Powszechną techniką stosowaną przez hakerów w celu uzyskania nieautoryzowanego dostępu do stron internetowych jest „Brute Force”. Korzystając z tej techniki, hakerzy używają oprogramowania zaprojektowanego do skanowania witryny w poszukiwaniu luk w zabezpieczeniach i uzyskania dostępu poprzez wykorzystanie dowolnego z nich. Używamy Sucuri dla bezpieczeństwa naszych stron internetowych, ponieważ aktywnie blokują one złośliwe żądania. Jednym z powszechnych punktów wejścia, które te boty brute force próbują wykorzystać, jest uruchomienie skanowania autora. W tym artykule pokażemy, jak zniechęcić brutalną siłę, blokując skany autora w WordPress.
Uwaga: Jeśli używasz próby ograniczenia logowania i Google Authenticator, jesteś całkiem dobrze chroniony przed atakami brute-force.
Najpierw pozwala zrozumieć, co te brutalne próby siły próbują zrobić. Na początku próbują znaleźć nazwę Użytkownika na Twoim blogu lub identyfikator autora. Często nazwa użytkownika używana do logowania się do WordPress i nazwa autora są takie same. Gdy znajdą nazwę użytkownika, rozwiązuje to 50% zagadki. Teraz brutalnie zmuszają Twoją witrynę do złamania hasła, próbując różnych kombinacji haseł.
Aby zablokować skanowanie autora na swojej stronie, wystarczy dodać ten kod w .htaccess plik w katalogu głównym WordPress.
# BEGIN Block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author = d+) [NC]
RewriteRule .* - [F]
# END Block author scans
Spowoduje to zablokowanie botów przed uruchomieniem skanowania autorskiego na twojej stronie. Użytkownicy Twojej witryny nadal mogą uzyskać dostęp do stron autorów, ale boty nie będą w stanie tego zrobić.
Mamy nadzieję, że ta wskazówka okazała się przydatna. Chcemy podkreślić, że nie zapobiega to atakom brute force. To tylko przestroga, którą możesz podjąć, aby zniechęcić hakera. Kiedy ktoś desperacko chce zaatakować Twoją witrynę, znajdzie sposób, aby to zrobić. Zdecydowanie zalecamy korzystanie z Sucuri i regularne tworzenie kopii zapasowych WordPress. P. S. oto 5 powodów, dla których używamy Sucuri.
Ta wskazówka została wysłana przez: Ian Armstrong
