En vanlig teknik som hackare använder för att få obehörig åtkomst till webbplatser kallas 'Brute Force'. Med den här tekniken använder hackare programvara som är utformad för att skanna en webbplats efter sårbarheter och få åtkomst genom att utnyttja någon av dem. Vi använder Sucuri för säkerheten på våra webbplatser eftersom de aktivt blockerar skadliga förfrågningar. En vanlig ingångspunkt som dessa brute force-robotar försöker utnyttja är genom att köra författarskanningar. I den här artikeln visar vi hur du avskräcker brute force genom att blockera författarskanningar i WordPress.
Notera: Om du använder Limit Login Attempt och Google Authenticator, då är du ganska väl skyddad mot brute-force-attacker.
Låt oss först förstå vad dessa brute force-försök försöker göra. Först försöker de hitta ett användarnamn på din blogg eller författar-ID. Ofta är användarnamnet som används för att logga in på WordPress och författarnamnet detsamma. När de hittar ett användarnamn, löser det 50% av pusslet. Nu brute-forcerar de din webbplats för att knäcka lösenordet genom att prova olika lösenordskombinationer.
För att blockera författarskanning på din webbplats, lägg helt enkelt till denna kod i .htaccess-filen i WordPress rotkatalog.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Detta kommer att blockera robotar från att köra författarskanningar på din webbplats. Dina webbplatsanvändare kan fortfarande komma åt författarsidorna, men robotar kommer inte att kunna göra det.
Vi hoppas att du fann detta tips användbart. Vi vill betona att detta inte förhindrar brute force-attacker. Detta är bara ett försiktighetssteg som du kan ta för att avskräcka hackaren. När någon desperat vill attackera din webbplats, kommer de att hitta ett sätt att göra det. Vi rekommenderar starkt att du använder Sucuri och gör regelbundna säkerhetskopior av WordPress. PS. här är 5 anledningar till varför vi använder Sucuri.
Detta tips skickades av: Ian Armstrong
Julian
Hej. Koden för att blockera författar-skanningar orsakade ett 404-fel på vissa sidor. Efter att ha tagit bort denna kod från min .htaccess-fil laddades sidorna framgångsrikt. Jag använde denna kod på 2 webbplatser med exakt samma resultat.
Jag förstår att den här handledningen publicerades för 5 år sedan, kan du överväga att uppdatera den?
WPBeginner Support
Vi kommer absolut att titta på att uppdatera den här artikeln i framtiden.
Admin
Sanskar
Kommer detta att blockera sökmotorer och Adsense-crawlers också?
WPBeginner Support
Nej, det kommer det inte att göra. Det kommer bara att blockera om en bot försöker komma åt författarens URL med en frågesträng. Sök- och AdSense-crawlers genomsöker sidor genom att komma åt länkar på din webbplats. Om du redan använder snygga permalänkar kommer dina författar-URL:er att vara tillgängliga för sökmotorer med en länk som /author/Sanskar
Admin
naw
hej
hur är det, på iis server tack?
Mert Can
Hej,
Hur kan jag blockera den här länken? Någon försöker hacka min webbplats.
http://example.com/?author=1
Tack,
lando
Hej wpbeginner,
Hur verifierar jag att koden fungerar? Jag har lagt till koden längst ner i min .htaccess-fil.
Tack
Francis
Fin handledning.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Tack för den här killar
Bra och enkelt att lägga till det i .htaccess.
Jag använder Limit logins och jag hittade nyligen ett bra plugin som heter Simple Firewall, som lägger till en GASP-kryssruta till din inloggningspanel.
Jag håller med er om att använda Sucuri – ganska billigt när man tänker efter och om man använder det på flera webbplatser är priset per webbplats ännu billigare.
Zimbrul
Jag använder aldrig samma användare för bloggförfattaren och webbplatsadministratören eftersom författarlänken och användarnamnet lätt kan hittas. Vanligtvis är administratören ett användarnamn med 22+ tecken med ett lösenord med 22+ tecken och en e-postadress som är mycket svår att gissa. Detta kommer att ta år att gissa. Och jag skaffade också Limit login-pluginet... Jag använder inte Google Authenticator eftersom det hindrar mig från att logga in på en webbplats med WordPress-applikationen för mobil.
Rahul
Mycket användbart. Tack för detta fantastiska utdrag Ian och WPBeginner.