Você está desconfiado que algo possa estar errado com a segurança do seu site WordPress? Anda recebendo emails de spam todos os dias sobre tentativas não autorizadas de login? A verdade é que todos os dias o número de usuários do WordPress cresce.
Lembre-se, praticamente 40% dos sites em todo o mundo são desenvolvidos no WordPress, é normal que muitos novatos ingressem na plataforma todos os dias. A maioria dos iniciantes no WordPress acabam deixando de lado questões de segurança de sua página de login do WordPress. Mas com inúmeras ferramentas de ataque de força bruta de ponta agindo dia e noite, repetidamente, é possível invadir a página de login do WordPress, mesmo se estiver protegida por senha.
Os sites WordPress são um dos alvos mais lucrativos para hackers por diversos motivos. Diariamente surgem novos casos de pessoas que tiveram seus sites sequestrados por invasores de força bruta. Caso os invasores estejam enviando continuamente solicitações de acesso usando sua página de login, a acessibilidade do seu site pode ficar limitada automaticamente devido à carga de alto volume no servidor. Caso os hackers tenham sucesso, você pode acabar perdendo seu precioso site nestes ataques.
Hoje vamos apresentar alguns métodos testados que podem ajudar a proteger seu site no WordPress. Além destas ações, existem inúmeros plugins WordPress disponíveis que vão ajudá-lo a proteger seu site WordPress. Usando essas medidas de precaução e plugins do WordPress, você pode manter seu site protegido contra qualquer acesso não autorizado e ataques de força bruta de uma vez por todas.
Sempre use uma senha longa e complexa
Uma senha forte pode ser uma barreira extremamente eficaz contra um hacker de força bruta. A verdade é a seguinte, as ferramentas usadas por hackers não passam de programas de computador, ou seja, robôs. Eles também trabalham com ordens pré-configuradas. Se você usar uma senha de cauda longa, que também contenha números e símbolos, vai complicar o suficiente para o robô, até romper o algoritmo dos aplicativos de ataque de força bruta. Senhas como “admin”, “root”, id de email, “1234”, etc jamais devem ser usadas em nenhum caso, nem de testes, para seu login no WordPress.
Caso tenha dificuldade, você deve usar o Gerenciador de Senhas para criar senhas seguras e complexas, que são criadas com letras, números e símbolos aleatórios. Mas todos os especialistas recomendam criar senhas a partir de sua mente, pois a mente humana é muito mais complexa do que qualquer máquina e usa referências pessoais que serão mais fáceis de serem lembradas mais tarde.
Tente manter sua senha/frase-senha a mais aleatória possível, quanto mais sem sentido, mais difícil de os invasores quebrá-la. Você também lembrará com mais facilidade do que uma enorme lista de letras e números.
Existe também vários plugins geradores de senhas na loja do WordPress.
Não esqueça de estabelecer um limite de número de tentativas de login
Esta ação é uma das melhores armas contra robôs de força bruta. Infelizmente, por padrão, o número de tentativas de login no WordPress é ilimitado, o que é uma preocupação séria para qualquer site da plataforma.
Você pode resolver esta vulnerabilidade usando o plugin “Limit Login Attempts”. O plugin deixa você limitar as tentativas de login por endereço IP e ainda deixa que você coloque endereços IP em tempo limite, por um tempo especificado. Você pode definir o limite para 3 tentativas, após 3 erros, o plugin colocaria um tempo limite de bloqueio no endereço IP por 12 horas.
Usando esse plugin, você não precisa implementar nenhum outro método complexo de codificação ou implementação. Além de fácil, é rápido e seguro. Se você estiver procurando por um bom plugin limitador de tentativas de login, há muitas outras funcionalidades para considerar na hora da escolha, como – Limitar tentativas de login recarregadas, limitar tentativas de login, Segurança Wordfence, Segurança All in One WP, Tentativas de login WP, Bloqueio de login, etc. Usando um plugin “Limit Login Attempts” você simplesmente torna os ataques de força bruta fracos e obsoletos, pois ele perde a capacidade de atacar continuamente sua plataforma.
Sempre deixe ativada a autenticação dupla com o Google Authenticator
O processo também é conhecido como autenticação de dois fatores, e é considerado um dos métodos de login mais seguros para sites WordPress. Você precisa ter o Google Authentication App e o plugin Google Authenticator WordPress para conseguir configurar a autenticação de dois fatores. Você vai precisar digitar seu nome de usuário e senha todas as vezes que entrar na plataforma, e também um código adicional gerado pelo aplicativo Google Authenticator. Esse código adicional é gerado toda vez que você tenta fazer login no seu site, portanto, o código é sempre único, e nunca se repete.
O primeiro passo para executar este método, é levar seu smartphone com você no momento em que estiver fazendo login no seu administrador do WordPress. O processo pode parecer um pouco trabalhoso no início, mas vai oferecer uma segurança adicional muito eficaz contra hackers de login.
Embora a instalação pareça nada didática, o processo de configuração é muito fácil. Antes de tudo faça o download do plugin do WordPress chamado “Google Authenticator”, e complete a instalação. Depois do primeiro passo, baixe e instale o “aplicativo Google Authenticator” (disponível para Android e iOS) em seu smartphone. Agora basta usar o código de barras nas configurações do plugin do WordPress para vincular o plugin do WordPress ao seu aplicativo de smartphone.
A partir de agora, todas as vezes que você abrir o aplicativo Google Authenticator, o código de login do seu site WordPress será gerado repetidamente em intervalos regulares. Você pode verificar e inserir o código na tela de login do WordPress sempre que estiver tentando fazer login no painel de administração do WordPress. Este app pode ser utilizado em vários sites e serviços para autenticação de dois fatores.
É importante configurar uma senha extra por meio do arquivo .htaccess
Como proprietário e administrador do seu site, você tem acesso ao arquivo .htaccess. Com o acesso a este item, você tem a opção de configurar uma senha extra. Esta ação vai lhe dar uma grande vantagem contra os ataques de hackers de força bruta, pois o login real do WordPress não poderá ser alcançado por um usuário de terceiros. Você vai conseguir impedir os ataques de força bruta antes mesmo que a tentativa real aconteça.
Isto vai diminuir consideravelmente as chamadas para o seu site WordPress e a acessibilidade do mesmo é garantida em qualquer caso. A ação de configurar um login .htaccess também não é tão complicada quanto parece. Basta ter acesso ao seu arquivo .htaccess através do seu acesso FTP. Mas podemos ter um problema aqui, algumas ofertas de hospedagem de provedores podem não permitir tal acesso. Se disponível, você terá um editor de código para editar o arquivo .htaccess e um novo arquivo .htpasswd (este arquivo contém sua senha) para criar.
Aprenda como configurar a senha .htaccess
1. A primeira coisa que tem a fazer é criar um novo arquivo vazio com o nome .htpasswd no diretório principal do seu site (exatamente aonde o arquivo .htaccess já deveria estar) usando seu acesso FTP. Você não pode esquecer que isso só é possível se o seu provedor de serviços lhe conceder esse acesso por meio da oferta do seu pacote de hospedagem. Portanto, fique atento a este ponto quando for escolher seu provedor.
2. Caso seu provedor de hospedagem oferece Cpanel, você pode facilmente usar o Gerenciador de arquivos para editar e criar arquivos. Caso não ofereça, você terá que baixar o novo arquivo .htpasswd ainda vazio localmente no seu computador, e depois abri-lo e editá-lo usando o Bloco de Notas ou o algum editor de código da sua escolha.
3. Agora, já no arquivo, adicione o nome de usuário e a senha que você deseja usar para proteger seu site da forma abaixo:
usuario:senha
Obs: Troque o usuário e a senha de acordo com seu site
Exemplo para três usuários:
usuario1:senha1111
usuario2:2senha2
usuario3:3333senha
4. O quarto passo é salvar o arquivo e carregá-lo em seu servidor de hospedagem.
5. Chegou a hora de editar o arquivo .htaccess já existente.
Basta adicionar o seguinte código fornecido, mas não esqueça de determinar o caminho AuthUserFile para seu arquivo .htpasswd e substituí-lo no código.
<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile /path/to/.htpasswd
Require valid-user
</Files>
Depois de inserir o código no arquivo .htaccess e também de fazer o upload do novo arquivo .htpasswd com seu código para o diretório principal do seu site, a consulta de senha a partir de agora deve aparecer no navegador e, assim, adicionar mais uma barreira de proteção ao seu login.
