Một kỹ thuật phổ biến được tin tặc sử dụng để truy cập trái phép vào các trang web được gọi là ‘Brute Force’. Sử dụng kỹ thuật này, tin tặc sử dụng phần mềm được thiết kế để quét trang web tìm lỗ hổng bảo mật và truy cập bằng cách khai thác bất kỳ lỗ hổng nào trong số đó. Chúng tôi sử dụng Sucuri để bảo mật các trang web của mình vì chúng chủ động chặn các yêu cầu độc hại. Một điểm vào phổ biến mà các bot brute force này cố gắng khai thác là chạy quét tác giả. Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách ngăn chặn hành vi vũ phu bằng cách chặn quét tác giả trong WordPress.
Lưu ý: Nếu bạn đang sử dụng Limit Login Attempt và Google Authenticator , thì bạn được bảo vệ khá tốt trước các cuộc tấn công brute-force.
Trước tiên, hãy hiểu những gì những nỗ lực vũ phu này đang cố gắng làm. Lúc đầu, họ cố gắng tìm tên người dùng trên blog của bạn hoặc id tác giả. Tên người dùng thường được sử dụng để đăng nhập vào WordPress và tên tác giả giống nhau. Khi họ tìm thấy tên người dùng, điều này sẽ giải quyết được 50% câu đố. Giờ đây, họ bắt buộc trang web của bạn bẻ khóa mật khẩu bằng cách thử nhiều cách kết hợp mật khẩu khác nhau.
Để chặn việc quét tác giả trên trang web của bạn, chỉ cần thêm mã này vào .htaccess trong thư mục gốc của WordPress.
# BEGIN block author scans RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (author=d+) [NC] RewriteRule .* - [F] # END block author scans
Điều này sẽ chặn không cho bot chạy quét tác giả trên trang web của bạn. Người dùng trang web của bạn vẫn có thể truy cập các trang của tác giả, nhưng bot sẽ không thể làm như vậy.
Chúng tôi hy vọng rằng bạn thấy mẹo này hữu ích. Chúng tôi muốn nhấn mạnh rằng điều này không ngăn chặn các cuộc tấn công vũ phu. Đây chỉ là một bước cảnh báo mà bạn có thể thực hiện để ngăn chặn tin tặc. Khi ai đó cực kỳ muốn tấn công trang web của bạn, thì họ sẽ tìm cách làm như vậy. Chúng tôi thực sự khuyên bạn nên sử dụng Sucuri và giữ các bản sao lưu WordPress thường xuyên. PS đây là 5 lý do tại sao chúng tôi sử dụng Sucuri .