X

Como impedir ataques de força bruta no site do WordPress?

how to stop brute force attacks

Em um ataque de força bruta, os hackers simplesmente tentam milhares de combinações de nome de usuário e senha até obterem a correta.

Depois de invadir seu site, eles podem fazer todo tipo de coisa, como adicionar anúncios mal-intencionados, fraudar seus usuários e até mesmo derrubá-lo. Este tutorial mostrará como interromper e impedir ataques de força bruta para que os hackers não tenham chance de invadir seu site.

Mas antes de seguirmos para as etapas, vamos esclarecer o que é um ataque de força bruta para que você tenha uma melhor compreensão durante o tutorial.

O que é um ataque de força bruta?

Quando dizemos que os hackers tentam diferentes combinações de senhas em seu site para fazer login, você deve estar imaginando uma pessoa real sentada em um computador e digitando senhas, certo? Os hackers são muito mais avançados do que isso. Eles programam bots para fazer uma varredura na Internet e encontrar sites executados no WordPress. Em seguida, eles têm como alvo a página de login, que geralmente é www.example.com/wp-admin.password example wordpressQuando estão na página de login, esses bots executam um enorme banco de dados de nomes de usuário e senhas comumente usados.

  • Os nomes de usuário comuns incluem “admin” ou o nome da pessoa proprietária do site.
  • As senhas comuns incluem password1234, 12345678 e qwerty1.

Esses bots de hackers são capazes de executar milhares de tentativas de login por minuto. E continuam tentando várias vezes até acertarem ou esgotarem seu banco de dados. Daí o nome ataque de “força bruta”. Agora você pode estar pensando que basta definir uma senha realmente forte e o problema estará resolvido. Mas isso não é suficiente.

Milhares de tentativas de login podem tornar seu site mais lento e até mesmo fazer com que ele trave. Isso pode atrapalhar a experiência do usuário, o que significa que os visitantes deixarão o site porque ele não carregará com rapidez suficiente.

Uma maneira melhor de proteger seu site seria impedir que o hacker faça essas tentativas. É isso que mostraremos a você como fazer a seguir. Vamos nos aprofundar no assunto.

Como impedir ataques de força bruta no WordPress

A seguir, detalharemos 6 etapas importantes que você precisa seguir para proteger seu site contra hackers. Vamos nos concentrar na prevenção de ataques de força bruta, mas lembre-se de que essas etapas também ajudarão a impedir outros ataques de malware.

Você estará criando um sistema de segurança robusto que garante que os hackers não tenham como danificar seu site por dentro ou por fora.

Aqui está uma lista das 6 etapas que abordaremos:

  1. Instalar um plug-in de firewall
  2. Limitar as tentativas de login
  3. Restringir o acesso à página de login
  4. Expirar as senhas regularmente
  5. Adicionar autenticação de dois fatores
  6. Adicionar autenticação HTTP

Etapa 1: Instalar um plug-in de firewall

Um firewall serve como sua primeira linha de defesa. Ele analisará todos os visitantes que chegam ao seu site e bloqueará os bots mal-intencionados. Há dois tipos de firewalls de site que você pode usar.

  • Firewall de aplicativo da Web: Esses firewalls ficam na frente do seu site WordPress para verificar o tráfego que entra. Eles são bastante eficazes, mas não oferecem proteção no nível do servidor. Isso significa que os hackers ainda podem atacar seu servidor e danificar seu site.
  • Firewall de site em nível de DNS: Esse firewall oferece melhor proteção contra hackers porque fica na frente do seu servidor. Portanto, ele examinará todo o tráfego antes que ele chegue ao servidor principal do seu site.

É altamente recomendável investir em um firewall de DNS para proteger seu site. A Sucuri tem um dos melhores firewalls de DNS do setor.

Sucuri

A Sucuri vem com recursos incorporados para bloquear ataques de força bruta sem afetar os usuários do seu site, além de bloquear ferramentas automatizadas usadas para verificar seu site. Isso ajuda a manter seu site fora do radar de qualquer invasor.

Além disso, ele monitora constantemente seu site, de modo que, se algum bot mal-intencionado chegar ao seu site, ele será automaticamente bloqueado.

Se você quiser saber mais detalhes, leia nossa análise da Sucuri.

Etapa 2: Limite as tentativas de login

Se você quiser bloquear especificamente os ataques de força bruta, uma das melhores maneiras de fazer isso é limitar o número de tentativas que um usuário tem para fazer login.

Assim, por exemplo, você pode conceder a eles um máximo de 3 tentativas para digitar o nome de usuário e a senha corretos. Se ele não conseguir, poderá usar a opção “Perdeu sua senha” e recuperar suas credenciais.

Lost password in WordPress

Qualquer usuário ou bot que tentar fazer força bruta no seu site desistirá após três tentativas e passará para o próximo alvo.

Você pode adicionar um plug-in de limite de tentativas de login em seu site do WordPress para adicionar esse recurso. Se estiver usando um plug-in de segurança como o Sucuri, você já deve ter o limite de tentativas de login adicionado automaticamente ao seu site.

Etapa 2: Restringir o acesso à página de login

Outra ótima maneira de proteger seu site contra ataques de força bruta é conceder acesso ao URL da página de login somente a pessoas de sua confiança.

