Ataques de força bruta são uma ocorrência comum e um pesadelo para qualquer proprietário de site. Depois que um invasor invade sua área administrativa, ele pode sequestrar seu site, injetar malware ou roubar as informações pessoais de seus usuários. Portanto, vale a pena aprender sobre a proteção de força bruta do WordPress para manter seu site seguro.

Um ataque de força bruta normalmente envolve bots tentando fazer login no seu site testando inúmeras combinações de nome de usuário e senha na esperança de adivinhar uma combinação correta. Felizmente, existem várias medidas preventivas que você pode tomar para interromper essas atividades maliciosas.

Este artigo discutirá cinco maneiras de implementar a proteção de força bruta do WordPress em seu site. Vamos começar!

Táticas para proteção de força bruta do WordPress

Aqui estão as cinco táticas que abordaremos:

  1. Ocultar sua página de login
  2. Use autenticação de dois fatores
  3. Use um firewall WordPress
  4. Atualize o WordPress regularmente
  5. Use uma senha forte

1. Ocultar sua página de login do WordPress

Sua página de login do WordPress é onde você insere suas credenciais toda vez que deseja acessar seu administrador painel de controle. Por exemplo, se você deseja fazer login em seudominio.com , normalmente pode fazer isso em seudominio.com/wp-login.php . É uma estrutura de URL padrão no WordPress, que, infelizmente, intrusos podem adivinhar facilmente.

Uma maneira de tornar a vida dos hackers mais difícil é alterar seu URL de login padrão do WordPress para algo menos óbvio. No entanto, não recomendamos fazer isso manualmente, pois mexer nos arquivos .php pode corromper seu site (a menos que você seja um especialista).

Felizmente, você pode usar um plugin como WPS Hide Login , que permite renomear o URL de login sem tocar em nenhum arquivo principal. Você também pode retornar às configurações padrão a qualquer momento, desativando o plug-in.

Você pode seguir nosso guia sobre como ocultar a página de login com WPS Hide Login para configurar isso.

Observe que essa técnica por si só não é suficiente para proteger seu site de ataques de força bruta. No entanto, pode ser altamente eficaz quando combinado com as precauções abaixo.

2. Adicione a autenticação de dois fatores (2FA) ao seu site

Depois de ocultar sua página de login, vale a pena adicionar a autenticação de dois fatores (2FA) para proteger seu site. Este método evita o acesso não autorizado, graças às etapas adicionais de verificação que os usuários devem concluir antes de fazer o login.

Por exemplo, suponha que um intruso tenha conseguido suas credenciais. Com as medidas 2FA implementadas, você teria uma camada de segurança extra protegendo seu site contra acesso não autorizado, como a confirmação da identidade de um usuário com um código enviado a ele por e-mail ou SMS. É improvável que o hacker tenha todos esses detalhes em mãos, o que poupa você de uma possível invasão.

Exemplo de autenticação de dois fatores no site do PayPal.

Você pode implementar este método com plug-ins de segurança confiáveis, como miniOrange . Essa ferramenta útil oferece várias opções, como verificação por texto, código QR, aplicativo Google Authenticator e muito mais.

Se você gostaria de saber como configurar 2FA em seu site, certifique-se de verificar nosso tutorial miniOrange , onde o guiaremos por todas as etapas.

3. Instale um plugin de firewall para WordPress

Nossa próxima recomendação é configurar um plugin de firewall para WordPress. Resumindo, um firewall é um tipo de software que protege seu site contra acesso não autorizado usando regras pré-configuradas.

Por exemplo, você pode limitar o número de usuários que podem entrar simultaneamente no seu site, o que o mantém protegido contra negação distribuída de serviço (DDoS) . Um ataque DDoS tenta interromper seu servidor, simulando congestionamentos de tráfego inesperados que sua largura de banda não consegue controlar.

Como resultado, seu site pode ficar inativo ou você pode ter sua conta suspensa se estiver em um plano de hospedagem compartilhada. Isso pode ser extremamente frustrante e caro, por isso é inteligente proteger seu site de tais ataques.

Alguns provedores de hospedagem podem já incluir serviços de firewall em seus pacotes. Caso contrário, instale um plug-in como All In Um único WP Security & Firewall fará o trabalho. Além do recurso de firewall, essa ferramenta também oferece outras vantagens de segurança, como prevenção de spam,”bloqueio de login”para evitar tentativas excessivas de login e muito mais.

Observe que para este método ser eficaz, você precisará configurar seu firewall corretamente. Portanto, é recomendável consultar a documentação relevante ou consultar seu provedor de hospedagem.

