黑客用来获得未经授权访问网站的常用技术称为“蛮力”。使用这种技术,黑客使用旨在扫描网站的漏洞并通过利用其中任何一个来获得访问权限的软件。我们使用Sucuri来保护我们的网站,因为它们会主动阻止恶意请求。这些蛮力机器人试图利用的一个常见入口点是运行作者扫描。在本文中,我们将向您展示如何通过阻止 WordPress 中的作者扫描来阻止暴力破解。
注意:如果您使用的是Limit Login Attempt和Google Authenticator,那么您可以很好地抵御暴力攻击。
首先让我们了解这些蛮力尝试试图做什么。起初,他们尝试在您的博客或作者 ID 上查找用户名。通常用于登录 WordPress 的用户名和作者姓名相同。一旦他们找到用户名,就解决了 50% 的难题。现在,他们通过尝试各种不同的密码组合来强制您的网站破解密码。
要在您的网站上阻止作者扫描,只需将此代码添加.htaccess到 WordPress 根目录的文件中。
# BEGIN block author scans RewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} (author=\d+) [NC]RewriteRule .* – [F] # END block author scans
这将阻止机器人在您的网站上运行作者扫描。您的网站用户仍然可以访问作者页面,但机器人将无法访问。
我们希望您发现此提示有用。我们要强调的是,这并不能防止暴力攻击。这只是您可以用来阻止黑客的一个警告步骤。当有人拼命想要攻击您的网站时,他们会想办法这样做。我们强烈建议您使用 Sucuri 并定期备份 WordPress。PS 这里是我们使用 Sucuri 的 5 个原因。
此提示由:Ian Armstrong发送