Ich benutze Google Authenticator nicht, da dies mich daran hindert, mich mit der WordPress-Anwendung für Mobilgeräte auf einer Website anzumelden.
Rahul
Sehr nützlich. Danke für diesen großartigen Schnipsel, Ian und WPBeginner.