4. Atualize o WordPress regularmente

Mesmo se você equipar seu site com vários plug-ins de segurança, seus esforços podem não fazer muita diferença se a instalação do WordPress estiver desatualizada. Na verdade, usar uma versão antiga do núcleo, temas ou plug-ins do WordPress abre brechas de segurança não corrigidas, tornando mais fácil para invasores atacar seu site.

O WordPress é extremamente popular. Portanto, a plataforma enfrenta muitos bugs e hacks que podem comprometer sua segurança. A boa notícia é que os desenvolvedores trabalham duro para descobrir essas vulnerabilidades, então cada atualização do WordPress geralmente inclui novos patches de segurança. Você pode verificar se há atualizações disponíveis na seção Atualizações em seu painel de administração:

Verificar a seção de atualizações regulares no painel de administração do WordPress é uma tática chave na proteção de força bruta do WordPress.

Em uma análise de sites hackeados, a Sucuri descobriu que 61% [1] dos ataques bem-sucedidos em sua amostra aconteceram por causa de versões de sistema desatualizadas. Até sites estabelecidos como Reuters foram vítimas de ataques maliciosos devido a uma instalação desatualizada do WordPress. Portanto, é inteligente aproveitar as vantagens das novas atualizações de versão assim que estiverem disponíveis.

Atualizar seu site WordPress e ferramentas associadas provavelmente irá beneficiar o desempenho de seu site e a experiência do usuário (UX) devido para novos recursos e melhorias do sistema. No entanto, se você está preocupado que atualizar seu site possa afetar sua funcionalidade, normalmente você pode adiar novas atualizações importantes (versão XX) por 30 dias enquanto você identifica potenciais conflitos. No entanto, você deve sempre aplicar pequenas atualizações de segurança imediatamente (versão X.X.X).

Além disso, é recomendável sempre fazer backup do seu site antes de prosseguir com qualquer alteração.

5. Escolha um nome de usuário e uma senha fortes

Finalmente, se você ainda não usa uma senha forte para acessar seu site área administrativa, você está facilitando muito o trabalho de um hacker. Além disso, se você usar os mesmos dados para todos os outros sites nos quais possui uma conta, corre o risco de roubar suas informações confidenciais, como dados pessoais ou bancários.

Para colocar as coisas em perspectiva, até 80% [2] das violações de dados acontecem devido a senhas roubadas ou fracas. Portanto, é inteligente usar credenciais fortes exclusivas para sua página de login do WordPress, contas de mídia social, e-mail e assim por diante.

Lembre-se de que o seu nome de usuário é tão importante quanto a sua senha. Afinal, é outra camada de segurança que pode manter os intrusos afastados. Portanto, é melhor evitar nomes de usuário óbvios, como”admin”, pois eles são muito fáceis de adivinhar.

Felizmente, os seus detalhes de login não precisam ser indecifráveis ​​e consistir em letras e números aleatórios. Usar frases memoráveis ​​de cauda longa pode ser tão eficaz , contanto que você evite usar frases pessoais em formação. Além disso, você pode usar um gerenciador de senhas como LastPass , que também permite que você armazene suas credenciais com segurança.

Implementar proteção contra força bruta WordPress hoje

Quer você tenha um pequeno blog ou uma grande empresa de comércio eletrônico, aprender sobre as ameaças comuns à segurança de sites deve ser sua prioridade. Felizmente, a proteção de força bruta do WordPress é relativamente fácil de implementar com algumas ferramentas e práticas.

Neste artigo, discutimos nossas cinco principais dicas para proteger seu site WordPress contra ataques de força bruta:

  1. Use uma ferramenta como WPS Hide Login para disfarçar sua página de login.
  2. Impeça o acesso não autorizado com 2FA.
  3. Use um serviço de firewall para proteger seu site contra ataques DDoS e limitar as tentativas de login.
  4. Mantenha o núcleo, os temas e os plug-ins do WordPress atualizados.
  5. Use credenciais de login fortes, difíceis de adivinhar e exclusivas do seu site WordPress.

Para conhecer outras maneiras de proteger seu site, verifique nossa coleção de dicas úteis de segurança do WordPress .

Você tem alguma dúvida sobre a proteção contra força bruta do WordPress? Deixe-nos saber na seção de comentários abaixo!

Guia gratuito

5 dicas essenciais para acelerar
seu site WordPress

Reduza o tempo de carregamento em até 50-80%
apenas seguindo dicas simples.

Referências

Source link

Categories: Wordpress