Les attaques "author scan", que l'on pourrait traduire par "recherche d'auteur", visent à trouver les noms d'utilisateur des utilisateurs enregistrés (en particulier l'admin WordPress) et cherchent à faire une attaque par force brute sur la page de connexion de votre site Web WordPress pour prendre le contrôle.
Pour bloquer les author scans sur WordPress, vous devez ajouter une règle au fichier de configuration Apache httpd.conf :
<IfModule mod_rewrite.c>
<Directory "/var/www/vhosts/exemple.com">
RewriteEngine on
RewriteCond %{QUERY_STRING} author=\d+
RewriteCond %{REQUEST_FILENAME} !^/var/www/vhosts/exemple\.com/wp\-admin/ [NC]
RewriteRule .* - [F,L]
</Directory>
</IfModule>
Si vous utilisez Nginx comme proxy inversé, il faut également ajouter une règle au fichier nginx.conf :
location = /fake-author-scan {
internal;
deny all;
}
