5 regras simples para segurança de login do WordPress

Uma estratégia de segurança do WordPress bem-sucedida deve incluir etapas para fortalecer o login do WordPress. Neste post, cobrimos as cinco regras simples para uma melhor segurança de login do WordPress.

A grande coisa sobre o WordPress é como ele torna a criação de um site acessível a praticamente qualquer pessoa. Mas com essa acessibilidade vem a previsibilidade. Qualquer pessoa com experiência em WordPress sabe onde são feitas as alterações no site: através da área wp-admin . Eles até sabem onde precisam ir para acessar o wp-admin , a página wp-login.php .

Infelizmente, criar um bot que vagueia pela Internet cometendo ataques de força bruta não requer muita habilidade, e qualquer hacker iniciante pode criar um. Como os ataques à página de login do WordPress têm uma barreira baixa de entrada, a segurança de login do WordPress é crucial para proteger qualquer site do WordPress.

Seguindo essas regras e usando as práticas recomendadas de segurança do WordPress, você pode evitar ficar vulnerável a erros comuns de login do usuário.

1. Use senhas fortes

Existem muitas informações confusas e contraditórias sobre as melhores práticas de segurança de senha na Internet. Em um esforço para esclarecer essa confusão, vamos analisar os princípios básicos de como o uso de uma senha forte melhora a segurança do WordPress.

Sempre que criar uma senha, o primeiro item que você deve considerar é o comprimento da senha. A lista abaixo mostra o tempo estimado que leva para quebrar uma senha usando um processador i5 de quatro núcleos.

• 7 caracteres levarão 0,29 milissegundos para quebrar.
• 8 personagens levarão 5 horas para quebrar.
• 9 personagens levarão 4 meses para decifrar.
• 10 personagens levarão 1 década para quebrar
• 12 caracteres levarão 2 séculos para serem quebrados.

Como você pode ver, adicionar um único caractere à sua senha pode aumentar significativamente a segurança do seu login. Uma senha com pelo menos 12 caracteres, aleatória e que inclua um grande conjunto de caracteres como “ ISt8XXa! 28X3 ” tornará muito difícil decifrá -la.

Infelizmente, alguns hackers estão aproveitando GPUs e CPUs mais fortes para diminuir o tempo necessário para quebrar as senhas. Portanto, para fortalecer seus logins, também esteja atento à entropia de sua senha. Quanto mais alta for a entropia da senha, mais difícil será a senha de crack.

Por exemplo, com base apenas no requisito de comprimento, uma senha como “ abcdefghijkl ” tem 12 caracteres, o que é ótimo e deve levar 200 anos para ser descoberta. No entanto, como a senha usa cadeias de letras sequenciais, ela a torna muito mais previsível em comparação com uma senha como “ rfybolaawtpm ”, que possui caracteres aleatórios.

A randomização de caracteres diminui a previsibilidade e aumenta a força da senha. Mas essas duas senhas têm uma coisa em comum que, em última análise, reduz a entropia da senha. Ambos estão usando apenas letras minúsculas, limitando o conjunto de caracteres possíveis a 26. É por isso que é vital incluir letras maiúsculas e alfanuméricas e caracteres ASCII comuns para aumentar o conjunto de caracteres necessários para quebrar a senha para 92.

2. Use uma senha exclusiva para cada conta

Outra prática recomendada para segurança online é usar senhas exclusivas para cada conta e login de site que você possui. Isso é tão importante, vamos repetir: você deve usar uma senha diferente para cada site.

Por que reutilizar senhas é tão importante? Se você usa a mesma senha para todos os sites e um deles está comprometido, agora você está usando uma senha comprometida para todas as contas, em todos os sites. Os hackers podem usar despejos de dados de senhas comprometidas emparelhadas com seu endereço de e-mail ou nome de usuário para obter acesso às suas contas. É melhor nem correr o risco.

Quanto mais usuários você tiver reutilizando senhas, mais fraca será a segurança de login do WordPress. Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados foi 123456. A segurança de login do WordPress do seu site é tão forte quanto o link mais fraco, então seja proativo com requisitos de senha fortes.

Dica: proteja o WordPress de senhas comprometidas

Você pode proteger o WordPress de senhas comprometidas com um plugin como o iThemes Security Pro. O iThemes Security Pro aproveita a API HaveIBeenPwned para detectar se uma senha apareceu ou não em uma violação de dados.

