Como e por que você deve limitar as tentativas de login no WordPress (Plugin + Código)

Publicados: 2024-04-13

Seu site WordPress é como sua casa no mundo online. Assim como você trancaria suas portas para impedir a entrada de intrusos, é essencial proteger seu site contra ameaças cibernéticas.

Uma maneira inteligente de fazer isso é limitar as tentativas de login. É como colocar um guarda no portão, pronto para impedir qualquer um que tente entrar. E como você sabe, o WordPress é um alvo comum para todos os hackers. Uma estatística recente sobre segurança do WordPress compartilhada pela Colorlib mostra que

Pelo menos 13.000 sites WordPress são hackeados todos os dias.

Portanto, para proteger o seu site, você deve limitar as tentativas de login no seu site WordPress.

Se você está se perguntando como limitar as tentativas de login, não se preocupe. Neste tutorial passo a passo, mostraremos como limitar as tentativas de login no WordPress em menos de 10 minutos , garantido.

Excitado? Incrível. Vamos começar!

Por que você deve limitar as tentativas de login no WordPress

O principal motivo para limitar as tentativas de login em seu site é protegê-lo. Aqui estão três motivos principais para limitar as tentativas de login:

(I) Interrompe ataques de força bruta

Os ataques de força bruta são uma tática comum em que os hackers usam ferramentas automatizadas para adivinhar nomes de usuários e senhas repetidamente até obterem acesso.

Por padrão, o WordPress permite tentativas ilimitadas, facilitando o sucesso dos invasores por tentativa e erro. Limitar as tentativas reduz significativamente as chances de um ataque de força bruta bem-sucedido.

(II) Evita o preenchimento de credenciais

O preenchimento de credenciais envolve o uso de combinações de nome de usuário e senha roubadas (de outras violações de dados) para tentar fazer login em sites diferentes.

Com tentativas limitadas, mesmo que sejam usadas credenciais roubadas, o invasor fica bloqueado antes de adivinhar as credenciais corretas.

(III) Reduz a carga de segurança

Tentativas ilimitadas podem levar a uma enxurrada de solicitações de login, sobrecarregando o servidor e afetando o desempenho do site.

Limitar as tentativas reduz o número de logins com falha, diminuindo a pressão sobre os recursos do seu servidor.

Leia também: Uma lista de verificação detalhada de segurança de sites WordPress para 2024

2 maneiras fáceis de limitar tentativas de login no WordPress

Esta é a imagem principal do blog - Como limitar os limites de login no WordPress

Agora você sabe por que deve limitar as tentativas de login. É hora de mostrar como fazer isso. Existem principalmente duas maneiras de limitar as tentativas de login no WordPress. Eles são:

Limitar tentativas de login usando um plug-in
Limitar tentativas de login manualmente

Mostraremos as duas maneiras com as capturas de tela e o código necessários. Então, sem mais delongas, vamos começar com o tutorial!

Método 01: Limitar tentativas de login no WordPress usando um plug-in

Existem vários plug-ins de limite de tentativas de login do WordPress disponíveis, para ser honesto. Você pode ir ao repositório de plug-ins do WordPress e simplesmente pesquisar o plug-in – “Plugins de limite de login do WordPress” e você obterá vários plug-ins. Escolha um plugin confiável de acordo com sua escolha.

No entanto, neste tutorial, usaremos o plugin “Limit Login Attempts Reloaded” para mostrar como limitar as tentativas de login em seu site WordPress. Este é o plugin mais popular nesta categoria, com mais de 2 milhões de instalações ativas e uma inacreditável classificação de 4,9 em 5.

Agora vamos começar com o tutorial!

Etapa 01: Instale o plug-in de limite de tentativas de login recarregado

Faça login no back-end do WordPress e navegue até Plugins -> Add New Plugin . Existe uma caixa de pesquisa para procurar o plugin. Digite o nome do plugin – Limit Login Attempts Reloaded e instale o plugin a partir do resultado da pesquisa.

Por fim, ative o plugin para utilizá-lo em seu site.

Esta captura de tela mostra como instalar e ativar o plugin Limit Login Attempts Reloaded

Etapa 02: Configurar o plug-in recarregado de limite de tentativas de login

Após ativar o plugin, navegue até o painel do WordPress. Lá você encontrará uma nova opção no painel esquerdo – Limitar tentativas de login .

Agora passe o mouse sobre a opção Limitar tentativas de login e clique no botão Configurações . Isso o levará a uma nova interface.

Aqui você pode clicar na opção de conformidade com o GDPR para mostrar a mensagem do GDPR em sua página de login. Além disso, você deve inserir seu e-mail aqui para receber atualizações sobre quem está bloqueado no seu site.

Esta é uma captura de tela da página de configurações Limitar tentativas de login recarregadas

Agora role um pouco para baixo e concentre-se no segmento de aplicativo local.

Existem algumas opções para configurar:

Novas tentativas permitidas: número de tentativas fracassadas permitidas antes do bloqueio.
Bloqueio de minutos: Tempo de bloqueio em minutos.
Tempo de bloqueio : Após o número especificado de bloqueios, o tempo de bloqueio aumentará nas horas especificadas.
Horas até que as novas tentativas sejam redefinidas: Tempo em horas antes que os blocos sejam removidos.

Esta é a captura de tela que mostra as configurações de Limitar tentativas de login

Após configurar essas opções, não se esqueça de clicar no botão Salvar configurações para salvar todas as alterações.

