黑客用于未经授权访问网站的常用技术称为“暴力破解”。利用这种技术,黑客使用旨在扫描网站漏洞的软件,并通过利用其中的任何漏洞来获取访问权限。我们使用Sucuri来保证网站的安全,因为它们会主动阻止恶意请求。这些暴力机器人尝试利用的一个常见入口点是运行作者扫描。在本文中,我们将向您展示如何通过阻止WordPress中的作者扫描来阻止暴力破解。
注意:如果您使用LimitLoginAttempt和GoogleAuthenticator,那么您可以很好地防止暴力攻击。
首先让我们了解这些暴力尝试想要做什么。首先,他们尝试在您的博客上查找用户名或作者ID。通常用于登录WordPress的用户名和作者姓名是相同的。一旦他们找到用户名,就解决了50%的难题。现在,他们通过尝试各种不同的密码组合来暴力破解您的网站密码。
要阻止作者在您的网站上进行扫描,只需将此代码添加到.htaccessWordPress根目录的文件中即可。
#BEGINblockauthorscansRewriteEngineOnRewriteBase/RewriteCond%{QUERY_STRING}(author=\d+)[NC]RewriteRule.*-[F]#ENDblockauthorscans