Seu site WordPress está vulnerável a ataques de força bruta? Esses ataques não apenas podem deixar seu site lento e de difícil acesso, mas também podem permitir que hackers quebrem suas senhas e instalem malware. Isso pode prejudicar gravemente seu site e seus negócios.
Na WPBeginner, confiamos muito em ferramentas de segurança como Sucuri e Cloudflare para manter nosso site seguro. A Sucuri nos ajudou uma vez a bloquear 450.000 ataques WordPress em um período de 3 meses.
Neste artigo, mostraremos como proteger seu site WordPress contra ataques de força bruta.
O Que É um Ataque de Força Bruta?
Um ataque de força bruta é um método de hacking que usa tentativa e erro para invadir um site, uma rede ou um sistema de computador.
O tipo mais comum de ataque de força bruta é a adivinhação de senhas. Hackers usam software automatizado para continuar adivinhando suas informações de login para que possam obter acesso ao seu site.
Essas ferramentas automatizadas de hacking também podem se disfarçar usando diferentes endereços IP e locais, o que torna mais difícil identificar e bloquear atividades suspeitas.
Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área de administração do seu site. Eles podem instalar malware, roubar informações de usuários e excluir tudo do seu site.
Mesmo ataques de força bruta malsucedidos podem causar estragos ao enviar muitas solicitações para os servidores de hospedagem WordPress, diminuindo a velocidade ou até mesmo travando completamente o seu site.
Dito isso, vamos dar uma olhada em como proteger seu site WordPress contra ataques de força bruta. Aqui estão os passos que seguiremos:
- Instale um Plugin de Firewall para WordPress
- Instale as Atualizações do WordPress
- Proteja o Diretório de Administração do WordPress
- Adicione Autenticação de Dois Fatores no WordPress
- Use Senhas Únicas e Fortes
- Desative a Navegação de Diretórios
- Desative a Execução de Arquivos PHP em Pastas Específicas do WordPress
- Instale e Configure um Plugin de Backup do WordPress
1. Instale um Plugin de Firewall para WordPress
Ataques de força bruta colocam muita carga em seus servidores. Mesmo os malsucedidos podem diminuir a velocidade do seu site ou travar completamente o servidor. É por isso que é importante bloqueá-los antes que cheguem ao seu servidor.
Para fazer isso, você precisará de uma solução de firewall para sites. Um firewall filtra o tráfego ruim e o impede de acessar seu site.
Existem dois tipos de firewalls para sites que você pode usar:
- Firewalls de Nível de Aplicação examinam o tráfego assim que ele chega ao seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente porque um ataque de força bruta ainda pode afetar a carga do seu servidor.
- Firewalls de Site em Nível de DNS roteiam o tráfego do seu site através de seus servidores proxy na nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor de hospedagem principal, ao mesmo tempo que impulsionam a velocidade e desempenho do seu WordPress.
Recomendamos o uso de Sucuri. Eles são líderes na indústria de segurança de sites e o melhor firewall para WordPress do mercado. Como eles possuem um firewall de site em nível de DNS, isso significa que todo o tráfego do seu site passa pelo proxy deles, onde o tráfego malicioso é filtrado.
Usamos o Sucuri em nosso site, e você pode ler nossa análise completa do Sucuri para saber mais.
2. Instale as atualizações do WordPress
Alguns ataques de força bruta comuns visam ativamente vulnerabilidades conhecidas em versões mais antigas do WordPress, plugins populares do WordPress ou temas.
O núcleo do WordPress e a maioria dos plugins populares do WordPress são código aberto, e as vulnerabilidades geralmente são corrigidas muito rapidamente com uma atualização. No entanto, se você não instalar as atualizações, deixará seu site vulnerável a essas antigas ameaças.
Simplesmente vá para a página Painel » Atualizações na área de administração do WordPress para verificar as atualizações disponíveis. Esta página mostrará todas as atualizações para o seu núcleo do WordPress, plugins e temas.
Para mais detalhes, veja nossos guias sobre como atualizar o WordPress com segurança e atualizar plugins do WordPress corretamente.
3. Proteja o Diretório de Administração do WordPress
A maioria dos ataques de força bruta em um site WordPress está tentando obter acesso à área de administração do WordPress. Você pode adicionar proteção por senha ao seu diretório de administração do WordPress em nível de servidor. Isso bloqueará o acesso não autorizado à sua área de administração do WordPress.
Simplesmente faça login no seu painel de controle de hospedagem do WordPress (cPanel) e clique no ícone 'Privacidade do Diretório' na seção Arquivos.
Observação: Estamos usando o Bluehost na nossa captura de tela, mas configurações semelhantes estão disponíveis em outras empresas de hospedagem de ponta como HostGator também.
Em seguida, você precisa localizar a pasta wp-admin.
