Imagine um ladrão tentando repetidamente diferentes chaves para invadir sua casa. Algo semelhante acontece durante um ataque de força bruta, onde hackers tentam milhares de combinações de senhas para obter acesso ao seu site.
Isso provavelmente parece assustador, mas, felizmente, você pode defender facilmente seu site como nós fazemos, limitando as tentativas de login. 🔒
Isso estabelece um limite de quantas vezes alguém pode tentar fazer login antes de ser bloqueado, dando aos hackers quase nenhuma chance de invadir por força bruta.
Neste artigo, guiaremos você pelo processo de configuração de limites de tentativas de login em seu site WordPress. Exploraremos por que isso é importante para a segurança do seu site e o guiaremos pelos passos, mesmo que você não seja um especialista em tecnologia.
Aqui está um breve resumo do que abordaremos neste guia:
- Por que você deve limitar as tentativas de login no WordPress?
- Como Limitar Tentativas de Login no WordPress
- Dicas Profissionais para Proteger Seu Site WordPress
- Frequently Asked Questions About Limiting Login Attempts
Por que você deve limitar as tentativas de login no WordPress?
Um ataque de força bruta é um método de hacking onde os atacantes usam tentativa e erro para adivinhar seus detalhes de login.
Eles usam software automatizado para tentar milhares de combinações de nome de usuário e senha, esperando que uma eventualmente funcione.
Por padrão, o WordPress permite que os usuários insiram uma senha quantas vezes quiserem. Esse recurso pode ser explorado por hackers, que usam scripts para executar combinações infinitas até obterem acesso ao seu site.
Você pode parar facilmente esses ataques limitando o número de tentativas de login com falha.
Após um determinado número de tentativas falhas, o sistema bloqueará temporariamente esse usuário, tornando impossível a adivinhação automatizada de senhas.
Dito isso, vamos ver como limitar o número de tentativas de login no WordPress.
Como Limitar Tentativas de Login no WordPress
A primeira coisa que você precisa fazer é instalar e ativar o plugin Limit Login Attempts Reloaded. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.
A versão gratuita é tudo o que você precisa para este tutorial.
Após a ativação, você deve visitar a página Configurações » Limit Login Attempts e então clicar na aba 'Configurações' no topo.
As configurações padrão funcionarão para a maioria dos sites, mas vamos guiá-lo por como você pode configurar as definições do plugin de segurança para o seu site.
Para estar em conformidade com as leis GDPR, você pode clicar na caixa de seleção ‘Conformidade com GDPR’ para exibir uma mensagem em sua página de login. Você pode aprender mais sobre o GDPR em nosso guia sobre WordPress e conformidade com GDPR.
Em seguida, você escolherá se deseja ser notificado quando alguém for bloqueado. Você pode alterar o endereço de e-mail para onde a notificação é enviada, se desejar. Por padrão, você será notificado na terceira vez que o usuário for bloqueado.
Depois disso, você deve rolar para baixo até a seção Aplicativo Local, onde pode definir quantas tentativas de login podem ser feitas e o tempo de bloqueio que um usuário terá que esperar antes de poder tentar novamente.
Primeiro, você precisa definir quantas tentativas de login podem ser feitas. Depois disso, escolha quantos minutos um usuário terá que esperar se exceder esse número de tentativas falhas. O valor padrão é 20 minutos.
Você também pode aumentar o tempo de espera depois que o usuário for bloqueado um número especificado de vezes. Por exemplo, as configurações padrão não permitirão que o usuário tente fazer login por 24 horas depois de ser bloqueado 4 vezes.
Para a configuração 'Origens de IP Confiáveis', a maioria dos usuários pode deixá-la como está. No entanto, se você usa um CDN ou firewall de site como Sucuri ou Cloudflare, pode ser necessário configurar esta opção.
Recomendamos verificar a documentação do seu serviço para garantir que o plugin possa identificar corretamente o verdadeiro endereço IP do visitante.
Não se esqueça de clicar no botão ‘Salvar Configurações’ na parte inferior da tela para armazenar suas alterações.
🔍 Post Relacionado: Para mais detalhes sobre este plugin, veja nossa análise completa do Limit Login Attempts.
Dicas Profissionais para Proteger Seu Site WordPress
Limitar as tentativas de login é um ótimo primeiro passo, mas a verdadeira segurança do site envolve várias camadas.
