Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Como proteger seu site WordPress contra ataques de força bruta

Nota editorial: Ganhamos uma comissão de links de parceiros no WPBeginner. As comissões não afetam as opiniões ou avaliações de nossos editores. Saiba mais sobre Processo editorial.

Deseja proteger seu site WordPress contra ataques de força bruta?

Um ataque de força bruta pode deixar seu site lento, torná-lo inacessível e até mesmo quebrar suas senhas para instalar malware em seu site.

Neste artigo, mostraremos como proteger seu site WordPress contra ataques de força bruta.

How to Protect Your WordPress Site From Brute Force Attacks

O que é um ataque de força bruta?

Um ataque de força bruta é um método de hacking que usa tentativa e erro para invadir um site, uma rede ou um sistema de computador.

O tipo mais comum de ataque de força bruta é a adivinhação de senhas. Os hackers usam software automatizado para continuar adivinhando suas informações de login para que possam obter acesso ao seu site.

Essas ferramentas automatizadas de hacking também podem se disfarçar usando endereços IP e locais diferentes, o que dificulta a identificação e o bloqueio de atividades suspeitas.

Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área de administração do seu site. Eles podem instalar malware, roubar informações do usuário e excluir tudo do seu site.

Até mesmo ataques de força bruta malsucedidos podem causar estragos ao enviar muitas solicitações aos servidores de hospedagem do WordPress, deixando seu site lento ou até mesmo completamente inoperante.

Dito isso, vamos dar uma olhada em como proteger seu site WordPress contra ataques de força bruta. Aqui estão as etapas que seguiremos:

1. Instale um plug-in de firewall do WordPress

Os ataques de força bruta sobrecarregam seus servidores. Mesmo os que não são bem-sucedidos podem tornar seu site mais lento ou travar completamente o servidor. É por isso que é importante bloqueá-los antes que cheguem ao seu servidor.

Para fazer isso, você precisará de uma solução de firewall de site. Um firewall filtra o tráfego ruim e o impede de acessar seu site.

How Sucuri firewall works

Há dois tipos de firewalls de site que você pode usar:

  • Os Firewalls de nível de aplicativo examinam o tráfego quando ele chega ao servidor, mas antes de carregar a maioria dos scripts do WordPress. Esse método não é tão eficiente porque um ataque de força bruta ainda pode afetar a carga do seu servidor.
  • Os firewalls de site de nível DNS direcionam o tráfego do seu site por meio de seus servidores proxy em nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor principal de hospedagem na Web e, ao mesmo tempo, aumentam a velocidade e o desempenho do WordPress.

Recomendamos o uso do Sucuri. Eles são os líderes do setor em segurança de sites e o melhor firewall para WordPress do mercado. Como eles têm um firewall de site em nível de DNS, isso significa que todo o tráfego do seu site passa pelo proxy deles, onde o tráfego ruim é filtrado.

Usamos a Sucuri em nosso site, e você pode ler nossa análise completa da Sucuri para saber mais.

2. Instalar atualizações do WordPress

Alguns ataques comuns de força bruta visam ativamente vulnerabilidades conhecidas em versões mais antigas do WordPress, plug-ins populares do WordPress ou temas.

O núcleo do WordPress e os plug-ins mais populares do WordPress são de código aberto, e as vulnerabilidades geralmente são corrigidas muito rapidamente com uma atualização. Entretanto, se você não instalar as atualizações, deixará seu site vulnerável a essas ameaças antigas.

Basta acessar a página Dashboard ” Updates na área de administração do WordPress para verificar as atualizações disponíveis. Essa página mostrará todas as atualizações para o núcleo, os plug-ins e os temas do WordPress.

Updating WordPress Core From the Dashboard

Para obter mais detalhes, consulte nossos guias sobre como atualizar o WordPress com segurança e atualizar corretamente os plug-ins do WordPress.

3. Proteger o diretório de administração do WordPress

A maioria dos ataques de força bruta em um site WordPress está tentando obter acesso à área de administração do WordPress. Você pode adicionar proteção por senha ao diretório de administração do WordPress no nível do servidor. Isso bloqueará o acesso não autorizado à sua área de administração do WordPress.

Basta fazer login no painel de controle da sua hospedagem WordPress (cPanel) e clicar no ícone “Directory Privacy” (Privacidade do diretório) na seção Files (Arquivos).

Observação: estamos usando a Bluehost em nossa captura de tela, mas configurações semelhantes também estão disponíveis em outras empresas de hospedagem importantes, como a HostGator.

Click on the Directory Privacy option in the Files section

Em seguida, você precisa localizar a pasta wp-admin.

Depois de encontrá-lo, clique no botão “Editar”.

Using Directory Privacy to Password-Protect wp-admin

Na próxima página, você pode definir as configurações de segurança para a pasta.

Primeiro, você precisa marcar a caixa de seleção “Password protect this directory” (Proteger este diretório com senha). Em seguida, você pode digitar um nome para o diretório protegido.

Password Protecting a Directory

Em seguida, será solicitado que você forneça um nome de usuário e uma senha.

Essas informações serão solicitadas sempre que você tentar acessar esse diretório.

