Cómo desalentar la fuerza bruta bloqueando los escaneos de autor en WordPress

Una técnica común utilizada por los piratas informáticos para obtener acceso no autorizado a sitios web se llama “Fuerza bruta”. Con esta técnica, los piratas informáticos utilizan software diseñado para escanear un sitio web en busca de vulnerabilidades y obtener acceso explotando cualquiera de ellas. Usamos Sucuri para la seguridad de nuestros sitios web porque bloquean activamente las solicitudes maliciosas. Un punto de entrada común que estos bots de fuerza bruta intentan explotar es ejecutando un escaneo de autor. En este artículo, le mostraremos cómo desalentar la fuerza bruta bloqueando los escaneos de autor en WordPress.

Nota: si está utilizando el intento de inicio de sesión limitado y el autenticador de Google, está bastante bien protegido contra los ataques de fuerza bruta.

Primero, entendamos qué están tratando de hacer estos intentos de fuerza bruta. Al principio, intentan encontrar un nombre de usuario en su blog o la identificación del autor. A menudo, el nombre de usuario utilizado para iniciar sesión en WordPress y el nombre del autor son los mismos. Una vez que encuentran un nombre de usuario, esto resuelve el 50% del rompecabezas. Ahora, fuerzan brutalmente a su sitio a descifrar la contraseña probando varias combinaciones de contraseñas diferentes.

Para bloquear el escaneo de autor en su sitio web, simplemente agregue este código en el archivo .htaccess en el directorio raíz de WordPress.

# BEGIN block author scans

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule .* - [F]

# END block author scans 

Esto evitará que los bots ejecuten análisis de autor en su sitio web. Los usuarios de su sitio web aún pueden acceder a las páginas del autor, pero los bots no podrán hacerlo.

Esperamos que este consejo le haya resultado útil. Queremos enfatizar que esto no evita los ataques de fuerza bruta. Este es solo un paso de precaución que puede tomar para desanimar al pirata informático. Cuando alguien quiere desesperadamente atacar su sitio, encontrará la manera de hacerlo. Le recomendamos encarecidamente que utilice Sucuri y mantenga copias de seguridad regulares de WordPress. PD: aquí hay 5 razones por las que usamos Sucuri.

Este consejo fue enviado por: Ian Armstrong