Aqui estão algumas outras práticas essenciais que você pode seguir para manter seus sites seguros:
- Use Senhas Fortes: Esta é a camada mais básica de segurança. Recomendamos forçar senhas fortes para todos os usuários em seus sites e usar um gerenciador de senhas para mantê-las.
- Adicione o Google reCAPTCHA: Se você achar que sua página de login ainda está sob ataque, adicionar reCAPTCHA oferece outra poderosa camada de defesa contra bots automatizados.
- Mantenha Backups Regulares: Nenhum site é 100% imune a ameaças, e é por isso que os backups são inegociáveis. Para muitas de nossas próprias propriedades web, usamos Duplicator para lidar com os backups e migrações de nossos sites.
- Use um Firewall de Site (WAF): Um firewall é uma das melhores maneiras de bloquear tráfego malicioso antes que ele chegue ao seu site. Para uma solução completa que inclui um poderoso WAF e serviços de limpeza de malware, recomendamos Sucuri.
Para ainda mais dicas de segurança de sites, certifique-se de ver nosso guia definitivo de segurança do WordPress.
Perguntas Frequentes Sobre Limitar Tentativas de Login
Aqui estão algumas perguntas que nossos leitores frequentemente fazem sobre como limitar tentativas de login:
O que devo fazer se for bloqueado do meu próprio site?
É possível se bloquear se você digitar a senha errada muitas vezes. Se isso acontecer, você precisará desbloquear manualmente seu endereço IP.
Você pode seguir os passos simples em nosso guia sobre como desbloquear Limitar Tentativas de Login no WordPress.
Quantas tentativas de login devo permitir?
Para a maioria dos sites, a configuração padrão de 4 tentativas de login é um ótimo ponto de partida. Isso oferece um forte equilíbrio entre manter seu site seguro e garantir que usuários legítimos não sejam bloqueados por engano.
O que mais posso fazer para proteger minha página de login?
Além de limitar as tentativas de login, você pode adicionar perguntas de segurança à sua tela de login para uma camada extra de proteção. Você também pode personalizar sua página de login usando o WPForms para melhorar tanto a segurança quanto a experiência do usuário.
Tutorial em Vídeo
Se você não prefere instruções escritas, pode assistir ao nosso tutorial em vídeo:
Esperamos que este tutorial tenha ajudado você a aprender como limitar as tentativas de login no WordPress. Você também pode querer ver nosso guia sobre como adicionar perguntas de segurança à tela de login do WordPress ou nossa seleção especializada dos melhores plugins de página de login.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
Mais uma coisa que eu sugeriria é usar autenticação de dois fatores em conjunto com tentativas de login limitadas. Essa combinação oferece uma camada extra de segurança, tornando ainda mais desafiador para hackers potenciais obterem acesso não autorizado ao seu site WordPress.
Jiří Vaněk
Existe outra maneira além de um plugin? Por exemplo, usando htaccess ou um componente similar? Eu tenho meu próprio servidor e gostaria de ter esse limite no meu site. No entanto, eu já tenho plugins suficientes e não gostaria de adicionar mais. Então, estou procurando uma maneira de fazer isso sem um plugin.
WPBeginner Support
We do not have a recommended way without a plugin, a snippet would be fairly complex which is why we recommend the plugin. We also recommend taking a look at our list of how many plugins can be installed on a site to help remove your fear of having too many plugins
https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Jiří Vaněk
Obrigado pela sua resposta. Eu também estava procurando um trecho em outro lugar, mas você tem razão — todo o processo teria sido bastante complicado, e praticamente nenhum dos trechos que encontrei funcionou. Acabei usando sua solução, e ela funciona perfeitamente. Então, para mim, o problema está resolvido, e agradeço sua ótima dica para melhorar a segurança do site.
Linda Willis
Muito obrigado por este artigo muito útil sobre um plugin para parar o grande número de ataques de força bruta que nosso site tem sofrido recentemente. Acabei de instalá-lo, usando seu guia passo a passo fácil de seguir para suas configurações. Mal posso esperar para ver como funciona!
Segui também o link para gerenciadores de senhas. Graças aos seus comentários, vou tentar o LastPass novamente. Usamos o Dashlane (versão gratuita) há alguns anos, mas estamos frustrados com algumas de suas regras. A versão paga do LastPass parece um negócio muito melhor. Agora é determinar como fazer a troca... facilmente!
Obrigado novamente!
Linda
WPBeginner Support
Glad our article and recommendations could help
Admin
Adil
O excelente artigo sobre segurança de sites. Eu usei este plugin em muitos dos nossos sites.
