8 maneiras de proteger seu login do WordPress

O URL de login do WordPress é o mesmo para todos os sites do WordPress e não requer nenhuma permissão especial de acesso. Qualquer pessoa com experiência em WordPress sabe que a URL de login está localizada na página /wp-login.php .

A acessibilidade da página de login do WordPress a torna a parte mais atacada - e potencialmente a mais vulnerável - de qualquer site do WordPress. Felizmente para nós, o plugin iThemes Security Pro torna mais fácil proteger o seu login do WordPress.

Vamos dar uma olhada nas ferramentas do iThemes Security Pro que você pode usar para proteger seu login do WordPress e torná-lo quase impenetrável!

1. Limite as tentativas de login

A primeira etapa para proteger seu login do WordPress é limitar as tentativas de login malsucedidas. Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login malsucedidas que alguém pode fazer. Sem um limite para o número de tentativas malsucedidas de login que um invasor pode fazer, ele pode continuar tentando uma combinação de diferentes nomes de usuário e senhas até encontrar um que funcione.

O recurso de proteção contra força bruta local do iThemes Security Pro mantém registros de tentativas de login inválidas feitas por um host ou endereço IP e um nome de usuário. Depois que um IP ou nome de usuário fizer muitas tentativas consecutivas de login inválido, ele será bloqueado e impedido de fazer mais tentativas por um determinado período de tempo.

Para começar a usar o recurso Local Brute Force Protection , habilite-o na página principal da página de configurações do iThemes Security Pro.

As configurações de proteção de força bruta local permitem que você defina os limites para bloqueios.

• Máximo de tentativas de login por host - O número de tentativas de login inválidas que um IP é permitido antes de ser bloqueado.
• Máximo de tentativas de login por usuário - Este é o número de tentativas de login inválidas que um nome de usuário é permitido antes de ser bloqueado.
• Minutos para lembrar login incorreto - Este é o tempo que uma tentativa de login inválido deve contar em relação a um IP ou nome de usuário para um bloqueio.
• Proibir automaticamente o usuário “admin” - Quando ativado, qualquer pessoa que use o nome de usuário Admin ao fazer login recebe um bloqueio automático.

Há algumas coisas que você deseja manter em mente ao definir as configurações de bloqueio. Você deseja mover tentativas de login inválidas para usuários do que você fornece IPs. Digamos que seu site esteja sob um ataque de força bruta e o invasor esteja usando seu nome de usuário. O objetivo é bloquear o IP do invasor e não o seu nome de usuário, para que você ainda possa fazer o login e realizar o trabalho, mesmo quando o seu site estiver sob ataque.

Você também não deseja tornar essas configurações muito restritas, definindo o número de tentativas de login inválidas muito baixo e o tempo para lembrar de tentativas inválidas muito longo. Se você diminuir o número de tentativas de login inválidas para hosts / IPs para 1 e definir os minutos para lembrar uma tentativa de login incorreta para um mês, estará aumentando drasticamente a probabilidade de bloquear inadvertidamente usuários legítimos.

2. Limite as tentativas de autenticação externa por solicitação

Existem outras maneiras de fazer login no WordPress além de usar um formulário de login. Usando XML-RPC, um invasor pode fazer centenas de nomes de usuário e tentativas de senha em uma única solicitação HTTP. O método de amplificação de força bruta permite que os invasores façam milhares de tentativas de nome de usuário e senha usando XML-RPC em apenas algumas solicitações HTTP.

Usando as configurações de Tweaks do WordPress do iThemes Security Pro, você pode bloquear várias tentativas de autenticação por solicitação XML-RPC. Limitar o número de tentativas de nome de usuário e senha a um para cada solicitação ajudará muito a proteger seu login do WordPress.

3. Proteção de força bruta da rede

Limitar as tentativas de login tem tudo a ver com proteção de força bruta local. A proteção de força bruta local analisa apenas as tentativas de acesso ao seu site e bane os usuários de acordo com as regras de bloqueio especificadas nas configurações de segurança.

A proteção de força bruta da rede leva isso um passo adiante. A rede é a comunidade iThemes Security e possui mais de um milhão de websites. Se um IP for identificado como tentativa de invadir sites na comunidade do iThemes Security, o IP será adicionado à lista de banidos da Network Brute Force.

