Una técnica común utilizada por los hackers para obtener acceso no autorizado a sitios web se llama 'Fuerza Bruta'. Usando esta técnica, los hackers utilizan software diseñado para escanear un sitio web en busca de vulnerabilidades y obtener acceso explotando cualquiera de ellas. Nosotros usamos Sucuri para la seguridad de nuestros sitios web porque bloquean activamente las solicitudes maliciosas. Un punto de entrada común que estos bots de fuerza bruta intentan explotar es ejecutando escaneos de autores. En este artículo, le mostraremos cómo disuadir la fuerza bruta bloqueando escaneos de autores en WordPress.
Nota: Si está utilizando Limit Login Attempt y Google Authenticator, entonces está bastante bien protegido contra ataques de fuerza bruta.
Primero, entendamos qué intentan hacer estos intentos de fuerza bruta. Al principio, intentan encontrar un nombre de usuario en su blog o el ID del autor. A menudo, el nombre de usuario utilizado para iniciar sesión en WordPress y el nombre del autor son los mismos. Una vez que encuentran un nombre de usuario, esto resuelve el 50% del rompecabezas. Ahora, intentan forzar su sitio para descifrar la contraseña probando varias combinaciones de contraseñas diferentes.
Para bloquear el escaneo de autores en su sitio web, simplemente agregue este código al archivo .htaccess en el directorio raíz de WordPress.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Esto bloqueará a los bots para que no ejecuten escaneos de autores en su sitio web. Sus usuarios del sitio web aún podrán acceder a las páginas de autores, pero los bots no podrán hacerlo.
Esperamos que este consejo te haya sido útil. Queremos enfatizar que esto no previene los ataques de fuerza bruta. Este es solo un paso de precaución que puedes tomar para disuadir al hacker. Cuando alguien realmente quiere atacar tu sitio, encontrará una manera de hacerlo. Recomendamos encarecidamente que uses Sucuri y mantengas copias de seguridad regulares de WordPress. P.D. aquí tienes 5 razones por las que usamos Sucuri.
Este consejo fue enviado por: Ian Armstrong
Julian
Hola. El código para bloquear escaneos de autor causó un error 404 en algunas páginas. Después de eliminar este código de mi archivo .htaccess, las páginas se cargaron correctamente. Usé este código en 2 sitios con exactamente los mismos resultados.
Entiendo que este tutorial se publicó hace 5 años, ¿podrías considerar actualizarlo?
Soporte de WPBeginner
Ciertamente echaremos un vistazo a la actualización de este artículo en el futuro.
Administrador
Sanskar
¿Esto también bloqueará los rastreadores de motores de búsqueda y AdSense?
Soporte de WPBeginner
No, no lo hará. Solo bloqueará si un bot intenta acceder a la URL del autor usando una cadena de consulta. Los rastreadores de búsqueda y AdSense rastrean páginas accediendo a enlaces en tu sitio. Si ya estás usando permalinks bonitos, tus URLs de autor serán accesibles para los motores de búsqueda con un enlace como /author/Sanskar
Administrador
naw
hola
¿qué tal, en el servidor iis por favor?
Mert Can
Hola,
¿Cómo puedo bloquear este enlace? Alguien está intentando hackear mi sitio web.
http://example.com/?author=1
Gracias,
lando
Hola wpbeginner,
¿Cómo verifico si el código funciona? He agregado el código al final de mi archivo .htaccess.
Gracias
Francis
Buen tutorial.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Gracias por esta, chicos.
Fácil y sencillo de agregar eso a .htaccess.
Uso el plugin Limit Logins y recientemente encontré uno genial llamado Simple Firewall, que agrega una casilla de verificación GASP a tu panel de inicio de sesión.
Estoy de acuerdo con ustedes sobre usar Sucuri: es bastante barato si lo piensas y si lo usas en varios sitios, el precio por sitio es aún más económico.
Zimbrul
Nunca uso el mismo usuario para el autor del blog y el administrador del sitio, ya que el enlace del autor y el nombre de usuario se pueden descubrir fácilmente. Normalmente, el administrador tiene un nombre de usuario de más de 22 caracteres con una contraseña de más de 22 caracteres y una dirección de correo electrónico muy difícil de adivinar. Esto tardará años en adivinarse. Y también tengo el plugin Limit Login... No uso Google Authenticator, ya que esto me impide iniciar sesión en un sitio web usando la aplicación de WordPress para móviles.
Rahul
Muy útil. Gracias por este increíble fragmento, Ian y WPBeginner.