Por padrão, o WordPress exibe mensagens de erro na página de login quando alguém insere o nome de usuário ou senha incorretos. Embora essas mensagens sejam destinadas a ajudar os usuários, elas também podem fornecer pistas a hackers que tentam invadir seu site.
Desativar essas dicas de login é uma maneira simples de fortalecer a segurança do seu site.
Ao ocultar esses detalhes, você dificulta que hackers adivinhem suas credenciais. Sempre desativamos em nossos sites para uma camada extra de proteção.
Neste artigo, mostraremos como desativar as dicas de login no WordPress para ajudar você a tornar seu site mais seguro.
O que são Dicas de Login nas Mensagens de Erro de Login do WordPress?
Sempre que alguém tenta fazer login no seu site usando o nome de usuário ou senha incorretos, o WordPress exibirá uma mensagem de erro na tela de login.
Se essa pessoa digitou o nome de usuário ou endereço de e-mail incorretos, o WordPress exibirá o seguinte erro: 'O nome de usuário não está registrado neste site. Se você não tem certeza do seu nome de usuário, tente seu endereço de e-mail em vez disso.'
Isso pode ser útil para usuários legítimos, mas também informa a qualquer hacker que eles estão digitando o nome de usuário incorreto.
Inserir o nome de usuário correto, mas uma senha incorreta, aciona o erro: 'A senha que você inseriu para o nome de usuário está incorreta. Esqueceu sua senha?'
Isso confirma um palpite de nome de usuário correto para potenciais atacantes.
Se alguém conseguir adivinhar seu nome de usuário ou endereço de e-mail, a mensagem de erro 'A senha que você inseriu para o nome de usuário está incorreta' os informará que eles estão no caminho certo.
Isso significa que apenas sua senha está impedindo que eles acessem sua conta.
É por isso que recomendamos o uso de várias camadas de segurança. Ocultar dicas de login torna o trabalho de um hacker muito mais difícil, mas é mais eficaz quando você o combina com outras práticas de segurança.
Com isso em mente, vamos ver como você pode ocultar as dicas de login nas mensagens de erro de login do WordPress.
Ocultando Dicas de Login no WordPress
A maneira mais fácil de desativar dicas de login em mensagens de erro de login do WordPress é colando algum código no WordPress. WPCode facilita para qualquer pessoa adicionar código ao seu site WordPress.
Você pode adicionar o seguinte trecho de código ao final do arquivo functions.php do seu site, mas fazer isso pode fazer com que seu site quebre.
Em nossa experiência, o WPCode é super amigável para iniciantes e garante que, mesmo que você cometa um erro ao adicionar código personalizado, seu site permaneça acessível. Para saber mais, veja nossa análise detalhada do WPCode.
Primeiro, você precisa instalar e ativar o plugin gratuito WPCode. Para instruções detalhadas, você pode ver nosso guia sobre como instalar um plugin do WordPress.
Após a ativação, tudo o que você precisa fazer é ir em Snippets de Código » +Adicionar Snippet no seu painel de administração do WordPress. Em seguida, você desejará passar o mouse sobre ‘Adicionar seu código personalizado’ e clicar em ‘Usar Snippet’.
Depois disso, você simplesmente precisa nomear seu novo snippet e colar o seguinte código na área ‘Pré-visualização do Código’:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Este código altera o erro padrão da página de login para uma mensagem personalizada, como ‘Algo está errado!’.
Este código funciona usando um ‘gancho de filtro’ do WordPress chamado ‘login_errors’. Pense em um gancho como uma maneira de nosso código alterar como o WordPress funciona por padrão.
Neste caso, ele intercepta a mensagem de erro padrão e a substitui pela nossa personalizada.
Você pode alterar esta linha para exibir qualquer mensagem que desejar. Por exemplo, aqui estamos usando ‘Algo está errado!’ como nossa mensagem de erro:
return 'Something is wrong!';
Certifique-se de selecionar PHP no menu suspenso ‘Tipo de Código’ e, em seguida, você pode alternar o interruptor de ‘Inativo’ para ‘Ativo’ e clicar em ‘Salvar Snippet’.
Depois de fazer isso, é uma boa ideia testar sua nova mensagem de erro.
Para fazer este teste, basta acessar a página de login do seu site e digitar o nome de usuário, senha ou e-mail incorretos. Em seguida, prossiga e clique no botão ‘Entrar’.
O WordPress agora mostrará sua nova mensagem de erro sem dar nenhuma dica sobre o que pode estar errado.
Agora, observe que, embora este código desabilite as dicas de login no WordPress, ele não o protegerá de tentativas mais avançadas ou ataques de força bruta.
A melhor maneira de proteger seu site contra hackers é usar um plugin de segurança do WordPress como o WordFence ou um firewall de aplicativo web (WAF) como o Cloudflare.
Para mais informações, você pode ler nosso guia definitivo sobre como proteger seu site WordPress.
