Cómo prevenir ataques de fuerza bruta

Cuando utilizamos un plugin de seguridad, como por ejemplo Wordfence -indispensable tenerlo instalado en cualquier sitio WordPress- veremos en sus informes una lista con diferentes intentos fallidos de ingreso a nuestra preciosa web. En algunos casos, se trata de intentos de acceder utilizando nombres de usuarios obvios como por ejemplo «admin». Sin embargo, notaremos también que algunos bots intentan entrar utilizando el nombre de usuario correcto, aunque no sea uno «típico». ¿Cómo logran descubrirlo? Fácil: hacen un escaneo de los autores que aparecen en las entradas (posts) de nuestro sitio (incluso aunque no utilicemos entradas, es posible que al menos tengamos publicado un posteo de prueba que olvidamos borrar, por ejemplo).
Una manera de bloquear a estos bots y agregando el siguiente código en el archivo .htaccess que se encuentra en el directorio raíz de WordPress.

 

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

Una vez incorporado el código, podremos seguir accediendo a las páginas de los autores, pero los maléficos bots no podrán hacerlo (vía wpbeginner)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *