X

Como limitar as tentativas de login no WordPress (passo a passo)

How to limit login attempts

Por padrão, o WordPress permite que você experimente um número ilimitado de nomes de usuário e senhas para fazer login no seu site.

Embora isso proporcione uma melhor experiência de login, também dá aos hackers a chance de invadir seu site usando “ataques de força bruta”, em que eles fazem milhares de tentativas para adivinhar suas credenciais de login. Nesta publicação, mostraremos como limitar as tentativas de login em seu site para impedir que os hackers tenham acesso a ele. Mas, primeiro, vamos esclarecer o que são ataques de força bruta e por que eles são um problema tão sério.

O que exatamente é um ataque de força bruta?

Muitas pessoas na Internet definem nomes de usuário comuns e senhas fracas como suas credenciais de login. Elas selecionam credenciais que são fáceis de lembrar e que exigem o mínimo de esforço para digitá-las. Para nomes de usuário, os mais comuns são “admin” ou o nome real do usuário. E as senhas tendem a ser “123456” ou “qwerty”. Os hackers estão cientes disso e programam bots para encontrar a página de login do seu site e, em seguida, tentar uma longa lista de credenciais comumente usadas e diferentes combinações delas.

Esses bots são capazes de tentar centenas de combinações em questão de segundos. E quando adivinham a correta, eles invadem seu site e causam grandes danos.

A melhor maneira de evitar esses ataques de força bruta é limitar as tentativas de login em seu site. Assim, quando um usuário digita credenciais incorretas, digamos 3 ou 5 vezes, ele é bloqueado.

Lost password in WordPress

Os usuários precisarão clicar na opção “Lost your password” para recuperar a senha.

Dito isso, limitar as tentativas de login não é suficiente quando se trata de bloquear hackers e outras ameaças.

Você precisa usar uma solução de segurança abrangente que protegerá seu site completamente contra esses ataques. Isso inclui proteção CAPTCHA, autenticação de dois fatores, proteção de firewall e lista de bloqueio de IP. Com esse melhor entendimento dos ataques de força bruta, vamos começar a proteger seu site.

Limitação de tentativas de login em seu site WordPress

Se você quiser uma solução simples e gratuita para limitar as tentativas de login, confira o plug-in Limit Login Attempts Reloaded. Basta instalar o plug-in em seu site e ele aplicará automaticamente a medida de segurança ao seu site.

Uma solução de segurança mais abrangente para limitar as tentativas de login e proteger seu site é usar o Sucuri. É uma solução de segurança total que vem com todas as medidas de segurança de que você precisa para proteger seu site.

Sucuri WordPress Malware Removal Plugin

O Sucuri Web Application Firewall detecta navegadores falsos e bots mal-intencionados e os bloqueia automaticamente. Além disso, ele tem um mecanismo de correlação forte que interrompe as tentativas de força bruta sem afetar os usuários do seu site. Veja como a Sucuri bloqueia os ataques de força bruta no seu site:

  • Limite de tentativas de login – Os usuários terão um número máximo de tentativas para inserir as credenciais corretas antes de serem solicitados a redefinir a senha
  • Detecção de assinaturas – a Sucuri verifica padrões conhecidos de hackers e malware e os bloqueia antes que cheguem ao seu site.
  • Bloqueio de bots e varreduras – identifica e bloqueia ferramentas automatizadas e bots de força bruta que atacam seu site.
  • Autenticação de 2 fatores – é possível adicionar uma camada adicional de segurança ao seu site que exige que os usuários forneçam uma senha de uso único gerada em tempo real.
  • CAPTCHA e códigos de acesso – Permite adicionar proteção CAPTCHA à sua página de login, para que os bots não consigam passar pela autenticação de login. Ou você pode até mesmo exigir que os usuários digitem um código de acesso estático.
  • Bloqueio geográfico – Se o firewall da Sucuri detectar que a maioria das tentativas de força bruta está vindo de um determinado local, você poderá bloquear os visitantes desses intervalos de IP ou até mesmo bloquear o acesso de um país inteiro ao seu site.
  • Lista de permissões – Você também pode bloquear todos os usuários da sua página de login e colocar na lista de permissões apenas os endereços IP da sua equipe de confiança.

Agora, vamos configurar a Sucuri em seu site para implementar tentativas de login limitadas e outras medidas de proteção.

Etapa 1: Instalar e ativar a Sucuri

A Sucuri tem um scanner de segurança gratuito disponível no repositório do WordPress.

Sucuri in WordPress org

Recomendamos instalar e ativar esse plug-in em seu site primeiro. Isso permitirá que você acesse e opere suas configurações de segurança diretamente do painel do WordPress. Para ter acesso ao poderoso firewall que protegerá seu site contra ataques de força bruta, você precisará se inscrever na versão Pro.

Recomendamos usar o plano Pro, que custa US$ 299 por ano. Ele lhe dá acesso a todos os recursos de que você precisa para bloquear não apenas os ataques de força bruta, mas também outros hacks, como injeções de malware e ataques DDoS. Depois de se inscrever e criar uma conta na Sucuri, você pode começar.