WPBeginner Support
Thank you, glad you found the plugin helpful
Admin
kristyburkholder
Bom dia! Isso é meio que fora do tópico, mas preciso de alguns conselhos de um blog estabelecido. É difícil configurar seu próprio blog? Eu não sou muito técnico, mas consigo resolver as coisas bem rápido. Estou pensando em criar o meu, mas não tenho certeza por onde começar. Você tem alguma dica ou sugestão? Com agradecimentos
WPBeginner Support
Não é excessivamente difícil começar um blog, temos um guia sobre como começar um aqui: https://www.wpbeginner.com/start-a-wordpress-blog/
Admin
Paul Gent
Eu tenho o Limit Login Attempts (sim, preciso atualizar para algo mais novo) e estou sendo atacado o tempo todo. Adicionei um novo usuário como administrador na tentativa de conseguir acessar meu próprio site sem ter que esperar. Mas mesmo assim fui expulso antes que pudesse criar qualquer postagem.
Alguém tem algum conselho, por favor?
Shyam Chathuranga
Sim, você está certo. Eu tenho usado o plugin Limit Login Attempts o tempo todo e recentemente, ele começou a bloquear todos os usuários em vez de bloquear o atacante com base em seu IP.
Então, acho que tenho que dizer adeus a esse plugin e usar outra coisa agora.
Miguel
Instalei recentemente o WordFence para monitorar a segurança do meu site. Ele oferece um recurso para limitar as tentativas de login. Consequentemente, desativei e excluí o Limit Login Attempts Reloaded.
No entanto, em WP Admin> Configurações, ainda existe o Limite de Tentativas de Login. Você sabe se isso é instalado por padrão com o WP e, independentemente, como posso me livrar disso?
Acredito que isso esteja substituindo as configurações do WordFence.
Obrigado pelo seu tempo,
Miguel
erlindawva
Olá, isso é um pouco fora do tópico, mas eu queria saber se os blogs usam editores WYSIWYG ou se você tem que codificar manualmente com HTML. Estou começando um blog em breve, mas não tenho conhecimento de codificação, então queria obter conselhos de alguém com experiência. Qualquer ajuda seria muito apreciada!
WPBeginner Support
O WordPress vem com um editor WYSIWYG. Ele também permite que você adicione HTML para escrever posts.
Admin
Jorge Manuel
Recebi a mensagem ‘exceeded maximum retries’ hoje – mas com uma senha absolutamente correta!
Como isso pode acontecer?
Eu comecei a configurar este site WP há apenas dois dias, ele não tem conteúdo além de um tema gratuito e um título. Instalei o login lockdown, mas ele NÃO está ativado.
Me deixa perplexo por que haveria um ataque de força bruta em um nome de site obscuro com mal de 90 MB de conteúdo…
Alam Khan
Olá Equipe WPBginner,
Muito obrigado por criar um conteúdo tão extenso e útil para usuários do WordPress como nós. Sempre procuro soluções em seu site e sempre as encontro há 2-3 anos.
Hoje é a primeira vez que posto um comentário sobre a questão acima, estou usando o plugin Limit Login Attempts e ele realmente me ajuda a manter meu site seguro, pois vejo de 10 a 15 tentativas de login falhas por dia, mas às vezes ele fica bloqueado por 24 horas, o que também nos restringe. É possível usar o Login LockDown também e bloquear tentativas erradas por IP, para que nossos usuários legítimos não sejam bloqueados.
É possível usar o plugin Limit Login Attempts e o plugin Login LockDown ao mesmo tempo no mesmo site?
Obrigado
Alam Khan
Fundador
WPBeginner Support
Olá Alam,
Recomendamos usar o Login LockDown sozinho e não com o limit login attempts.
Admin
cheryleduryea
Hmm, parece que seu site comeu meu primeiro comentário (era super longo), então acho que vou apenas resumir o que escrevi e dizer, estou gostando muito do seu blog. Eu também sou uma aspirante a escritora de blogs, mas ainda sou nova nisso tudo. Você tem alguma dica para escritores de blogs iniciantes? Eu certamente apreciaria.
agustinpenny920
Olá, claro que este artigo é genuinamente bom e aprendi muitas coisas com ele sobre blogging. obrigado.
adelaida5489
Com tanto conteúdo e artigos, você já se deparou com algum problema de plágio ou violação de direitos autorais? Meu blog tem muito conteúdo único que criei ou terceirizei, mas parece que muito dele está aparecendo em toda a web sem o meu acordo. Você conhece algum método para ajudar a evitar que o conteúdo seja roubado? Eu certamente apreciaria.
WPBeginner Support
Por favor, veja nosso guia sobre prevenir o scraping de conteúdo de blog no WordPress.
Admin
Suji
Olá
Obrigado pelo artigo. Informativo.
Existe alguma opção para limitar as tentativas de login sem usar plugins?
YNS
Olá,
Com um pacote de plugins confiáveis (que ao mesmo tempo oferecem vários outros recursos de segurança), não é mais tão difícil proteger sites WordPress de ataques como tentativas de login.
Aqueles que reclamam que o recurso não está integrado deveriam perceber para que servem as extensões de funcionalidade. O ecossistema do WordPress é simplesmente escalável, eu realmente gosto disso. Mas preciso de mais parceria com um provedor de CDN poderoso. Em países como a China, um bom plugin como o JetPack se torna inútil porque todos os IPs aos quais ele se conecta são maliciosos para o Grande Firewall.
Este blog é muito útil, especialmente ao promover projetos de código aberto bem-sucedidos do WordPress.
Brad
Um dos meus sites recebe quase 100 tentativas de login por mês. Como muitos de vocês, acho isso estranho, pois não é um site de comércio eletrônico e não coletamos nenhuma informação do usuário. Instalei o plugin Wordfence Security, que oferece opções de bloqueio para qualquer nome de usuário incorreto, bem como por IP e até países inteiros.
Ele também possui várias outras defesas que se mostraram inestimáveis. A web não é segura sem algum tipo de proteção. Se algum de vocês souber de um melhor, por favor, compartilhe.
Programação Segura!
Brad
Ed Dogan
Eu prefiro isso
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
marian chapa
olá.. esqueci minha senha de administrador do meu site.. como posso ter acesso para editar meu site
WPBeginner Support
Por favor, veja nosso guia o que fazer quando bloqueado da área de administração do WordPress.
Admin
Steve
Ninguém mencionou o Jetpack, que tem um módulo chamado Brute Protect. Ele bloqueia usuários de endereços IP suspeitos automaticamente. É baseado em uma rede global que pode rastrear spammers de toda a web.
Pete
Obrigado por mais uma dica. Eu uso o BackupBuddy e adoro que ele executa meus backups automaticamente, mas também permite que os usuários migrem sites facilmente para outros servidores. Especialmente ao ir de um host local para um servidor ativo.
Donna
É engraçado eu receber este e-mail porque tenho até 27 tentativas no meu site durante a noite de todo o mundo... Quer dizer, realmente, o que eles querem? Eu tenho um blog de costura e moda? O que eles tentam ganhar com isso, assumindo o controle do meu site e me pagando?? Eu acabei de mudar minhas configurações há alguns dias antes deste artigo porque estava recebendo muitos hacks. Agora esta manhã, mais de 27, que é o maior número que já vi.
Connor Rickett
Essa é uma pergunta que realmente precisa de resposta? Porque impede ataques de força bruta (ou pelo menos os retarda bastante).
Por que o WP não vem com tentativas limitadas de login nativamente, agora ESSA é uma pergunta que eu gostaria de ver um post de blog abordando.
Iza
Eu estou usando o Limit Login Attempts em combinação com outro ótimo plugin de segurança chamado WP-Ban. O plugin Limit Login Attempts me envia um e-mail após a segunda tentativa de login malsucedida, acredito, com o IP do usuário. Eu colo este usuário no plugin Ban e da próxima vez, o usuário não poderá tentar fazer login. Apenas mais uma camada de segurança contra trolls.
Nika
Limit Login Attempts não é atualizado há mais de 3 anos. Está desatualizado. O Login LockDown tem funcionalidade ruim e não sei por que é recomendado aqui.
Algumas semanas atrás, instalei o WP Cerber em vez disso.
Parece uma solução robusta. Ele faz tudo como esperado.
WPBeginner Support
Não concordamos que o Login Lockdown tenha uma funcionalidade ruim. Ele faz exatamente o que diz. Ainda não testamos o WP Cerber, então não podemos comentar sobre ele.
Admin
Joris Heyndrickx
Acho que é hora do WordPress ter caminhos configuráveis para que finalmente possamos nos livrar de example.com/wp-admin. Vi pedidos para isso há 8 anos.
Jon Schear
Usei isso algumas vezes. Reduziu a carga usual de 50 e-mails por hora sobre notificações de bloqueio para 0.