Etapa 03: verifique se está funcionando

Agora saia do seu site WordPress e tente fazer login novamente com as credenciais erradas. Se mostrar quantas tentativas restantes ou bloquear você, podemos dizer que está funcionando perfeitamente.

Esta é uma captura de tela da página de login do WordPress

Agora navegue até Limitar tentativas de login -> Painel para verificar o relatório de login com falha.

Isso é tudo!

É assim que você pode limitar as tentativas de login no seu site usando um plugin do WordPress.

Método 02: Limitar tentativas de login manualmente (codificação)

Se não quiser adicionar um plugin extra para limitar as tentativas de login, você pode fazer isso acessando seu arquivo functions.php.

Para fazer isso, você precisa fazer login no seu painel de controle (cPanel). Em seguida, navegue até Gerenciador de arquivos -> public_html -> wp-content -> temas -> seu tema atualmente ativado.

Lá você encontrará o arquivo functions.php .

Esta imagem mostra o arquivo functions.php

Clique no arquivo e cole este código na parte inferior do arquivo.

Por fim, salve o arquivo para concluir este processo.

 function check_attempted_login( $user, $username, $password ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); if ( $datas['tried'] >= 3 ) { $until = get_option( '_transient_timeout_' . 'attempted_login' ); $time = time_to_go( $until ); return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: You have reached authentication limit, you will be able to try again in %1$s.' ) , $time ) ); } } return $user; } add_filter( 'authenticate', 'check_attempted_login', 30, 3 ); function login_failed( $username ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); $datas['tried']++; if ( $datas['tried'] <= 3 ) set_transient( 'attempted_login', $datas , 300 ); } else { $datas = array( 'tried' => 1 ); set_transient( 'attempted_login', $datas , 300 ); } } add_action( 'wp_login_failed', 'login_failed', 10, 1 ); function time_to_go($timestamp) { // converting the mysql timestamp to php time $periods = array( "second", "minute", "hour", "day", "week", "month", "year" ); $lengths = array( "60", "60", "24", "7", "4.35", "12" ); $current_timestamp = time(); $difference = abs($current_timestamp - $timestamp); for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) - 1; $i ++) { $difference /= $lengths[$i]; } $difference = round($difference); if (isset($difference)) { if ($difference != 1) $periods[$i] .= "s"; $output = "$difference $periods[$i]"; return $output; } }

Agora saia do seu site WordPress e tente fazer login novamente com as credenciais erradas. Se isso bloquear seu acesso ao seu site, isso significa que você implementou com sucesso o recurso de limite de tentativas de login para o seu site WordPress.

Parabéns!

Agora você sabe como limitar as tentativas de login no WordPress com e sem uso de plugin.

Bônus: práticas recomendadas para melhorar sua segurança de login

Melhorar a segurança de login em seu site WordPress é crucial para proteger seu site e seus dados contra acesso não autorizado.

Aqui estão algumas práticas recomendadas para aumentar a segurança de seu login:

Defina uma senha de login forte : Use uma senha complexa e exclusiva para seu login do WordPress. Evite senhas comuns como “password123” ou frases facilmente adivinháveis. Opte por uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Senhas mais longas geralmente são mais seguras. Além disso, considere usar um gerenciador de senhas para gerar e armazenar suas senhas com segurança.
Use reCAPTCHA : integre o reCAPTCHA à sua página de login para evitar que bots automatizados tentem entrar no seu site com força bruta. O reCAPTCHA exige que os usuários verifiquem se são humanos completando um desafio simples, como selecionar imagens ou resolver quebra-cabeças. Isso ajuda a bloquear bots maliciosos e, ao mesmo tempo, permite que usuários legítimos acessem seu site sem obstáculos.
Implementar autenticação de dois fatores (2FA) : habilite a autenticação de dois fatores para uma camada extra de segurança além de apenas uma senha. Com o 2FA, os usuários são obrigados a fornecer uma segunda forma de verificação, como um código temporário enviado ao seu dispositivo móvel ou gerado por um aplicativo de autenticação, além da senha. Isto reduz significativamente o risco de acesso não autorizado, mesmo que as senhas sejam comprometidas.
Desabilitar usuários inativos : Revise e desabilite regularmente contas de usuários inativos para minimizar o risco de acesso não autorizado. Contas não utilizadas ou inativas podem ser alvos fáceis de exploração por hackers. Considere implementar processos automatizados para desativar contas que estiveram inativas por um período específico ou exigir que os usuários confirmem periodicamente sua atividade.

Ao implementar essas práticas recomendadas, você pode melhorar significativamente a segurança de login do seu site WordPress, reduzindo o risco de acesso não autorizado e melhorando a proteção geral contra atividades maliciosas.

Resumindo como limitar tentativas de login no WordPress

É isso no nosso guia sobre como limitar as tentativas de login no WordPress! Lembre-se de que esta etapa simples pode fazer uma grande diferença para manter seu site protegido contra ameaças online. É como colocar uma fechadura na sua porta digital – essencial para proteger suas informações valiosas.

À medida que avança com seu site, tenha a segurança em mente. Mantenha-se atualizado sobre as dicas de segurança mais recentes e esteja pronto para ajustar suas medidas conforme necessário. Afinal, manter seu site seguro é um trabalho contínuo.

Portanto, sinta-se confiante em fortalecer a segurança do seu site. Ao limitar as tentativas de login, você não está apenas protegendo a si mesmo, mas também aos seus visitantes. Um brinde a uma comunidade WordPress mais segura e feliz – um passo de cada vez. Fique seguro e continue prosperando online!