Uma vez que um IP esteja na lista de banidos da Força Bruta da Rede, o IP será bloqueado em todos os sites da rede. Portanto, se um IP atacar meu site e for banido, será relatado à Rede de Força Bruta da iThemes Security. Meu relatório pode ajudar a banir o IP de toda a rede. Adoro poder ajudar a proteger o login do WordPress de outras pessoas apenas habilitando a proteção de rede de segurança do iThemes.

Para começar a usar o Network Force Protection , habilite-o na página principal das configurações de segurança.

Em seguida, insira seu endereço de e-mail, escolha se deseja ou não receber atualizações por e-mail e clique no botão Salvar .

4. Forçar senhas fortes

Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados era 123456. Um despejo de dados é um banco de dados invadido cheio de senhas de usuário despejadas em algum lugar da Internet. Você consegue imaginar quantas pessoas em seu site usam uma senha fraca se 123456 for a senha mais comum em despejos de dados?

Usar uma senha fraca é como tentar trancar a porta da frente com um pedaço de fita adesiva. Nunca demorou muito para que os hackers abrissem caminho à força através de uma senha fraca e entrassem em um site. Agora que os hackers estão utilizando placas gráficas de computador em seus ataques, o tempo que leva para quebrar uma senha nunca foi menor.

Por exemplo, vamos dar uma olhada em um gráfico criado pela Terahash, uma empresa de quebra de senhas de alto desempenho. O gráfico mostra o tempo que leva para quebrar uma senha usando um cluster de hashstack de 448x RTX 2080s.

Por padrão, o WordPress usa MD5 para fazer o hash das senhas de usuário armazenadas no banco de dados WP. Portanto, de acordo com este gráfico, Terahash poderia quebrar uma senha de 8 caracteres ... quase que instantaneamente. Isso não é apenas superimpressionante, mas também assustador. A boa notícia é que podemos proteger nosso login do WordPress exigindo que nossos usuários de alto nível usem senhas fortes.

O recurso de Requisito de senha do iThemes Security Pro permite que você force usuários específicos a usar uma senha forte. Habilite o recurso Requisitos de senha na página principal das configurações de segurança e selecione os usuários que você deseja que usem uma senha forte.

5. Senhas comprometidas recusadas

De acordo com o Relatório de investigações de violação de dados da Verizon, mais de 70% dos funcionários reutilizam senhas no trabalho. Mas a estatística mais importante do relatório é que 81% das violações relacionadas a hackers aproveitaram senhas roubadas ou fracas.

Os hackers usam uma forma de ataque de força bruta chamada de ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que aparecem em despejos de banco de dados. A “Coleção nº 1? A violação de dados hospedada no MEGA incluiu 1.160.253.228 combinações exclusivas de endereços de e-mail e senhas. Isso é um bilhão com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas do WordPress mais comumente usadas.

É fundamental evitar que usuários com recursos de nível de autor ou superior usem senhas comprometidas para proteger seu login do WordPress. Você também pode pensar em não permitir que seus usuários de nível inferior usem senhas comprometidas.

É totalmente compreensível e encorajado a tornar a criação de uma nova conta de cliente o mais fácil possível. No entanto, seu cliente pode não saber que a senha que está usando foi encontrada em um despejo de dados. Você estaria prestando um grande serviço ao seu cliente, alertando-o sobre o fato de que a senha que ele está usando foi comprometida. Se eles estiverem usando essa senha em todos os lugares, você poderá evitá-los de grandes dores de cabeça no futuro.

O recurso Recusar senhas comprometidas do iThemes Security Pro força os usuários a usar senhas que não tenham aparecido em nenhuma violação de senha rastreada por Have I Been Pwned. Habilite o recurso Requisitos de senha na página principal das configurações de segurança e selecione os usuários que você deseja impedir de usar uma senha comprometida.

6. Use autenticação de dois fatores

Usar autenticações de dois fatores é a melhor coisa que você pode fazer para proteger seu login do WordPress. A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados. Eu realmente gosto dessas probabilidades.

O recurso de autenticação de dois fatores do iThemes Security Pro oferece muita flexibilidade ao implementar 2fa em seu site. Você pode habilitar dois fatores para todos ou alguns de seus usuários e pode forçar seus usuários de alto nível a usar 2fa em cada login.

Para sua conveniência, o iThemes Security Pro oferece 2 métodos diferentes de autenticação de dois fatores.