Tutorial em Vídeo
Para facilitar, também criamos um tutorial em vídeo sobre como desabilitar dicas de login em mensagens de erro de login do WordPress.
Dica Bônus: Melhorando a Segurança do Login do Seu WordPress
Agora que você sabe a importância de um nome de usuário e senha fortes, vamos explorar algumas maneiras adicionais de aumentar a segurança do seu login. Isso é importante não apenas para você, mas também para qualquer pessoa que contribua para o seu blog, especialmente se vários autores o gerenciarem.
Aqui estão algumas dicas extras para ajudar a manter suas contas ainda mais seguras:
🔐 Ative a Autenticação de Dois Fatores (2FA): Isso adiciona uma camada extra de segurança, exigindo uma segunda forma de verificação, como um código de mensagem de texto ou uma pergunta de segurança.
🔑 Use um Gerenciador de Senhas: Essas ferramentas ajudam você a criar e armazenar senhas complexas com segurança, para que você não precise se lembrar de todas elas.
🔄 Atualize Sua Senha Regularmente: Altere suas senhas a cada poucos meses para minimizar o risco de acesso não autorizado. É ainda melhor se você puder forçar atualizações de senha para os usuários.
🚫 Evite Usar Wi-Fi Público para Logins Sensíveis: Se possível, use uma conexão segura e privada ao fazer login em contas importantes.
🛠️ Mantenha Seu Software Atualizado: Atualizações regulares podem protegê-lo contra vulnerabilidades de segurança que os invasores podem explorar.
Além de tudo, você pode querer limitar as tentativas de login no seu site WordPress.
Durante um ataque de força bruta, hackers usam software automatizado para adivinhar senhas repetidamente devido à permissão padrão da plataforma para tentativas de login ilimitadas.
Limitar as tentativas de login falhas, como bloquear temporariamente usuários após 5 tentativas malsucedidas, reduz significativamente o risco de acesso não autorizado por ataques de força bruta.
Proteja Seu Site com Backups Fáceis
Duplicator facilita a criação de um backup completo do seu site WordPress. Antes de fazer quaisquer ajustes de segurança ou atualizações, ter um backup recente lhe dá total tranquilidade caso algo dê errado. É a rede de segurança definitiva para o seu site.
Perguntas Frequentes Sobre Segurança de Login no WordPress
Aqui estão algumas perguntas frequentemente feitas por nossos leitores sobre segurança de login no WordPress:
Desativar dicas de login é suficiente para proteger totalmente meu site?
Não, desabilitar as dicas de login é apenas uma camada de segurança. É um passo importante em uma estratégia mais ampla para tornar seu site um alvo mais difícil para atacantes.
Para proteção completa, você deve sempre usar um plugin de segurança abrangente para WordPress, impor senhas fortes para todos os usuários e habilitar a autenticação de dois fatores.
Serei bloqueado se esquecer minha senha depois de desabilitar as dicas?
De forma alguma. Desabilitar essas dicas não afeta o link 'Esqueceu sua senha?' nem o processo de redefinição de senha.
Você ainda poderá recuperar sua conta com segurança seguindo as etapas padrão de redefinição de senha enviadas para seu endereço de e-mail.
Posso desabilitar as dicas de login sem usar um plugin?
Sim, você pode adicionar o trecho de código diretamente ao arquivo functions.php do seu tema. No entanto, desaconselhamos fortemente esse método para a maioria dos usuários.
Editar este arquivo diretamente pode quebrar seu site se houver um erro, e suas alterações serão perdidas quando você atualizar seu tema. Um plugin como o WPCode é a maneira mais segura de adicionar código personalizado.
Qual é a maneira mais eficaz de proteger minha página de login?
A maneira mais eficaz de proteger seu login do WordPress é habilitando a Autenticação de Dois Fatores (2FA). Isso requer um segundo código, geralmente do seu telefone, além da sua senha.
Mesmo que um hacker consiga roubar sua senha, ele não conseguirá fazer login sem acesso físico ao seu dispositivo de verificação.
Esperamos que este artigo tenha ajudado você a aprender como ocultar dicas de login das mensagens de erro de login do WordPress. Em seguida, você também pode querer ver nosso guia sobre como criar um portal de cliente com logins e páginas privadas ou como adicionar login social ao WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
O Thrive Comments tem sido minha escolha principal para gerenciar comentários em meus sites. Eu costumava passar horas abrindo abas separadas apenas para ver a que as pessoas estavam respondendo, mas agora posso ver tudo ali mesmo. Isso literalmente cortou meu tempo de moderação pela metade! Veja o que está funcionando bem para mim: eu verifico os comentários duas vezes por dia em horários programados. Isso mantém as conversas fluindo bem e me ajuda a ficar por dentro de tudo sem me sentir sobrecarregado.
A melhor parte? Como posso ver instantaneamente a que cada comentário está respondendo, estou cometendo muito menos erros na moderação, especialmente em meus sites mais movimentados. Isso fez uma grande diferença!