Assim que a encontrar, você deve clicar no botão ‘Editar’ dela.
Na próxima página, você pode definir as configurações de segurança para a pasta.
Primeiro, você precisa marcar a caixa ‘Proteger este diretório com senha’. Em seguida, você pode inserir um nome para o diretório protegido.
Em seguida, você será solicitado a fornecer um nome de usuário e uma senha.
Você será solicitado a fornecer essas informações sempre que tentar acessar este diretório.
Após inserir essas informações, clique no botão ‘Salvar’ para armazenar suas configurações.
Seu diretório de administração do WordPress agora está protegido por senha.
Você verá um novo prompt de login ao visitar sua área de administração do WordPress.
Se você encontrar um erro 404 ou uma mensagem de erro de muitos redirecionamentos, então você precisa adicionar a seguinte linha ao seu arquivo .htaccess do WordPress:
ErrorDocument 401 default
Para mais detalhes, veja nosso artigo sobre como proteger por senha o diretório de administração do WordPress.
4. Adicionar autenticação de dois fatores no WordPress
A autenticação de dois fatores adiciona uma camada extra de segurança à sua tela de login do WordPress. Os usuários precisarão de seus telefones para gerar um código de acesso único, juntamente com suas credenciais de login, para acessar a área administrativa do WordPress.
Adicionar a autenticação de dois fatores tornará mais difícil para os hackers obterem acesso, mesmo que consigam quebrar sua senha do WordPress.
Para instruções detalhadas passo a passo, consulte nosso guia sobre como adicionar autenticação de dois fatores no WordPress.
5. Use Senhas Únicas e Fortes
Senhas são as chaves para obter acesso ao seu site WordPress ou loja de eCommerce. Você precisa usar senhas únicas e fortes para todas as suas contas. Uma senha forte é uma combinação de números, letras e caracteres especiais.
É importante que você use senhas fortes não apenas para suas contas de usuário do WordPress, mas também para seu cliente FTP, painel de controle de hospedagem web e seu banco de dados WordPress.
Muitos iniciantes nos perguntam como lembrar de todas essas senhas únicas. Bem, você não precisa. Existem excelentes aplicativos gerenciadores de senhas disponíveis que armazenarão suas senhas com segurança e as preencherão automaticamente para você.
Para saber mais, consulte nosso guia para iniciantes sobre as melhores maneiras de gerenciar senhas para WordPress.
6. Desativar Navegação de Diretório
Por padrão, quando seu servidor web não consegue encontrar um arquivo de índice (como index.php ou index.html), ele exibe automaticamente uma página de índice mostrando o conteúdo do diretório.
Durante um ataque de força bruta, hackers podem usar a navegação de diretório como esta para procurar arquivos vulneráveis. Para corrigir isso, você precisa adicionar a seguinte linha no final do seu arquivo .htaccess do WordPress usando um serviço FTP:
Options -Indexes
Para mais detalhes, consulte nosso artigo sobre como desativar a navegação de diretório no WordPress.
7. Desativar a Execução de Arquivos PHP em Pastas Específicas do WordPress
Hackers podem querer instalar e executar um script PHP em suas pastas do WordPress. O WordPress é escrito principalmente em PHP, o que significa que você não pode desativar isso em todas as pastas do WordPress.
No entanto, existem algumas pastas que não precisam de scripts PHP, como a pasta de uploads do seu WordPress localizada em /wp-content/uploads.
Você pode desativar a execução de PHP com segurança na pasta de uploads, que é um local comum que hackers usam para esconder arquivos de backdoor.
Primeiro, você precisa abrir um editor de texto como o Bloco de Notas no seu computador e colar o seguinte código:
<Files *.php>
deny from all
</Files>
Agora, salve este arquivo como .htaccess e envie-o para as pastas /wp-content/uploads/ no seu site usando um cliente FTP.
8. Instalar e Configurar um Plugin de Backup do WordPress
Backups são a ferramenta mais importante no seu arsenal de segurança do WordPress. Se tudo mais falhar, os backups permitirão que você restaure seu site facilmente.
A maioria das empresas de hospedagem WordPress oferece opções de backup limitadas. No entanto, esses backups não são garantidos, e você é o único responsável por fazer seus próprios backups.
Existem vários ótimos plugins de backup do WordPress que permitem agendar backups automáticos.
Recomendamos o uso do Duplicator. Ele é amigável para iniciantes e permite que você configure rapidamente backups automáticos e os armazene em locais remotos como Google Drive, Dropbox, Amazon S3, OneDrive e outros.
Existe também uma versão gratuita do Duplicator que você pode usar para começar.
Para instruções passo a passo, você pode seguir este guia em como fazer backup do seu site WordPress com o Duplicator.
