Você deseja limitar o acesso ao seu arquivo wp-login.php no WordPress por endereço IP?
A página de login do WordPress é frequentemente atacada por ataques DDoS e hackers para obter acesso ao seu site. Limitar o acesso a endereços IP específicos pode bloquear efetivamente tais tentativas.
Neste artigo, mostraremos como limitar facilmente o acesso por IP ao seu arquivo wp-login.php no WordPress.
Por que limitar o acesso ao wp-login.php por endereço IP?
A página de login de um site WordPress (geralmente, wp-login.php), é onde os usuários acessam para fazer login no seu site.
Como proprietário de um site, ela lhe dá acesso à área administrativa do WordPress onde você pode realizar a manutenção do site, escrever conteúdo e gerenciar seu site.
No entanto, ataques comuns de força bruta na internet são conhecidos por ter como alvo a página wp-login.php para obter acesso a sites. Mesmo que falhem em entrar, eles ainda podem conseguir desacelerar seu site ou até mesmo derrubá-lo.
Uma maneira de lidar com essa situação é bloquear os endereços IP de onde os ataques estão vindo (falaremos sobre isso mais adiante no artigo).
Um endereço IP é como um número de telefone que identifica um computador específico na internet. Hackers podem usar software para mudar seus endereços IP.
No entanto, ataques mais sofisticados usam um pool maior de endereços IP e pode não ser possível bloqueá-los todos.
Nesse caso, você pode limitar o acesso a endereços IP específicos usados por você e outros usuários em seu site.
Dito isso, vamos dar uma olhada em como limitar facilmente o acesso ao arquivo wp-login.php por endereços IP específicos usando 3 maneiras diferentes, incluindo um firewall de segurança em nuvem.
1. Limitar o Acesso à Página de Login do WordPress por Endereço IP
Para este método, você precisará adicionar algum código ao arquivo .htaccess.
O arquivo .htaccess é um arquivo de configuração especial do servidor que fica na pasta raiz do seu site e pode ser acessado usando FTP ou o aplicativo Gerenciador de Arquivos no painel de controle da sua hospedagem WordPress.
Simplesmente conecte-se ao seu site WordPress usando um cliente FTP e edite seu arquivo .htaccess adicionando o seguinte código no topo.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
Não se esqueça de substituir os XX pelos seus próprios endereços IP. Você pode encontrar facilmente seu endereço IP visitando a página SupportAlly.
Se você tiver outros usuários que também precisam fazer login no seu site, peça a eles que forneçam seus endereços IP. Você pode adicioná-los ao arquivo .htaccess também.
Aqui está outro exemplo do código mencionado acima.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Agora, os usuários com esses endereços IP poderão visualizar o arquivo wp-login.php e fazer login no seu site. Outros usuários verão a seguinte mensagem de erro:
2. Bloquear Endereços IP Específicos de Acessar Seu Site
Este método é totalmente o oposto do primeiro método.
Em vez de limitar o acesso à página de login do WordPress a endereços IP específicos, você poderá bloquear endereços IP usados para atacar seu site.
Este método é particularmente útil para sites de assinatura WordPress, lojas de comércio eletrônico, ou outros sites onde vários usuários precisam fazer login para acessar suas contas.
A desvantagem deste método é que hackers podem alterar seus endereços IP e continuar atacando seu site.
Felizmente, muitas das tentativas comuns de hacking do WordPress usam um conjunto fixo de endereços IP, o que torna este método eficaz na maioria dos casos.
Passo 1: Encontrando os Endereços IP Ofensivos Que Você Deseja Bloquear
Primeiro, você precisa encontrar os endereços IP usados para atacar seu site.
A maneira mais fácil de encontrar os endereços IP ofensivos é examinando os logs do seu servidor. Simplesmente acesse o painel de controle da sua conta de hospedagem e clique no ícone de logs de ‘Acesso Bruto’.
