Por padrão, o WordPress mostra mensagens de erro na página de login quando alguém digita o nome de usuário ou a senha errados. Embora essas mensagens tenham o objetivo de ajudar os usuários, elas também podem dar pistas aos hackers que tentam invadir o seu site.
Desativar essas dicas de login é uma maneira fácil de aumentar a segurança do seu site. Com menos detalhes expostos, fica mais difícil para qualquer pessoa adivinhar suas credenciais de login.
Neste artigo, vamos orientá-lo sobre como desativar as dicas de login no WordPress para ajudá-lo a tornar seu site mais seguro.
O que são dicas de login nas mensagens de erro de login do WordPress?
Sempre que alguém tentar fazer login no seu site usando o nome de usuário ou a senha errados, o WordPress mostrará uma mensagem de erro na tela de login.
Se essa pessoa digitar o nome de usuário ou o endereço de e-mail errado, o WordPress mostrará o seguinte erro: ‘O nome de usuário não está registrado neste site. Se não tiver certeza do seu nome de usuário, tente usar seu endereço de e-mail”.
Isso pode ser útil para usuários genuínos, mas também permite que os hackers saibam que estão digitando o nome de usuário errado.
A inserção do nome de usuário correto, mas de uma senha incorreta, aciona o erro: “A senha que você inseriu para o nome de usuário está incorreta. Perdeu sua senha?
Isso confirma uma suposição correta do nome de usuário para possíveis invasores.
Se alguém conseguir adivinhar seu nome de usuário, a mensagem de erro informará que ele está no caminho certo. Isso significa que somente a sua senha impede que eles entrem em sua conta.
Os proprietários de sites do WordPress também podem fazer login em seus sites usando um endereço de e-mail em vez do nome de usuário. Isso significa que um hacker pode digitar diferentes endereços de e-mail para tentar descobrir qual endereço você está usando para sua conta do WordPress.
Assim que o hacker adivinhar o endereço de e-mail correto, o WordPress mudará para o erro “A senha que você digitou para o nome de usuário está incorreta”.
Para proteger o seu blog ou site WordPress contra hackers, você deve sempre usar um nome de usuário exclusivo e uma senha forte para a sua conta.
Se você adicionou outros usuários ou autores do WordPress ao seu site, talvez também queira usar um plug-in do WordPress para forçar os usuários a criar uma senha forte.
Embora essas etapas sejam um ótimo começo, as dicas de login podem ajudar os hackers a invadir seu site. Com isso em mente, vamos ver como você pode ocultar as dicas de login nas mensagens de erro de login do WordPress.
Ocultação de dicas de login no WordPress
A maneira mais fácil de desativar as dicas de login nas mensagens de erro de login do WordPress é colar algum código no WordPress. Embora normalmente não sugiramos isso para iniciantes, o WPCode facilita para qualquer pessoa adicionar código ao seu site WordPress.
Você pode adicionar o seguinte trecho de código à parte inferior do arquivo functions.php do seu site, mas isso pode fazer com que seu site seja interrompido.
Recomendamos a instalação do plug-in gratuito WPCode. Para obter instruções detalhadas, consulte nosso guia sobre como instalar um plug-in do WordPress.
Após a ativação, tudo o que você precisa fazer é acessar Code Snippets “ +AddSnippet no painel de administração do WordPress. Em seguida, passe o mouse sobre “Add Your Custom Code” e clique em “Use Snippet”.
Depois disso, basta nomear seu novo snippet e colar o seguinte código na área “Code Preview” (Visualização de código):
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Esse código altera o erro padrão da página de login para uma mensagem personalizada, como “Algo está errado!”.
Além disso, esse código diz ao WordPress para mostrar uma mensagem personalizada em vez do erro padrão. No código de exemplo acima, estamos usando “Algo está errado!” como nossa mensagem de erro.
Você pode alterar essa linha para mostrar qualquer mensagem que desejar. Por exemplo, aqui estamos usando “Algo está errado!” como nossa mensagem de erro:
return 'Something is wrong!';
Certifique-se de selecionar PHP na lista suspensa “Code Type” (Tipo de código) e, em seguida, alterne a opção de “Inactive” (Inativo) para “Active” (Ativo) e clique em “Save Snippet” (Salvar snippet).
Depois de fazer isso, é uma boa ideia testar sua nova mensagem de erro.
Para fazer esse teste, basta ir até a página de login do seu site e digitar o nome de usuário, a senha ou o e-mail errados. Em seguida, clique no botão “Log In”.
O WordPress agora mostrará sua nova mensagem de erro sem dar nenhuma dica sobre o que pode estar errado.
Observe que, embora esse código desative as dicas de login no WordPress, ele não o protegerá de tentativas mais avançadas ou de ataques de força bruta.
A maneira mais fácil de impedir que os hackers acessem seu site é usar um plug-in de segurança do WordPress, como o Cloudflare ou o WordFence.
