Como proteger a página de login do WordPress? (com vídeo)

Última atualização - 8 de julho de 2021

A segurança do site é uma das preocupações comuns de um proprietário de site WordPress. Embora o WordPress seja uma plataforma segura, os sites geralmente estão sujeitos a muitas tentativas de hackers. Geralmente, os especialistas em WordPress aconselham usar uma solução de segurança para ter cuidado. Felizmente, existem várias soluções de segurança disponíveis no ecossistema WordPress para ajudá-lo a proteger seu site. Além disso, existem várias estratégias que você pode adotar para manter seu site protegido contra malware e invasores. É melhor seguir essas práticas para garantir que seu site não seja vulnerável a ataques. Neste artigo, discutiremos algumas estratégias para proteger sua página de login do WordPress.

Use nome de usuário e senha seguros

Você precisa ter um nome de usuário e senha seguros para o seu site WordPress. Isso ajudará você a proteger seu site contra ataques de força bruta. Ataques de força bruta são casos em que hackers tentam violar o login do seu site tentando incansavelmente diferentes combinações de nome de usuário e senhas. Ter um nome de usuário diferente do padrão “admin” é especialmente importante neste caso. Se você mantiver admin como seu nome de usuário, os hackers serão salvos de ter problemas para adivinhar seu nome de usuário. Um dos primeiros passos que você pode tomar para proteger sua página de login do WordPress será alterar o nome de usuário de admin para outro.

Agora, será de conhecimento geral que você deve usar uma senha segura. O WordPress, por padrão, gera senhas fortes, mesmo que você possa optar por uma mais fraca. Os especialistas desaconselham fortemente a escolha de uma senha fraca. Para isso, você pode usar um dos plug-ins de segurança populares que forçarão o uso de uma senha forte. Se você tiver muitos usuários externos, essa pode ser uma boa abordagem para tornar seu site mais seguro.

Limite o número de usuários que você adiciona

Se você permitir que outros usuários façam login no back-end do seu site, você deve ter algum cuidado. O site fica mais vulnerável quando vários usuários têm acesso de administrador ao seu site. Portanto, a coisa sensata a fazer será evitar isso, a menos que seja extremamente necessário. Se o seu site permitir conteúdo gerado pelo usuário, você poderá criar funções de usuário e limitar os recursos de cada função de usuário de acordo com seus requisitos específicos.

Saiba mais sobre as funções de usuário do WordPress e como você pode personalizar os recursos do usuário.

Limitar tentativas de login

Uma das principais estratégias adotadas pelos hackers são as tentativas de login de força bruta. Para que isso seja bem-sucedido, eles terão que tentar acessar seu site várias vezes. Ao limitar o número de tentativas de login, você pode impedir essa opção. Existem ferramentas disponíveis no ecossistema WordPress que o ajudarão a limitar as tentativas de login em seu site. Discutiremos algumas das opções de segurança populares que você pode usar posteriormente neste artigo.

Desativar dicas de login

Outro aspecto em que você pode se concentrar para tornar sua página de login do WordPress mais segura seria desabilitar as dicas de login que o WordPress oferece. Basicamente, quando você digita uma senha ou nome de usuário incorreto, o WordPress fornece um indicador claro de qual credencial está errada. Por exemplo, ele exibirá claramente um aviso mostrando qual está correto e o que está incorreto. Isso ajudará os invasores a saber que adivinharam o nome de usuário ou a senha corretamente.

Você pode usar o trecho de código abaixo para desativar essas dicas de login. Basta colar o código no arquivo functions.php do seu tema.
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Isso mostrará uma mensagem de erro genérica em vez de uma mensagem específica ajudando os invasores.

Personalizar URL de login

Em outro artigo, discutimos como acessar a página de login no seu navegador. Agora, este é o método padrão para acessar a página de login, que provavelmente é como os hackers também a veem. Você pode ocultar a página de login e torná-la menos óbvia para evitar que hackers tentem violar sua parede de segurança.

Existem maneiras de proteger a página de login, bem como o diretório wp-admin para tornar seu site mais seguro. Você pode usar o plugin WPS Hide Login para alterar a página de URL com segurança. Basicamente, ele apenas interrompe as solicitações da página e ajuda você a exibir um URL personalizado para login. Somente os usuários do seu site aos quais você fornece esse URL poderão acessar a página. Você pode simplesmente desativar o plugin para reverter o site para a página de login padrão.

Proteja o diretório de administração do WordPress

Seu site WordPress é basicamente protegido pela senha que você usa. De acordo com especialistas, você pode adicionar uma opção de proteção adicional protegendo com senha o diretório de administração do WordPress. Você pode fazer isso manualmente entrando no cPanel do seu serviço de hospedagem. Aqui, você poderá encontrar o diretório wp-admin, que você pode proteger com senha e criar usuários que possam acessar. Você também pode fazer isso manualmente criando um arquivo .htpasswds.