Providing a Username and Password for a Protected Directory

Depois de inserir essas informações, clique no botão “Save” (Salvar) para armazenar suas configurações.

Seu diretório de administração do WordPress agora está protegido por senha.

Você verá um novo prompt de login quando visitar a área de administração do WordPress.

Password protect WordPress admin example

Se você se deparar com uma mensagem de erro 404 ou de muitos redirecionamentos, precisará adicionar a seguinte linha ao arquivo .htaccess do WordPress:

ErrorDocument 401 default

Para obter mais detalhes, consulte nosso artigo sobre como proteger com senha o diretório de administração do WordPress.

4. Adicionar autenticação de dois fatores no WordPress

A autenticação de dois fatores acrescenta uma camada de segurança adicional à sua tela de login do WordPress. Os usuários precisarão de seus telefones para gerar uma senha de uso único juntamente com suas credenciais de login para acessar a área de administração do WordPress.

Users Must Enter an Authentication Code Before Logging In

A adição da autenticação de dois fatores dificultará o acesso dos hackers, mesmo que eles consigam descobrir sua senha do WordPress.

Para obter instruções detalhadas passo a passo, consulte nosso guia sobre como adicionar a autenticação de dois fatores no WordPress.

5. Use senhas exclusivas e fortes

As senhas são a chave para obter acesso ao seu site WordPress ou loja de comércio eletrônico. Você precisa usar senhas exclusivas e fortes para todas as suas contas. Uma senha forte é uma combinação de números, letras e caracteres especiais.

É importante usar senhas fortes não apenas para as contas de usuário do WordPress, mas também para o cliente FTP, o painel de controle de hospedagem na Web e o banco de dados do WordPress.

Muitos iniciantes nos perguntam como lembrar todas essas senhas exclusivas. Bem, não é necessário. Há excelentes aplicativos gerenciadores de senhas disponíveis que armazenam suas senhas com segurança e as preenchem automaticamente para você.

Para saber mais, consulte nosso guia para iniciantes sobre as melhores maneiras de gerenciar senhas para o WordPress.

6. Desativar a navegação no diretório

Por padrão, quando seu servidor da Web não consegue encontrar um arquivo de índice (como index.php ou index.html), ele exibe automaticamente uma página de índice com o conteúdo do diretório.

Directory Browsing

Durante um ataque de força bruta, os hackers podem usar a navegação em diretórios como esse para procurar arquivos vulneráveis. Para corrigir isso, você precisa adicionar a seguinte linha na parte inferior do arquivo .htaccess do WordPress usando um serviço de FTP:

Options -Indexes

Para obter mais detalhes, consulte nosso artigo sobre como desativar a navegação em diretórios no WordPress.

7. Desativar a execução de arquivos PHP em pastas específicas do WordPress

Os hackers podem querer instalar e executar um script PHP em suas pastas do WordPress. O WordPress é escrito principalmente em PHP, o que significa que você não pode desativá-lo em todas as pastas do WordPress.

No entanto, há algumas pastas que não precisam de scripts PHP, como a pasta de uploads do WordPress, localizada em /wp-content/uploads.

Você pode desativar com segurança a execução do PHP na pasta uploads, que é um local comum que os hackers usam para ocultar arquivos de backdoor.

Primeiro, você precisa abrir um editor de texto como o Bloco de Notas em seu computador e colar o seguinte código:

<Files *.php>
deny from all
</Files>

Agora, salve esse arquivo como .htaccess e carregue-o nas pastas /wp-content/uploads/ de seu site usando um cliente FTP.

8. Instalar e configurar um plug-in de backup do WordPress

Os backups são a ferramenta mais importante em seu arsenal de segurança do WordPress. Se tudo o mais falhar, os backups permitirão que você restaure facilmente seu site.

A maioria das empresas de hospedagem WordPress oferece opções limitadas de backup. No entanto, esses backups não são garantidos, e você é o único responsável por fazer seus próprios backups.

Há vários plug-ins excelentes de backup do WordPress que permitem programar backups automáticos.

Recomendamos o uso do Duplicator. Ele é fácil de usar para iniciantes e permite que você configure rapidamente backups automáticos e os armazene em locais remotos, como Google Drive, Dropbox, Amazon S3, One Drive e outros.

Duplicator

Há também uma versão gratuita do Duplicator que você pode usar para começar.

Para obter instruções passo a passo, você pode seguir este guia sobre como fazer backup do seu site WordPress com o Duplicator.

Todas as dicas mencionadas acima o ajudarão a proteger seu site WordPress contra ataques de força bruta. Para obter uma configuração de segurança mais abrangente, você deve seguir as instruções do nosso guia definitivo de segurança do WordPress para iniciantes.

Esperamos que este artigo tenha ajudado você a aprender como proteger seu site WordPress contra ataques de força bruta. Talvez você também queira ver nosso guia sobre como corrigir um site WordPress invadido e nossas escolhas de especialistas para os melhores construtores de páginas de arrastar e soltar do WordPress.

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

9 ComentáriosDeixe uma resposta

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Moinuddin Waheed says

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

  3. Renuga says

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    • WPBeginner Support says

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      Administrador

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.