Cada dispositivo que usa a Internet tem um endereço IP exclusivo. Você pode usar um plug-in de segurança para bloquear universalmente o acesso de todos os endereços IP à página de login e colocar na lista de permissões somente aqueles que você deseja. Dessa forma, somente usuários autorizados podem abrir a página de login. Esse método é chamado de lista de permissões e é muito eficaz para manter os hackers afastados. Se estiver usando o Sucuri, na guia Access Control (Controle de acesso) do seu painel, você poderá adicionar endereços IP da lista de permissões.Sucuri whitelistEm seguida, alterne para a guia Security (Segurança ). Você verá uma opção para ativar ‘Admin panel restricted to only Whitelisted IP addresses’ (Painel de administração restrito apenas a endereços IP da lista depermissões).whitelist in sucuriAo marcar essa caixa, o Sucuri permitirá automaticamente que apenas os seus usuários confiáveis acessem a página de login.

Etapa 4: expire as senhas regularmente

Não é preciso dizer que a melhor maneira de proteger qualquer conta ou site na Internet é usar nomes de usuário e senhas fortes.

Além disso, você também precisa alterar sua senha regularmente. Se suspeitar de um ataque, é preciso alterá-la imediatamente. Agora, se você tiver vários usuários com acesso ao wp-admin, eles podem não se lembrar de alterar suas senhas regularmente.

Para superar isso, você pode definir lembretes e forçá-los a redefinir a senha em intervalos.

expire password example

Você pode usar um plug-in como Expire User Passwords para ajudá-lo a expirar as senhas periodicamente, forçando o usuário a alterar a senha antes de poder fazer login novamente.

Etapa 5: adicionar autenticação de dois fatores

É provável que você já tenha visto ou tenha a autenticação de dois fatores em seus aplicativos, especialmente no e-mail.

Além de digitar sua senha, você precisa fornecer uma senha de uso único que é enviada para o seu celular ou e-mail.

2fa-code-sucuri

Você pode receber esse código como um SMS ou por meio de um aplicativo autenticador.

Isso significa que o usuário terá que se verificar em tempo real, o que torna extremamente difícil para os hackers obterem acesso.

Mesmo que eles consigam descobrir sua senha, também precisarão do código de acesso em tempo real.

Todos os plug-ins de segurança populares, como o Sucuri e o MalCare, permitem que você ative a autenticação de dois fatores dentro do painel.

Portanto, você não precisará mexer em nenhum código para adicionar essa medida ao seu site.

Etapa 6: adicionar autenticação HTTP

A última etapa que você pode adotar para proteger seu site contra ataques de força bruta é adicionar uma página de login à sua página de login.

Parece um pouco exagerado, mas isso funciona como uma camada extra de proteção e é uma maneira segura de impedir que os hackers entrem em seu site por meio de ataques de força bruta.

A autenticação HTTP funciona ocultando sua página de login e exibindo uma página em branco com uma caixa de login. Depois que você inserir suas credenciais HTTP, a página de login do WordPress será exibida.

http authentication

Você pode adicionar essa medida no cPanel da sua hospedagem. Se você nunca usou o cPanel antes, não se preocupe. Mostraremos a você como fazer isso em algumas etapas simples.

Faça login em sua conta de hospedagem na Web, acesse o cPanel e localize “Directory Privacy”.Directory privacyDentro, na lista de pastas, localize a pasta wp-admin e edite-a.

edit wpadmin privacy

Na página seguinte, primeiro, ative a opção “Password protect this directory” (Proteger este diretório com senha). Agora o cPanel solicitará que você adicione um nome de usuário e uma senha.

add password to directory

Certifique-se de salvar suas configurações antes de sair dessa página. Agora seu diretório de administração do WordPress está protegido por senha. Ao abrir a página wp-admin, você verá um prompt de login para inserir o nome de usuário e a senha que acabou de criar.

Caso ocorra um erro 404 ou muitas mensagens de redirecionamento, você precisará adicionar a seguinte linha ao arquivo .htaccess do WordPress.ErrorDocument 401 defaultCom isso, seu site estará protegido contra ataques de força bruta.

Também recomendamos fazer um backup de seu site regularmente. Quando algo dá errado, seja um hack ou apenas um erro humano, você pode restaurar rapidamente o site e fazê-lo voltar ao normal. Isso permite minimizar os danos ao seu site e à experiência do usuário.

Você pode usar o UpdraftPlus para agendar backups automatizados que são armazenados com segurança.

Para obter mais opções de backup, consulte nossa seleção dos melhores plug-ins de backup do WordPress. Esperamos que você tenha achado útil esta publicação sobre prevenção de ataques de força bruta. E agora que seu website está seguro, você pode se concentrar no crescimento do seu site e na obtenção de mais tráfego. Aqui estão alguns recursos que escolhemos a dedo para você:

Essas publicações o ajudarão a melhorar o tráfego, o envolvimento e a experiência do usuário. A última publicação fornecerá os melhores plugins e ferramentas para facilitar os fluxos de trabalho e aumentar exponencialmente seus negócios.

Comentários   Deixe uma resposta

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

WordPress Launch Checklist

A lista de verificação definitiva para o lançamento do WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento de seu próximo site WordPress em um ebook prático.
Sim, envie-me o livro eletrônico gratuito grátis!