Obtenha um certificado SSL

SSL ou Secure Socket Layer cria uma opção de segurança adicional para sites. Ele criptografa a comunicação entre o servidor e o navegador. Isso impedirá que hackers acessem informações, principalmente transações financeiras online. Ter um certificado SSL para o seu site tornará a página de login do WordPress também mais segura. Você pode comprar o SSL de um provedor de terceiros, como a Comodo. Ou você pode até obter um certificado SSL gratuito da Let's Encrypt. Muitos serviços de hospedagem fornecem SSL compartilhado gratuitamente quando você opta por um de seus planos de hospedagem.

Você pode entender mais sobre os benefícios de obter um certificado SSL aqui.

Autenticação de dois fatores

A autenticação de dois fatores adiciona uma outra etapa de login quando os usuários tentam fazer login no seu site. Basicamente, quando um usuário tenta fazer login, junto com o nome de usuário e a senha, ele terá que inserir um código de verificação adicional. Este código de verificação será enviado para outro dispositivo, que é principalmente um telefone celular. Somente depois que o usuário inserir esse código de verificação, ele poderá acessar seu site.

O Google Authenticator cria códigos de verificação em duas etapas no telefone. Da mesma forma, o reCAPTCHA ajudará a reduzir os logins de spam em seu site.

Atualize o WordPress regularmente

Como proprietário de um site WordPress, você já deve ter visto atualizações regulares do software WordPress. É assim que o WordPress apresenta novos recursos e faz atualizações de segurança e correções de bugs. É muito importante atualizar seu site para a versão mais recente do WordPress. Se você não atualizar, seu site ainda estará vulnerável a muitas ameaças que já foram resolvidas. Além disso, com as atualizações mais recentes, você também terá novos recursos.

Se você estiver usando vários plug-ins e configurações personalizadas em seu site, verifique se a nova atualização não está quebrando nada. Você pode ter um cronograma de atualização para garantir que tudo esteja em ordem. Leia nosso artigo para entender como gerenciar as atualizações do WordPress sem problemas.

Use um plug-in de segurança

Você pode tomar muitas precauções específicas para proteger sua página de login do WordPress. No entanto, também existem opções que ajudarão você a cuidar da segurança do seu site de maneira abrangente. No ecossistema WordPress, você encontrará inúmeras soluções que cuidam de vários aspectos da segurança do site. Eles o ajudarão com monitoramento contínuo do site, proteção contra malware, firewalls e muito mais que fortalecem as defesas do seu site.

Vamos dar uma olhada em alguns dos importantes plugins de segurança do WordPress que podem ajudá-lo a proteger seu site WordPress:

Mochila a jato

O Jetpack garantirá a proteção do seu site por meio de monitoramento contínuo, backup regular e proteção sólida contra invasores indesejados. Aqui estão alguns dos recursos relevantes do Jetpack:

• Ajuda a prevenir ataques de força bruta
• Autenticação segura para sua página de login do WordPress.
• Verificação de malware
• Notifique qualquer tempo de inatividade do site imediatamente.
• Os backups são salvos em um local diferente e com opções de restauração fáceis.
• Relate todas as atividades do site com uma linha do tempo precisa.
• Filtro de comentários.

Wordfence

O Wordfence é outra solução popular que oferece proteção completa para o seu site WordPress. Você encontrará muitos recursos úteis, conforme indicado abaixo:

• Web Application Firewall para bloquear tráfego malicioso em seu site.
• Scanner de segurança para verificar qualquer tentativa de violação.
• Identificar senhas violadas e impedir que esses usuários façam login.
• Monitore o tráfego ao vivo e bloqueie as ameaças percebidas.
• Autenticação de dois fatores
• Reparo de arquivo.

MalCare

Esta é uma das opções confiáveis ​​que oferece segurança completa do WordPress sem afetar o desempenho do seu site. Você encontrará uma opção para remoção instantânea de malware com este plugin. Alguns dos outros recursos a serem observados são:

• Verificação e remoção de malware
• Firewall do WordPress
• Proteção da página de login do WordPress.
• Proteção de segurança

Espero que este artigo tenha lhe dado uma compreensão básica sobre como proteger sua página de login do WordPress. Deixe-nos um comentário se você tiver uma dúvida ou uma visão para compartilhar.

Você também pode assistir ao tutorial em vídeo abaixo para uma melhor compreensão.

Leitura adicional

• Plugins de segurança do WordPress
• Erros comuns de login do WordPress