Como: Proteger seu login do WordPress contra hackers

Publicados: 2015-04-03

Os hackers já dominaram o mundo.

Existem dados estatísticos suficientes sobre segurança da informação para que nenhum sistema seja seguro.

Os hackers estão evoluindo e existem ferramentas e técnicas suficientes disponíveis online, que podem facilmente ensinar qualquer pessoa a se tornar um hacker.

Nenhum sistema é completamente seguro , tudo é hackeável. A razão é simples; a criatividade não tem limites e é difícil fazer qualquer sistema ficar no caminho da mente humana. Mas, realmente não podemos deixar o site WordPress apenas pela crença de que ele será hackeado um dia ou outro.

A parte mais fraca do WordPress é sua página de login. Todo mundo conhece suas limitações e os hackers, especialmente, gostariam de forçar a página de login para obter acesso ao painel do WordPress. Uma vez que os hackers chegam ao painel, eles têm poder infinito e podem facilmente causar estragos no site.

O uso correto de plugins de segurança, práticas e mudanças únicas na plataforma WordPress podem reduzir as chances de ser hackeado pelo hacker. Existem muitos plugins, tutoriais e outras coisas que podem ajudá-lo a conseguir isso e hoje vamos passar por maneiras de proteger o login do WordPress de hackers.

Índice

1. Use limite de tentativas de login

Os ataques BurteForce são comuns – os hackers tentarão todas as combinações possíveis e chegarão a uma combinação que funcione. Então, como você iria parar com isso? Limitar o número de tentativas de login? Sim, você está certo.

E para alcançar o resultado desejado, é melhor usar o plugin Limit Login Attempts. O plugin tem mais de 1 milhão de instalações e funciona perfeitamente com a versão 4.1.1 mais recente.

O plug-in pode ser usado para limitar o número de tentativas que alguém tem no prompt de login. Em caso de violação, ele bloqueia o IP e impede qualquer tentativa de força bruta na página de login do WordPress.

Baixe o limite de tentativas de login aqui.

2. Limite os logins de administrador do WordPress por endereço IP

Se for apenas você que precisa ter acesso à sua área de administração, adicione este código ao seu arquivo .htaccess localizado no documento raiz do seu domínio, certificando-se de marcar “mostrar arquivos ocultos”. Arquivos ocultos do cPanel

3. Para acesso a um único endereço IP, use:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Para acesso múltiplo por IP, use: 

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.121</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.122</strong>$
RewriteCond %{REMOTE_ADDR} !^<strong>123\.123\.123\.123</strong>$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Observe que você precisa substituir 123\.123\.123\.121 pelo seu próprio endereço IP. Se você não conhece acesse: whatismyipaddress.com

4. Altere o nome de usuário padrão de admin para outro.

Eu tenho usado o WordPress nos últimos seis meses e criei centenas de clientes WordPress que eu cuido, que têm uma coisa em comum. O nome de usuário do blog, sim, seu “admin”.

Por motivos óbvios, é uma boa prática criar outro superusuário e excluir o nome de usuário do administrador. Mantenha essa prática em todos os sites WordPress que você já fez em sua vida. Isso pode salvar seu precioso blog.

A razão é simples; hackers tentam as configurações padrão que vêm com o blog WordPress de sua hospedagem. E, não posso pressionar a necessidade de alterar a senha também. A senha padrão também é um assassino para a segurança da sua página de login.

Vamos discuti-lo no próximo ponto.

5. Use uma senha longa criativa

As senhas são necessárias para proteção. Todos nós adoramos senhas curtas e doces, pois são fáceis de lembrar e usar. Mas, eles vêm com um custo. As senhas fracas como 123456, name123, schooname123 etc. são tão comuns que os hackers as usam para forçar a página de login. O dicionário de força bruta contém todas essas senhas por padrão e pode quebrar facilmente a página de login em minutos.

Então, o que constitui uma boa senha?

Qualquer senha alfanumérica que contenha letras, caracteres especiais e números são as melhores senhas disponíveis. Mas há um problema, os usuários também podem criar uma senha muito simples. Por exemplo name123#, a combinação é fácil de decifrar usando ataques de força bruta.

Como superar o erro humano na criação de senhas?

A resposta é usar o gerador de senha automatizado. O mais famoso é o gerador de senhas Random.org. O gerador de senhas gera senhas de alta resistência.

6. Use o Google Captcha

Eu amo o Google Captcha. Ele fornece a proteção básica de login para a página do WordPress. Eu uso o limite de login e o Google Captcha no meu blog WordPress. Mesmo assim, pode funcionar bem, eu argumentaria contra isso, pois fornece proteção contra os ataques automatizados de força bruta, muito melhor do que o plug-in de limites de login.

Você encontrará muitos plugins do Google Captcha no WordPress, mas o Google Captcha by BestWebSoft Plugin é a melhor escolha. Sua implementação limpa do Google Captcha na página de login. Além disso, você pode usar o plugin com outros formulários em seu blog WordPress, aumentando o escopo de uso do Google Captcha no blog WordPress.

7. Altere o URL padrão da página de login

Eu já mencionei como os hackers exploram as configurações padrão definidas durante a instalação do site WordPress. Outro aspecto altamente vulnerável é o URL da página de login.

A página de URL padrão do login do WordPress é www.websitename.com/wp-admin

Então, qual é o problema aqui? A melhor abordagem é concluir a alteração da página de login do site WordPress. Dessa forma, a maioria dos hackers sairá na primeira instância de não encontrar a página de login.

A página de login de alteração é ótima para a organização que trabalha no site WordPress e tem muitos usuários que constantemente fazem login e logout do sistema.

Há um ótimo artigo sobre como alterar o URL padrão da página de login em gerenciar wp. Eu recomendo que você acesse o link e altere o URL de login padrão para algo diferente.

Embrulhar

A página de login é o ponto de entrada para o local mais poderoso de qualquer site, ou seja, o painel do WordPress. A partir do painel (com o privilégio certo) pode alterar facilmente todos os diferentes aspectos do site. O Dashboard também pode ser usado para conquistar todo o site e roubar informações importantes sobre plugins, configurações e conteúdo.

Para proteger seu site contra hackers, é uma boa prática fazer backups regulares do seu site. Geralmente, os provedores de hospedagem na web fazem backup do seu site, mas há uma regra geral para criar backups por conta própria.

O WordPress é uma plataforma incrível, mas não cuidar das configurações básicas de segurança pode facilmente incentivar os hackers a invadir o sistema. Já passei pelo problema de não proteger a página de login e meu histórico de login sempre mostra alguém tentando fazer login. Com o uso da tentativa de limite de login e do Google Captcha, as tentativas de login falso foram completamente minimizadas.

Tem algo a acrescentar à história? Comente abaixo e deixe-nos saber.