Na próxima página, clique no seu nome de domínio para baixar os logs de acesso. Isso baixará um arquivo com a extensão gz.
Você precisará extrair o arquivo e abri-lo com um editor de texto como o Bloco de Notas ou o TextEdit.
A partir daqui, você encontrará os endereços IP que estão acessando repetidamente a página wp-login.php.
Copie e cole os endereços IP em um arquivo de texto separado no seu computador.
Passo 2. Bloqueando Endereços IP Suspeitos
Em seguida, você precisa fazer login no painel de controle da sua hospedagem WordPress e clicar no ícone ‘Bloqueador de IP’.
Na próxima tela, simplesmente copie e cole os endereços IP que você deseja bloquear e clique no botão ‘Adicionar’.
Repita o processo para bloquear quaisquer outros endereços IP suspeitos que você desejar.
É isso! Você bloqueou com sucesso endereços IP suspeitos de acessar seu site completamente.
Mais tarde, se você precisar desbloquear um desses endereços IP, poderá fazê-lo facilmente no aplicativo de bloqueio de IP.
3. Protegendo o Login do WordPress com Firewall do Site
Como administrador do site, você pode não querer gastar muito tempo gerenciando endereços IP que podem acessar sua página de login do WordPress.
A maneira mais fácil de proteger suas páginas de login do WordPress é usando Sucuri. É o melhor firewall para WordPress que acompanha um plugin de segurança para WordPress abrangente.
O firewall de site da Sucuri filtra automaticamente endereços IP suspeitos de acessar arquivos principais importantes do WordPress sem que eles cheguem ao seu site.
Este método também melhora o desempenho e a velocidade do seu WordPress, pois bloqueia atividades suspeitas de desacelerar seu servidor.
Além disso, a Sucuri também vem com uma rede de CDN integrada. Ela serviria automaticamente arquivos estáticos como imagens, folhas de estilo e JavaScript de um servidor mais próximo dos seus usuários.
Você pode facilmente adicionar à lista branca os endereços IP de usuários se eles não conseguirem acessar as páginas de login do WordPress.
Alternativas: MalCare ou Cloudflare Free CDN
Esperamos que este artigo tenha ajudado você a aprender como limitar o acesso por endereço IP ao seu arquivo wp-login.php. Você também pode querer ver nosso guia completo de segurança do WordPress ou ver estas dicas adicionais para proteger a área de administração do WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Olaf
Tudo no WordPress sobe e desce com a segurança do site. Subestimá-la pode levar a sérios problemas ao longo do tempo. Essas diretivas funcionam perfeitamente, e implementar esse tipo de segurança leva apenas um momento. Aprecio que você seja minucioso, não apenas adicionando as diretivas corretas ao .htaccess, mas também ensinando os usuários desde o início a comentar corretamente as entradas adicionadas manualmente. Isso ajuda qualquer pessoa que herde o site a entender essas diretivas. Poucos tutoriais são tão meticulosos, dedicando tempo para garantir o comentário adequado no .htaccess.
Jiří Vaněk
Copiei as diretivas para o site, ajustei os endereços IP e as coloquei no arquivo .htaccess. Funciona perfeitamente para ambos os endereços IP que agora estão definidos no .htaccess.
Av
em relação a um site woocommerce, esta função é útil?
o login pode ser feito na página minha-conta.
WPBeginner Support
Se você tem vários usuários fazendo login no seu site para algo como WooCommerce, então isso não seria algo que você usaria. Isso normalmente seria para um site com um número limitado de usuários.
Admin
Michael Pepper
Obrigado pelo artigo, útil!
WPBeginner Support
Glad our article was helpful
Admin
Mick
Por algum motivo, quando uso isso, o IP permitido também é bloqueado.
Alguma ideia do porquê?
WPBeginner Support
Talvez você queira garantir que definiu o IP correto e se está usando uma VPN ou algo semelhante, isso pode ser a raiz do problema.