Todas as dicas mencionadas acima ajudarão você a proteger seu site WordPress contra ataques de força bruta. Para uma configuração de segurança mais completa, você deve seguir as instruções em nosso guia definitivo de segurança do WordPress para iniciantes.
Esperamos que este artigo tenha ajudado você a aprender como proteger seu site WordPress contra ataques de força bruta. Você também pode querer ver nosso guia sobre como corrigir um site WordPress hackeado e nossas escolhas de especialistas dos melhores plugins de firewall para WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Olaf
Estas são dicas muito valiosas. Um ataque de força bruta pode ser muito perigoso, especialmente se o provedor de hospedagem não tiver soluções de fundo e, acima de tudo, se os usuários tiverem senhas fracas compostas por frases simples. Pessoalmente, tudo sempre começa com a senha. Caracteres, símbolos, números… essa é a única combinação certa. Nomes e frases são o pior. Se as pessoas entenderem isso, estarão amplamente protegidas, desde que as senhas tenham pelo menos oito caracteres ou mais. No entanto, é difícil ensinar isso às pessoas, pois elas querem senhas que possam lembrar. É por isso que é bom usar dispositivos mnemônicos para senhas. Eu uso senhas que não fazem sentido, mas as lembro através de mnemônicos. Adicionar uma camada extra de segurança apenas melhora a segurança geral, e considero a autenticação de dois fatores a melhor segunda camada. Com ela, a chance de uma violação se torna quase mínima.
Dayo Olobayo
Este é um ótimo guia para proteger seu site WordPress! Uma dica adicional que eu recomendaria é monitorar regularmente suas tentativas de login. Muitos plugins de segurança oferecem logs detalhados onde você pode rastrear tentativas de login, incluindo endereços IP de origem. Isso pode ajudá-lo a identificar atividades suspeitas e potencialmente bloquear IPs maliciosos.
Mrteesurez
Obrigado pela sua recomendação.
Eu costumava verificar os detalhes dos logs para identificar o endereço IP das tentativas de login. Mas existe alguma maneira de receber uma notificação para tentativas de login diretamente por e-mail?
Você conhece algum plugin que faça isso?
Dayo Olobayo
Acredito que o plugin Limit Login Attempts Reloaded possa enviar notificações por e-mail para tentativas de login. Você pode dar uma olhada.
Mrteesurez
Ok, obrigado pela sua resposta, Dayo. É difícil e leva tempo fazer login com frequência para verificar os logs de tentativas de erro em vários sites, é por isso que preferi receber e-mails sobre qualquer tentativa. Obrigado.
Jiří Vaněk
Notei que você não incluiu a opção de alterar a URL de administração do WordPress na lista. Há alguma razão para isso? É também um dos ótimos métodos para prevenir ataques, pois os atacantes não saberão a URL da administração do site.
WPBeginner Support
Não recomendamos isso, pois pode causar problemas com plugins e depuração e não adiciona muita segurança a um site.
Admin
Jiří Vaněk
Bem, você provavelmente tem experiência com isso. Eu uso no meu blog e nunca tive problemas em todos os sites. Eu presumi que mudar a URL poderia tornar a administração mais segura por não ter a URL conhecida pelo atacante, mas vou seguir seu conselho.
Moinuddin Waheed
Este é um problema muito comum para usuários do WordPress. Na maioria das vezes, damos pouca ou nenhuma atenção para proteger nosso site ou blog e depois reclamamos quando algo assim acontece.
Eu fui vítima desse ataque de força bruta em 2017 e, desde então, tenho garantido o uso de backup do meu site completo e autenticação de dois fatores para fazer login.
Existe alguma maneira de identificar se algum software malicioso foi instalado ou se nosso painel foi comprometido?
WPBeginner Support
Você pode usar algumas das opções de scanner que recomendamos em nosso artigo abaixo!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Admin
Moinuddin Waheed
Obrigado pela resposta e pela recomendação do tutorial.
Estou explorando esses guias para criar uma agência de sites WordPress de sucesso.
Quero ter certeza de que os sites que faço para meus clientes sejam à prova de falhas em segurança.
Renuga
OI,
Para a proteção do admin no passo 3, precisamos mostrar o login apenas no WP-admin, mas ele está aparecendo no site também. Então, por favor, nos ajude a como mostrar apenas no WP-admin.
WPBeginner Support
Se você quer dizer que está na sua área de widget, talvez você queira verificar um widget de meta em Aparência>Widgets
Admin
Dreamandu
Estou sob ataque de força bruta agora mesmo de diferentes IPs. O que posso fazer para proteger meu site agora?
WPBeginner Support
Você pode usar qualquer um dos métodos deste artigo para começar a combater o ataque de força bruta
Admin
Chidubem Ezenwa
Mais um guia útil. Obrigado, pessoal.