O básico da segurança do WordPress: como lidar com várias tentativas de login com falha

Publicados: 2022-04-28

Se você estiver executando um site ou apenas criando um, saberá que o WordPress é um dos melhores sistemas CMS usados ​​por muitos ao redor do mundo, e é também a razão pela qual muitos hackers o atacam.

Não pense que apenas grandes sites são invadidos; os pequenos são igualmente atraentes para os hackers, pois também armazenam dados de clientes particulares. Uma das maneiras mais comuns de atacar um site WordPress é em várias tentativas de login. Essa é a razão pela qual explicaremos por que é importante reconhecer e observar várias tentativas de login com falha e a maneira de evitá-las.

Entraremos em mais detalhes sobre hospedagem primeiro. Mas, em essência, uma ótima hospedagem é sempre sua primeira linha de defesa. A hospedagem WPMU DEV preenche todos os requisitos. É acessível, rápido, seguro, totalmente dedicado e o host WordPress com classificação nº 1 no TrustPilot. Ganhe 20% de desconto em qualquer um de seus planos aqui.

Tentativas de login com falha

Monitor de computador de tela plana preto

Para usar qualquer site WordPress, você precisa ter um nome de usuário e uma senha, o que significa que você precisa fazer login. Há uma linha tênue entre esquecer uma senha e um bot tentando invadir seu site. Portanto, é aqui que entra o monitoramento de tentativas de login com falha como medida de segurança.

Quando seu site exibir a mensagem de erro “muitas tentativas de login com falha”, verifique o que está acontecendo. Não basta descartá-lo como “ok. Alguém acabou de esquecer sua senha”, já que ataques de força bruta direcionados podem levar a DDoS e seu site pode travar.

O primeiro obstáculo para esse ataque pode ser que, após o usuário específico tentar fazer login com as credenciais erradas, o WordPress define o tempo de espera que precisa expirar, mesmo que o mesmo usuário tente fazer login novamente com o conjunto correto de credenciais.

É aqui que o recurso de segurança OWASP.org pode ajudá-lo. Este é um software de código aberto que ajuda a bloquear ataques de força bruta.

Como lidar com várias tentativas de login com falha

Ponto de interrogação desenhado no papel

Mantenha sempre seu site WordPress atualizado

O WordPress lança atualizações de software em um cronograma definido, portanto, não as evite. Essas atualizações cuidam do desempenho do seu site, e isso inclui configurações de segurança e privacidade atualizadas. Ao manter as atualizações, você permite que o WordPress proteja seu site, e este é o passo número dois para proteger seu site.

Limitar tentativas de login

Por padrão, o WordPress permite tentativas ilimitadas de login, mas isso não significa que você deve deixá-lo funcionar dessa maneira. Limite as tentativas de login em seu site a três (que geralmente é o número preferido de tentativas com falha permitidas). Existem duas maneiras de conseguir isso, com um plugin ou através de um host WordPress.

Os plugins gratuitos que permitem limitar as tentativas de login com falha são:

1. Limitar tentativas de login (parar logins falsos)

Limitar tentativas de login (parar logins falsos)

Este plug-in bloqueará automaticamente o endereço IP que exceder o limite de tentativas definido. Este plug-in permite adicionar manualmente o endereço IP à lista de bloqueio, informar o usuário sobre as tentativas restantes e fornecer a capacidade de desbloquear os usuários bloqueados por e-mail ou painel. Ele limitará as tentativas de repetição por IP e é compatível com o Google CAPTCHA.

2. Limite as tentativas de login

Limitar tentativas de login

Este é um plug-in que limitará as tentativas de login, aumentará a segurança do login, a proteção contra spam e fornecerá ao seu site proteção contra ataques de força bruta, bloqueará registros de usuários falsos e você poderá obter relatórios e auditorias sobre atividades em seu site ( você pode até exportar esses relatórios se precisar). Este é um software gratuito e de código aberto.

Segurança do host da Web

Mesmo quando você protege seu site WordPress contra entradas não autorizadas, não se esqueça de que a segurança do seu provedor de hospedagem é tão importante quanto a do seu site WordPress. Portanto, dê uma olhada nos recursos do seu provedor de hospedagem.

Talvez você só precise atualizá-lo para um plano superior do seu provedor atual, mas também considere migrar seu site para um novo provedor de hospedagem confiável com atualizações fortes e frequentes em seu software de servidor e segurança de hardware.

Procure um que forneça uma equipe de suporte técnico 24 horas por dia, 7 dias por semana, que possa resolver os problemas de segurança do seu site e proteger suas informações. Um host que oferece backups automatizados do seu site completo também é uma ótima opção.

Como já mencionamos, a melhor escolha para isso é o WPMU DEV. O que mais amamos no WPMU DEV Hosting é que ele está repleto de recursos de hospedagem exclusivos e poderosos que você não encontrará em nenhum outro lugar (como 7 plugins pro-WP integrados). Veja você mesmo e ganhe 20% de desconto em qualquer um de seus planos de hospedagem aqui.

Aumente a segurança de login

Use um plug-in de segurança do WordPress que permitirá um processo de autenticação em duas etapas como uma camada de segurança adicional. Existem diferentes maneiras de fazer isso; códigos enviados para o telefone do usuário, verificação de e-mail, etc. O que for melhor para sua equipe.

1. Segurança iThemes

iThemes Security (anteriormente Better WP Security)

Este plug-in, entre outros recursos, protegerá seu login do WordPress com esses recursos: Autenticação de dois fatores (2FA) que exigirá que seu usuário insira um código de segurança (junto com uma senha), e-mail, códigos de backup e autenticação do Google.

2. Segurança do SiteGround

Segurança do SiteGround

Este plug-in exigirá que todos os usuários administradores forneçam um token gerado no aplicativo Google Authentication ao fazer login.

3. Segurança tudo em um WP

Segurança e firewall tudo em um WP

Este plugin possui regras de segurança categorizadas em regras “básicas”, “intermediárias” e “avançadas”. É 100% gratuito e alguns de seus recursos são segurança de conta de usuário, segurança de login de usuário que protegerá seu site contra “ataques de login de força bruta” e segurança de registro de usuário.

Segurança de rede

A rede que você está usando também pode representar uma ameaça à segurança do seu site. As redes públicas geralmente não são muito bem protegidas; estamos falando de lugares como cafeterias, bibliotecas, redes públicas em shopping centers, etc.

Uma importante estratégia de segurança para protegê-lo em uma rede Wi-Fi pública é usar uma rede virtual privada, uma VPN. Também é uma ótima proteção ao usar o Wi-Fi doméstico para negócios ou qualquer outra coisa, então considere verificar alguns provedores.

Segurança externa

Esse também é um recurso de segurança muito importante para a proteção do seu site WordPress. Todos os aplicativos e bancos de dados usados ​​no modo offline são um risco potencial de segurança, portanto, certifique-se de que estejam integrados com segurança ao seu site WordPress.

Conclusão

Como um construtor de sites fácil de usar, o WordPress é usado por milhões. Para ter um site seguro, o primeiro passo é prevenir ataques de força bruta monitorando e tratando corretamente todas as tentativas de login com falha. Esta é uma forma de proteção obrigatória para sites e o tipo de ataque que os hackers usam com muita frequência.

Além disso, todos os outros aspectos de segurança que mencionamos neste artigo protegerão seu site, portanto, não os subestime.