Cómo desalentar la fuerza bruta mediante el bloqueo de los escaneos de autor en WordPress

Una técnica común utilizada por los hackers para obtener acceso no autorizado a los sitios web se llama «fuerza bruta». Utilizando esta técnica, los hackers utilizan software diseñado para escanear un sitio web en busca de vulnerabilidades y obtener acceso explotando cualquiera de ellas. Utilizamos Sucuri para la seguridad de nuestros sitios web porque bloquean activamente las peticiones maliciosas. Un punto de entrada común que estos robots de fuerza bruta intentan explotar es ejecutando un análisis de autor. En este artículo, le mostraremos cómo desalentar la fuerza bruta bloqueando los escaneos de autor en WordPress.

Nota: si utilizas Limit Login Attempt y Google Authenticator, estás bastante bien protegido contra los ataques de fuerza bruta.

Primero vamos a entender lo que estos intentos de fuerza bruta están tratando de hacer. Al principio intentan encontrar un nombre de usuario en tu blog o en el ID del autor. A menudo el nombre de usuario utilizado para acceder a WordPress y el nombre del autor son los mismos. Una vez que encuentran un nombre de usuario, esto resuelve el 50% del rompecabezas. Ahora ellos fuerzan a su sitio web a descifrar la contraseña probando varias combinaciones de contraseñas diferentes.

Para bloquear el escaneo de autores en su sitio web, simplemente agregue este código en el archivo.htaccess en el directorio raíz de WordPress.

12345678# BEGIN autor del bloque escanea RewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} (author=d+)[NC]RewriteRule .* -[F] # ENDblock author scans

Esto impedirá que los robots ejecuten análisis de autor en su sitio web. Los usuarios de su sitio web pueden acceder a las páginas del autor, pero los robots no podrán hacerlo.

Esperamos que este consejo le haya sido útil. Queremos hacer hincapié en que esto no impide los ataques de fuerza bruta. Esto es sólo una medida de precaución que puede tomar para desalentar al hacker. Cuando alguien desea desesperadamente atacar su sitio, entonces encontrará una manera de hacerlo. Recomendamos encarecidamente que utilice Sucuri y mantenga copias de seguridad regulares de WordPress. P.D. Aquí hay 5 razones por las que usamos Sucuri.

Este consejo fue enviado por: Ian Armstrong

Deja un comentario