1. Aplicativo móvel - O método do aplicativo móvel é o método mais seguro de autenticação de dois fatores fornecido pelo iThemes Security Pro. Este método requer que você use um aplicativo móvel gratuito de dois fatores como o Authy.
2. E - mail - o método de e-mail de dois fatores enviará códigos urgentes para o endereço de e-mail do seu usuário.
3. Códigos de backup - Um conjunto de códigos de uso único que podem ser usados ​​para fazer o login no caso de perda do método principal de dois fatores.

7. Bloqueie Bad Bots com Google reCAPTCHA v3

O recurso reCAPTCHA do iThemes Security Pro do Google no iThemes Security Pro protege seu site de bots nocivos. Esses bots estão tentando invadir seu site usando senhas comprometidas, postando spam ou até mesmo roubando seu conteúdo. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

O que é ótimo sobre o reCAPTCHA versão 3 é que ele ajuda a detectar o tráfego abusivo de bots em seu site sem qualquer interação do usuário. Em vez de mostrar um desafio CAPTCHA, o reCAPTCHA v3 monitora as diferentes solicitações feitas em seu site e retorna uma pontuação para cada solicitação. A pontuação varia de 0,0 a 1. Quanto mais alta a pontuação retornada pelo reCAPTCHA, mais confiança terá de que um ser humano fez a solicitação. Quanto mais baixa for a pontuação retornada pelo reCAPTCHA, mais confiante será de que um bot fez a solicitação.

Para começar a usar o Google reCAPTCHA v3 , ative a opção na página principal das configurações de segurança.

Em seguida, você precisará selecionar o reCAPTCHA v3 à medida que o reCAPTCHA digita e gera suas chaves a partir do administrador do Google

O iThemes Security Pro permite definir um limite de bloqueio usando a pontuação reCAPTCHA. O Google recomenda usar 0,5 como padrão. Lembre-se de que você pode bloquear inadvertidamente usuários legítimos se definir o limite muito alto.

Você pode ativar o reCAPTCHA em seu registro de usuário do WordPress, redefinir a senha, login e comentários. O iThemes Security Pro permite que você execute o script do Google reCAPTCHA em todas as páginas para aumentar a precisão de seu bot em comparação com a pontuação humana. Ativar o reCAPTCHA v3 é uma ótima maneira de proteger seu login do WordPress.

8. Limite o acesso do dispositivo ao painel WP

A última etapa para proteger seu login do WordPress é limitar o acesso ao painel do WordPress a um conjunto de dispositivos. O recurso Dispositivos confiáveis ​​iThemes Security Pro identifica os dispositivos que você e outros usuários usam para fazer login no seu site WordPress. Quando um usuário faz login em um dispositivo não reconhecido, os Dispositivos confiáveis ​​podem restringir seus recursos de nível de administrador. Isso significa que um hacker foi capaz de contornar seus outros métodos de segurança de login - o que não é muito provável - eles não teriam a capacidade de fazer alterações maliciosas em seu site.

Para começar a usar Dispositivos confiáveis , habilite-os na página principal das configurações de segurança e clique no botão Definir configurações .

Nas configurações de Dispositivos confiáveis, decida quais usuários você deseja usar o recurso e ative os recursos Restringir capacidades e Proteção contra sequestro de sessão .

Depois de habilitar a nova configuração Dispositivos confiáveis, os usuários receberão uma notificação na barra de administração do WordPress sobre dispositivos pendentes não reconhecidos. Se o seu dispositivo atual não foi adicionado à lista de dispositivos confiáveis, clique no link Confirmar este dispositivo para enviar o e-mail de autorização .

Clique no botão Confirmar dispositivo no e-mail de login não reconhecido para adicionar seus dispositivos atuais à lista Dispositivos confiáveis.

Empacotando

A acessibilidade da página de login do WordPress a torna a parte mais atacada - e potencialmente vulnerável - de qualquer site do WordPress. No entanto, se você estiver usando o iThemes Security Pro, pode ficar tranquilo.

Certifique-se de usar as 8 ferramentas do iThemes Security Pro para proteger o seu login do WordPress que foram compartilhados nesta postagem.

• 1. Limite as tentativas de login
• 2. Limite as tentativas de autenticação externa por solicitação
• 3. Proteção de força bruta da rede
• 4. Forçar senhas fortes
• 5. Senhas comprometidas recusadas
• 6. Use autenticação de dois fatores
• 7. Bloqueie Bad Bots com o Google reCAPTCHA v3
• 8. Limite o acesso do dispositivo ao painel WP

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.