Para obter mais informações, leia nosso guia definitivo sobre como proteger seu site WordPress.
Tutorial em vídeo
Para facilitar, também criamos um tutorial em vídeo sobre como desativar as dicas de login nas mensagens de erro de login do WordPress.
Dica bônus: como melhorar a segurança do login do WordPress
Agora que você sabe a importância de um nome de usuário e de uma senha fortes, vamos explorar algumas maneiras adicionais de aumentar a segurança do seu login. Isso é importante não apenas para você, mas também para qualquer pessoa que contribua para o seu blog, especialmente se vários autores o administrarem.
Aqui estão algumas dicas de bônus para ajudar a manter suas contas ainda mais seguras:
- Ative a autenticação de dois fatores (2FA): Isso adiciona uma camada extra de segurança ao exigir uma segunda forma de verificação, como um código de mensagem de texto ou uma pergunta de segurança.
- Use um gerenciador de senhas: Essas ferramentas o ajudam a criar e armazenar senhas complexas com segurança, para que você não precise se lembrar de todas elas.
- Atualize sua senha regularmente: Altere suas senhas a cada poucos meses para minimizar o risco de acesso não autorizado. É ainda melhor se você puder forçar atualizações de senha para os usuários.
- Evite usar Wi-Fi público para fazer logins confidenciais: Se possível, use uma conexão segura e privada ao fazer login em contas importantes.
- Mantenha seu software atualizado: Atualizações regulares podem protegê-lo contra vulnerabilidades de segurança que podem ser exploradas por invasores.
Além disso, talvez você queira limitar as tentativas de login em seu site WordPress.
Durante um ataque de força bruta, os hackers usam software automatizado para adivinhar repetidamente as senhas devido à permissão padrão da plataforma para tentativas de login ilimitadas.
Limitar as tentativas de login com falha, como bloquear temporariamente os usuários após 5 tentativas sem sucesso, reduz significativamente o risco de acesso não autorizado por ataques de força bruta.
Esperamos que este artigo tenha ajudado você a saber como ocultar as dicas de login das mensagens de erro de login do WordPress. A seguir, talvez você também queira ver nosso guia sobre como criar um portal do cliente com logins e páginas particulares ou como adicionar um login social ao WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Thomas Maier
Hello how can i translate the code above in different languages? I need it for the woocommerce login for the customers.
WPBeginner Support
You would want to change the ‘Something is wrong!’ text to the text you want but if you want the text to change into multiple languages, that would require a bit more coding than we would have for a beginner article. In that case you would want to take a look at multilingual plugins.
Administrador
Vahn
Thank you loads! I spent hours looking for the place to change this.
WPBeginner Support
Glad our guide was helpful
Administrador
Izzy
When I add this to my WpTouch plugin, it shows a part of the code in my header…
WPBeginner Support
As long as the code is working on the desktop version you would want to reach out to WPTouch to let them know about that issue to take a look.
Administrador
Anand
Well it is easy to know the username if it is right, as when entered correct username and the wrong password, the username field does not get blank even after getting the ‘something is wrong’ warning. Which clearly is a hint the yes this is the correct username. Is there any way to make the username field blank in this scenario. Please help.
Shane
Is there a way to change the text of the error message on the lostpassword page that says by default, “Please enter your username or email address. You will receive a link to create a new password via email.”?
I can’t seem to find any material on the subject
Nick
I was wondering the same thing. Why can’t we just change the wording of the error message instead of adding a function that might be overwritten with the next update?
Paco
The only thing is that when you enter a correct username and an incorrect password, it gives a message “something is wrong” but you can see the username, which confirms it in case you have guessed it. I don´t know if this happens in WordPress 4.5. Is there any way of leaving the username field blank even though it´s correct? Thank you
maudenicholson2
I am curious to find out what blog system you’re using? I’m having some small security issues with my latest website and I would like to find something more safeguarded. Do you have any solutions?
WPBeginner Support
We are using WordPress with Sucuri.
Administrador
freyaewu73605919
I am truly thankful to the owner of this web page who has shared this enormous article at at this time.
deneengranger
Do you have any video of that? I’d like to find out some additional information.
WPBeginner Support
Video will be available soon. Please subscribe to our YouTube Channel.
Administrador
Bob
WP Simple Firewall or Shield gives you the ability to hide the login menu, lock down the Dashboard and it comes with Sucuri and Brute Attack prevention. It is a free plugin, use it in conjunction with a password manager, so you don’t forget or misplace your passwords. I use Lastpass, which is also free. Shield replaced six security plugins and sped up my website.
Phillip George
Is there a help line in Australia as I have forgotten my user name for logon being a little old it is a problem
Bob
G’day Phillip, sorry mate no help line. Try going through whoever hosts your website, they should be able to help you out. Once reset use a password manager like Lastpass, you only have to remember one password. WRITE IT DOWN; did I say write it down because if you don’t, WRITE IT DOWN you’ll really will be up the creek, without a paddle.