Admin
Bahar Ali
Usei o código acima e, de alguma forma, ele se aplica a todas as páginas do site, por exemplo, minha página inicial também mostra proibido.
WPBeginner Support
Você pode primeiro verificar com seu provedor de hospedagem para garantir que não haja uma configuração conflitante do lado deles.
Admin
Unni Krishnan
Bom trabalho, pessoal,
Como vocês mencionaram na última seção, eu tenho IPs dinâmicos para minha conexão móvel. Embora eu tenha adicionado meu IP de banda larga à lista branca, fico preso ao acessar em trânsito.
Vocês sabem se algum plugin ajuda a resolver isso?
Unni Krishnan
Além disso, tais solicitações para wp-login.php estão sendo redirecionadas para a página inicial. Isso é normal?
FrancescoElzy
Hmm, parece que seu blog comeu meu primeiro comentário (era super longo), então acho que vou apenas resumir o que escrevi e dizer, estou gostando muito do seu blog. Eu também sou uma aspirante a blogueira, mas ainda sou nova nisso tudo. Você tem alguma dica útil para novos escritores de blog? Eu realmente apreciaria.
Stéfano Willig
Tornamos nosso FTP acessível apenas por um IP específico.
Agora não consigo instalar ou atualizar o WordPress diretamente pelo WordPress...
O que posso fazer?
Jobbatam
Ótimas dicas e funcionou para mim.
Mas, posso redirecionar o wp-login para o erro 404?
Se sim, que código devo adicionar ao código acima?
obrigado
MargaretMacnamar
É muito simples descobrir qualquer assunto na internet em comparação com livros didáticos, pois encontrei esta postagem neste site.
EQHRaymond
Obrigado pela função. O post me ajudou muito
Rex Wickham
Se você quiser adicionar mais de um IP, você pode fazer isso:
1. você pode usar um IP parcial:
Permitir de 145.50.39
Isso permitirá IPs de 145.50.39.0 a 145.50.39.255
2. você pode usar uma máscara de rede ou um CIDR:
Permitir de 145.50.39.0/255.255.255.224
ou
Permitir de 145.50.39.0/27
Isso permitirá IPs de 145.50.39.0 a 145.50.39.31.
Julius Musembi
Esta é uma ótima solução alternativa.
David Swanson
Eu adicionei o código ao meu .htaccess, mas quando meus usuários fazem logout, eles recebem Erro 403.
Quando eles clicam em logout, o link é /wp-login.php?action=logout
Alguma forma de consertar isso?
Brijesh
Ótima dica! Mas tive um problema. Ele bloqueia o login de administrador de outros IPs, mas se um usuário registrado sair do site, o código também restringe isso. Quero dizer, quando o usuário clica em sair, ele exibe a mensagem de proibido. Como resolver isso?
Rafaqat
Obrigado pela sua rápida orientação para proteger contra tentativas excessivas e ilegais de login. Na verdade, existe um plugin gratuito chamado “better wp security” que pode gerenciar quase todos os problemas de segurança relacionados a tentativas de login, arquivo wp.config, arquivo .htaccess e muito mais. Acho que vale a pena tentar.
Kris
Para contornar o problema do IP dinâmico, você pode referenciar um htpasswd.
Baptiste Legrand
Obrigado por esta ótima dica! Mas estou um pouco confuso: devo colar este trecho no meu arquivo .htacess raiz ou no meu arquivo wordpress/.htaccess?
Abraços (e a propósito, eu simplesmente AMO wpbegginer.com, continuem o bom trabalho!)
Equipe Editorial
Cole-o em seu wordpress/.htaccess
Admin
Equipe Editorial
Com IPs dinâmicos isso pode ser um incômodo. Você pode configurar o Apache Protect nele, mas isso é um pouco mais complexo. A linha #whitelist serve apenas para me informar qual IP é qual.
Admin
Steve Pringle
Você deve mencionar que plugins (como o JetPack) podem ter problemas quando você limita o acesso.