É importante sempre utilizar um nome de usuário exclusivo.
Uma das etapas mais importante na proteção, utilizar um nome único de usuário, geralmente é ignorada pela maioria dos donos de site. Mas não podemos esquecer de que um nome de
usuário exclusivo também pode impedir tentativas de login não autorizadas.
O ataque de força bruta tem que romper as duas barreiras, da senha, e também do nome do usuário.
Se você estiver usando seu email do dia-a-dia, ou nomear seu ID de usuário, será mais fácil para os robôs adivinharem. Se você usar um nome de usuário simples, uma ferramenta de ataque de força bruta invasora pode determinar o seu id de administrador em menos de um minuto. Você não pode estar ajudando o invasor configurando um ID de usuário deliberadamente.
Confira se está usando um plugin de firewall de aplicativo de site
A principal função de um plugin de firewall de aplicativo de site (WAF) é monitorar o tráfego do seu site. Mas ele também tem o poder de bloquear todas solicitações que pareçam suspeitas, tentativas de login de administrador do servidor remoto e IPs. Existem diversas opções de plugins no Mercado: Wordfence Security, MalCare Security, Cloudflare, Sucuri Security, Shield Security, etc.
Usar um plugin de firewall de aplicativo vai lhe dar a garantia que qualquer tráfego de entrada passe primeiro pelo proxy de nuvem, neste local ele pode ser verificado e analisado de forma meticulosa.
O plugin aumenta a segurança dos sites, protege seu site contra ataques de phishing, tentativas de invasores e infecção por malware. Outra vantagem destes plugins é bloquear a maior parte do tráfego de entrada indesejado e suspeito de acessar os dados do site.
Então lembre-se, em nenhuma hipótese use seu ID de email, nome ou nome123, nome@123, qualquerpalavra123 como seu ID de usuário. Assim como você deve ter cuidado a hora de criar uma senha de cauda longa, crie um ID de usuário de cauda longa, difícil de detectar e sempre use uma combinação de letras, símbolos e números.
Como desabilitar a função de dica de login
Esse recurso não é necessário e não vai enfraquecer os seus recursos de segurança do site. Então, sempre remova o recurso Dicas de login da página de login do WordPress. Grande parte dos temas do WordPress tem esse recurso embutido de forma padrão e ativado o tempo todo. É fácil ocultar as dicas de login, basta copiar e colar o seguinte código no arquivo functions.php do seu tema (cole no final dele e salve o mesmo).
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
O WordPress deve estar sempre atualizado
Manter seus plugins do WordPress e a versão do WordPress sempre atualizados é muito importante para sua segurança e desempenho. Com atualizações constantes, seu site se manterá compatível com os novos plugins e também vai otimizar a capacidade dos plugins instalados, mais desempenho e maior segurança para seu negócio!
Caso esteja usando uma versão antiga do WordPress, talvez jamais vai saber quais ameaças de segurança e brechas ela possui. Essas vulnerabilidades antigas são exploradas por invasores para derrubar seu sistema de segurança, mesmo que obsoleto. A mesma lógica também vale para os plugins. Você deve manter todos os seus plugins sempre na última versão, principalmente os seus plugins de segurança. As atualizações corrigem erros, endurecem a segurança e muitas vezes presenteiam seu site com novos recursos e opções, jamais perca as atualizações.
Página de login personalizada
Esta opção é viável caso você seja um desenvolvedor de nível avançado ou se tem orçamento de sobra para contratar um programador de ponta imediatamente. Caso este seja seu caso, construa uma página de login personalizada e dedicada e uma página de registro. Muitos sites de grande porte têm esse sistema, mas normalmente os proprietários de sites menores não usam este dispositivo de segurança.
Mas lembre-se, o uso de páginas de login personalizadas e páginas de registro personalizadas torna quase impossível para invasores de força bruta e invasores de login convencionais de login não autorizado roubarem seus dados, ou os dados dos seus clientes.
Mostramos neste post que existem muitos métodos disponíveis para proteger seu login do WordPress contra acessos não autorizados. Caso saiba outras dicas que esquecemos de citar, fique livre para comentar abaixo!