Dica: incentive os usuários a alterar as senhas com frequência

Os recursos de Requisitos de Senha do iThemes Security permitem que você force todos os seus usuários a alterarem suas senhas na próxima vez que fizerem login. Forçar os usuários a criar uma nova senha permite que todos comecem do zero com uma senha forte e descomprometida, o que aumentará seu login do WordPress segurança.

Dica: use um gerenciador de senhas

Em última análise, o uso de um gerenciador de senhas pode ajudá-lo a controlar seus logins e senhas exclusivas. Com a ajuda de um gerenciador de senhas, você não precisa lembrar suas senhas.

3. Limite as tentativas de login

Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login malsucedidas que alguém pode fazer. Sem um limite para o número de tentativas de login malsucedidas que um invasor pode fazer, ele pode continuar tentando um número infinito de nomes de usuário e senhas até ter sucesso.

Aumente a segurança de login do WordPress instalando um plugin de segurança do WordPress como o iThemes Security Pro para limitar o número de tentativas de login com falha. O recurso de proteção contra força bruta do iThemes Security Pro WordPress permite definir o número de tentativas de login malsucedidas permitidas antes que um nome de usuário ou IP seja bloqueado. Um bloqueio desativará temporariamente a capacidade do invasor de fazer tentativas de login. Assim que os invasores forem bloqueados três vezes, eles serão proibidos até de visualizar o site.

4. Limite as tentativas de autenticação externa por solicitação

Existem outras maneiras de fazer login no WordPress além de usar um formulário de login. Usando XML-RPC, um invasor pode fazer centenas de tentativas de nome de usuário e senha em uma única solicitação HTTP. O método de amplificação de força bruta permite que os invasores façam milhares de tentativas de nome de usuário e senha usando XML-RPC em apenas algumas solicitações HTTP. Quando você sabe que um invasor pode usar despejos de banco de dados como ponto de partida e fazer milhares de suposições por solicitação, isso torna a importância da segurança de login do WordPress muito mais clara.

Além disso, quando você está desenvolvendo seu plano de segurança de login do WordPress, é importante estar ciente de que a API Rest do WordPress adiciona outras maneiras de autenticar um usuário do WordPress. A autenticação por cookie é um método de autenticação quando você faz login. O WordPress armazena automaticamente um cookie para que plug-ins e temas possam executar uma função em seu nome. A autenticação de cookies se beneficiará das proteções que você adicionou ao wp-login.php.

5. Use autenticação de dois fatores

Salvei o método da melhor maneira de aumentar a segurança de login do WordPress para o final: a autenticação de dois fatores do WordPress. A autenticação de dois fatores requer um código extra junto com seu nome de usuário e senha do WordPress para fazer login.

Existem muitos métodos de autenticação de dois fatores, mas nem todos os métodos são criados iguais. Se possível, evite usar texto para autenticação de dois fatores. O Instituto Nacional de Padrões e Tecnologia não recomenda mais o uso de SMS para enviar e receber códigos de autenticação.

Usando um plug-in de segurança do WordPress, como o iThemes Security Pro, você deve habilitar o e-mail ou o método de aplicativo móvel de dois fatores.

Observe que muitos sites exigem que você use um endereço de e-mail como nome de usuário. Se um invasor invadir um desses sites, a próxima etapa será tentar fazer login em contas de e-mail usando os novos endereços de e-mail e senhas que roubaram. Se um de seus usuários ou clientes estiver reutilizando senhas comprometidas em todos os sites, sua conta de e-mail, junto com seus códigos de e-mail de dois fatores, será comprometida.

Recapitulação: uma lista de verificação simples de segurança de login do WordPress

A segurança de login do WordPress deve ser uma prioridade em todos os sites. Agora que você sabe como aumentar a segurança de login em seu site, pode aproveitar essa estratégia eficaz de prevenção de hack.

• 1. Use senhas fortes
• 2. Use senhas exclusivas para todas as contas
• 3. Limite as tentativas de login
• 4. Limite as tentativas de autenticação
• 5. Use autenticação de dois fatores

Um plug-in de segurança do WordPress pode ajudar a proteger seu site do WordPress

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 30 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com a autenticação de dois fatores do WordPress, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Obtenha o iThemes Security agora

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.