Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Ataques de força bruta ao WordPress e o que você precisa fazer a respeito

Várias fontes importantes confirmaram que há ataques de força bruta em massa sendo direcionados a sites WordPress e Joomla neste momento. HostGator, InMotion Hosting, LiquidWeb e muitos outros informaram seus clientes sobre esse problema. A botnet dos hackers contém mais de 90.000 IPs diferentes e eles estão atacando os iniciantes em WordPress que estão cometendo alguns erros muito comuns. Sim, tudo isso parece assustador, então aqui está o que você precisa fazer para diminuir suas chances de ser hackeado.

1. Pare de usar o nome de usuário de administrador

Geralmente, os iniciantes usam nomes de usuário muito comuns, como admin, administrador, teste, root etc. Nossos amigos da Sucuri informaram que esses nomes de usuário estão sendo muito visados no momento. Se você tiver um nome de usuário genérico do WordPress, como admin, deverá alterá-lo agora mesmo.

Temos um tutorial fácil de seguir que mostrará como alterar seu nome de usuário no WordPress.

2. Use uma senha forte

Por favor, por favor, por favor, use uma senha muito forte. Esses ataques de força bruta tentam atingir todas as senhas mais comuns que as pessoas usam. Uma senha forte contém letras maiúsculas e minúsculas, números e símbolos. Não use a mesma senha em mais de um local. Nunca é tarde demais para começar a usar uma solução de gerenciamento de senhas, como o 1Password ou o LastPass.

3. Mantenha bons backups

A melhor segurança que você pode ter para seu site é uma ótima solução de backup. Estamos usando o VaultPress, que é um serviço mensal. No entanto, se você não gosta de pagar mensalmente, recomendamos que adquira o BackupBuddy.

Mantenha bons backups de seu site, pois a maioria das empresas de hospedagem não o faz.

4. Use a autenticação de dois fatores

Comece a usar a autenticação de dois fatores. Dessa forma, mesmo que alguém adivinhe sua senha, essa pessoa não poderá acessar seu site porque não tem o código de segurança. É altamente recomendável que você faça isso agora mesmo.

5. Proteger o WP-Admin com senha e limitar as tentativas de login

Sempre recomendamos aos nossos usuários que limitem as tentativas de login. No entanto, isso por si só não pode proteger todos os ataques, pois essa botnet contém 90.000 IPs. Outra coisa que você pode fazer é proteger com senha o diretório WP-admin. Você também pode limitar seu arquivo wp-login.php a um IP específico.

6. Comece a usar o Sucuri

Se você não estiver usando a Sucuri, recomendamos enfaticamente que comece a usá-la. Eles estão sempre em cima do acontecimento e não há ninguém em quem confiaríamos mais quando se trata da segurança do WordPress. Veja 5 motivos pelos quais usamos a Sucuri.

Não sabemos ao certo qual é o objetivo final desses ataques, mas, seja qual for, não gostaríamos que nossos usuários fossem vítimas disso. Mantenha seus sites atualizados e siga todas as dicas acima.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

14 ComentáriosDeixe uma resposta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all “.htaccess” files. Any changes you have made to your “.htaccess” files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  3. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Administrador

  4. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  5. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  6. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  7. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  8. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  9. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  10. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  11. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.