Recaptcha é outro bom, mas muito mais difícil de implementar.
Han Balk
Mudei do LLA para o Wordfence, por causa de todos os recursos de segurança extras que ele tem.
Todo Sistema Operacional tem um recurso para limitar tentativas de login. Sei que o WordPress é um CMS e não um SO, mas é um CMS maduro e a comunidade WordPress se beneficiaria muito de uma limitação de login integrada que estivesse ativada por padrão. Muitos sites WordPress são "vulneráveis" a tentativas de login ilimitadas, porque não estão devidamente protegidos e os proprietários não estão cientes da segurança.
Não pode ser tão difícil criar uma limitação de login e ativá-la por padrão em uma das próximas versões do WordPress?
Howard
O Limit Login Attempts não é atualizado há alguns anos e possui alguns "buracos". Descobri isso em meus logs, onde encontrei quase 100 "bloqueios" em um período de 10 minutos do mesmo IP. Os bloqueios foram ativados após a 2ª tentativa malsucedida e deveriam durar 72 horas. Eles estavam chegando tão rápido que era um DoS eficaz e exigiu algum esforço para pará-los. É bastante óbvio que o script kiddie contornou o bloqueio. Os ataques desse endereço IP pararam quando finalmente consegui adicioná-lo à lista de negação em .htaccess.
.
Eu ainda uso o LLA para as informações e notificações limitadas, mas úteis, mas não confio nele para manter meu site seguro.
FranE
Percebo esta funcionalidade em alguns dos meus sites, embora eles não tenham o plugin instalado. Está incluída em certos temas? Talvez Genesis?
Equipe WPBeginner
Não estamos cientes de nenhum tema que inclua esta funcionalidade. Lembre-se que os temas não devem adicionar funcionalidades ao seu site WordPress. Funcionalidades vêm de plugins. Talvez seja algo adicionado pelo seu provedor de hospedagem?
Grayhambo
Parecem haver alguns problemas de compatibilidade com este plugin no WP 4.0, pois ele não é atualizado há mais de 2 anos. Pode te bloquear o acesso ao painel de administração. Se isso acontecer, você precisará desativar o plugin da maneira usual, usando algo como acesso ao cPanel.
Joe
Parece que ainda funciona bem em todos os meus 10 sites wp
Torben Heikel Vinther
Parece um plugin bom e simples, mas por que não usar o Better WP Security em vez disso? O BWS tem uma seção inteira sobre Limitar Tentativas de Login E muitas outras questões de segurança em um único plugin! Além disso, o BWS foi atualizado pela última vez em 2013-8-24. O Limit Login Attempts não é atualizado desde 2012-6-1!
Equipe Editorial
Torben, existem muitos plugins que oferecem essa funcionalidade. Limit Login Attempts é um plugin simples que faz uma coisa e faz muito bem. Isso não quer dizer que BWS seja uma solução ruim. É uma solução muito boa (mais de 1 milhão de downloads no plugin já provam isso).
Admin
Nika
Tenho usado o plugin Limit Login Attempts nos meus sites há algum tempo. Agora este plugin está desatualizado. Seja honesto. Você usou Limit Login Attempts no seu site?
WPBeginner Support
Como ele expirou, atualizamos o artigo e o substituímos pelo plugin login lockdown.
abdelhafidcom
e o plugin login lookdown? ele é útil? devo substituí-lo por este plugin?
wpbeginner
@abdelhafidcom Esse também é bom. Faz a mesma coisa. Só não é atualizado há um tempo.
AlbertAlbs
Obrigado por compartilhar esta informação de segurança do WordPress.
ColeRuddick
Excelente dica! Como o WordPress é a plataforma mais utilizada atualmente, a segurança do site deve ser algo que todos os usuários levam a sério e este plugin é uma grande ajuda. Obrigado por compartilhar!
namaserajesh
Concordo com você, Limit Login Attempts é um plugin muito bom para proteger nosso blog WordPress.
joeytribbiani
Eu prefiro o Login Lock. Ele é oficialmente compatível até a versão 3.3.1
http://wordpress.org/extend/plugins/login-lock/
merrittsgret
@joeytribbiani O Login Lock bloqueou efetivamente todo mundo do meu site recentemente. Estou mudando para o Limit Login Attempts.
Aqif
prefiro não consumir pronto:)
Alan
Obrigado por isso!
doug_eike
Tenho procurado maneiras de proteger meu blog, e sua sugestão de plugin parece que pode ser útil. Vou dar uma olhada. Obrigado!