Etapa 2: Ativar o Sucuri Security Scanner

No painel do WordPress, navegue até a guia Sucuri ” Dashboard. Nessa página, você precisará inserir sua chave de API. Para isso, clique no botão “Generate API Key” (Gerar chave de API ).Sucuri generate api keyIsso abrirá uma janela pop-up em que seu site do WordPress e seu e-mail de administrador serão preenchidos previamente. Você pode alterá-los, se desejar.

Em seguida, marque as caixas para concordar com os termos de serviço e a política de privacidade. E selecione o botão “Submit” para gerar a chave de API.

Generate api key in Sucuri

Você verá uma janela pop-up informando que seu site foi registrado com sucesso. Você pode acessar o painel de controle da Sucuri.

API successful in Sucuri

Com isso, seu site tem um scanner de segurança ativo. Ele mostrará se o seu site está limpo ou não, e se você está em alguma lista de bloqueio.

Etapa 3: Ativar o Firewall de Segurança da Sucuri

Para ativar o firewall da Sucuri, navegue até a guia Sucuri ” Firewall (WAF) no painel do WordPress. Aqui, você precisará inserir sua chave de API.

Sucuri firewall api key

Você pode encontrar essa chave em sua conta no site da Sucuri na guia Settings ” API.Sucuri api tabCopie a chave, insira-a no painel do WordPress e salve suas configurações. E pronto! Seu firewall está ativado.

Etapa 4: Modificar as configurações de DNS

Agora você precisará direcionar seu tráfego para o firewall da Sucuri para que ele possa verificá-lo e filtrar os elementos ruins. Depois de fazer isso, ele encaminhará o tráfego para o seu servidor de hospedagem web.

Para configurar isso, vá para a guia Configurações ” Geral no painel da Sucuri.

Primeiro, você verá a opção mais fácil, que é a Integração automática. Se você tiver os detalhes de login da sua hospedagem na Web, poderá usar essa opção.

Automatic integration Sucuri firewall

Você só precisa selecionar a hospedagem “cPanel” ou “Plesk”. A maioria dos hosts da Web usa o cPanel, mas você pode consultar a equipe de suporte do seu host se não tiver certeza de qual usar.

Você precisará fornecer os detalhes de login da sua hospedagem e a integração será automática. Se isso não funcionar, na mesma página, você verá opções para usar os servidores DNS da Sucuri ou pode configurar manualmente seus próprios servidores DNS.Point a record to FirewallSiga as instruções fornecidas e atualize o endereço IP do registro “A” do seu site.

Se você não entender o que isso significa, não se preocupe. Você pode entrar em contato com seu host da Web ou registrador de domínios e eles o orientarão sobre o assunto. Ou também pode abrir um tíquete com a Sucuri, e a equipe deles o ajudará a alterar os registros DNS. Depois de concluído, seu tráfego será direcionado primeiro para o firewall da Sucuri e, em seguida, de volta para os servidores de hospedagem do WordPress. As alterações no seu DNS podem levar até 48 horas para serem refletidas, mas geralmente acontecem em algumas horas.

Etapa 5: Monitore seu site

O firewall da Sucuri protegerá seu site e bloqueará qualquer ataque de hackers e bots mal-intencionados. E ele apresentará relatórios em seu painel, como ataques bloqueados, tráfego médio por hora e tráfego por país.Sucuri dashboardVocê deve usar esses relatórios para monitorar a segurança do seu site e manter-se atualizado sobre ataques fracassados.

Etapa 6: Lista branca de IPs de usuários (opcional)

Caso queira bloquear o acesso de todos os IPs ao painel de administração e permitir que apenas a sua equipe ou usuários autorizados acessem, você pode fazer isso na guia Access Control (Controle de acesso ).Sucuri whitelistAqui, você pode adicionar todos os IPs que deseja colocar na lista de permissões. Em seguida, vá para a guia Security (Segurança ) e você verá uma opção para ativar a opção “Admin panel restricted to only Whitelisted IP addresses” (Painel de administração restrito apenas a endereços IP da lista de permissões).Sucuri admin panel whitelistMarque essa caixa e salve suas opções de segurança. Agora, somente os IPs incluídos na lista de permissões podem acessar a página de login. E é isso! A Sucuri aplicará automaticamente a proteção de login em seu site. E não é só isso, seu site estará protegido contra todos os tipos de malware e ataques. Esperamos que este post tenha sido útil para você. Se quiser melhorar ainda mais a segurança de seu site, recomendamos a leitura de:

Essas publicações podem ajudá-lo a tornar a segurança do seu site sólida como uma rocha para que você possa manter os hackers afastados.

Comentários   Deixe uma resposta

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

WordPress Launch Checklist

A lista de verificação definitiva para o lançamento do WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento de seu próximo site WordPress em um ebook prático.
Sim, envie-me o livro eletrônico gratuito grátis!