Deseja proteger seu site WordPress contra ataques de força bruta?
Um ataque de força bruta pode deixar seu site lento, torná-lo inacessível e até mesmo quebrar suas senhas para instalar malware em seu site.
Neste artigo, mostraremos como proteger seu site WordPress contra ataques de força bruta.
O que é um ataque de força bruta?
Um ataque de força bruta é um método de hacking que usa tentativa e erro para invadir um site, uma rede ou um sistema de computador.
O tipo mais comum de ataque de força bruta é a adivinhação de senhas. Os hackers usam software automatizado para continuar adivinhando suas informações de login para que possam obter acesso ao seu site.
Essas ferramentas automatizadas de hacking também podem se disfarçar usando endereços IP e locais diferentes, o que dificulta a identificação e o bloqueio de atividades suspeitas.
Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área de administração do seu site. Eles podem instalar malware, roubar informações do usuário e excluir tudo do seu site.
Até mesmo ataques de força bruta malsucedidos podem causar estragos ao enviar muitas solicitações aos servidores de hospedagem do WordPress, deixando seu site lento ou até mesmo completamente inoperante.
Dito isso, vamos dar uma olhada em como proteger seu site WordPress contra ataques de força bruta. Aqui estão as etapas que seguiremos:
1. Instale um plug-in de firewall do WordPress
Os ataques de força bruta sobrecarregam seus servidores. Mesmo os que não são bem-sucedidos podem tornar seu site mais lento ou travar completamente o servidor. É por isso que é importante bloqueá-los antes que cheguem ao seu servidor.
Para fazer isso, você precisará de uma solução de firewall de site. Um firewall filtra o tráfego ruim e o impede de acessar seu site.
Há dois tipos de firewalls de site que você pode usar:
- Os Firewalls de nível de aplicativo examinam o tráfego quando ele chega ao servidor, mas antes de carregar a maioria dos scripts do WordPress. Esse método não é tão eficiente porque um ataque de força bruta ainda pode afetar a carga do seu servidor.
- Os firewalls de site de nível DNS direcionam o tráfego do seu site por meio de seus servidores proxy em nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor principal de hospedagem na Web e, ao mesmo tempo, aumentam a velocidade e o desempenho do WordPress.
Recomendamos o uso do Sucuri. Eles são os líderes do setor em segurança de sites e o melhor firewall para WordPress do mercado. Como eles têm um firewall de site em nível de DNS, isso significa que todo o tráfego do seu site passa pelo proxy deles, onde o tráfego ruim é filtrado.
Usamos a Sucuri em nosso site, e você pode ler nossa análise completa da Sucuri para saber mais.
2. Instalar atualizações do WordPress
Alguns ataques comuns de força bruta visam ativamente vulnerabilidades conhecidas em versões mais antigas do WordPress, plug-ins populares do WordPress ou temas.
O núcleo do WordPress e os plug-ins mais populares do WordPress são de código aberto, e as vulnerabilidades geralmente são corrigidas muito rapidamente com uma atualização. Entretanto, se você não instalar as atualizações, deixará seu site vulnerável a essas ameaças antigas.
Basta acessar a página Dashboard ” Updates na área de administração do WordPress para verificar as atualizações disponíveis. Essa página mostrará todas as atualizações para o núcleo, os plug-ins e os temas do WordPress.
Para obter mais detalhes, consulte nossos guias sobre como atualizar o WordPress com segurança e atualizar corretamente os plug-ins do WordPress.
3. Proteger o diretório de administração do WordPress
A maioria dos ataques de força bruta em um site WordPress está tentando obter acesso à área de administração do WordPress. Você pode adicionar proteção por senha ao diretório de administração do WordPress no nível do servidor. Isso bloqueará o acesso não autorizado à sua área de administração do WordPress.
Basta fazer login no painel de controle da sua hospedagem WordPress (cPanel) e clicar no ícone “Directory Privacy” (Privacidade do diretório) na seção Files (Arquivos).
Observação: estamos usando a Bluehost em nossa captura de tela, mas configurações semelhantes também estão disponíveis em outras empresas de hospedagem importantes, como a HostGator.
Em seguida, você precisa localizar a pasta wp-admin.
Depois de encontrá-lo, clique no botão “Editar”.
Na próxima página, você pode definir as configurações de segurança para a pasta.
Primeiro, você precisa marcar a caixa de seleção “Password protect this directory” (Proteger este diretório com senha). Em seguida, você pode digitar um nome para o diretório protegido.
Em seguida, será solicitado que você forneça um nome de usuário e uma senha.
Essas informações serão solicitadas sempre que você tentar acessar esse diretório.
Depois de inserir essas informações, clique no botão “Save” (Salvar) para armazenar suas configurações.
Seu diretório de administração do WordPress agora está protegido por senha.
Você verá um novo prompt de login quando visitar a área de administração do WordPress.
Se você se deparar com uma mensagem de erro 404 ou de muitos redirecionamentos, precisará adicionar a seguinte linha ao arquivo .htaccess do WordPress:
ErrorDocument 401 default
Para obter mais detalhes, consulte nosso artigo sobre como proteger com senha o diretório de administração do WordPress.
4. Adicionar autenticação de dois fatores no WordPress
A autenticação de dois fatores acrescenta uma camada de segurança adicional à sua tela de login do WordPress. Os usuários precisarão de seus telefones para gerar uma senha de uso único juntamente com suas credenciais de login para acessar a área de administração do WordPress.
A adição da autenticação de dois fatores dificultará o acesso dos hackers, mesmo que eles consigam descobrir sua senha do WordPress.
Para obter instruções detalhadas passo a passo, consulte nosso guia sobre como adicionar a autenticação de dois fatores no WordPress.
5. Use senhas exclusivas e fortes
As senhas são a chave para obter acesso ao seu site WordPress ou loja de comércio eletrônico. Você precisa usar senhas exclusivas e fortes para todas as suas contas. Uma senha forte é uma combinação de números, letras e caracteres especiais.
É importante usar senhas fortes não apenas para as contas de usuário do WordPress, mas também para o cliente FTP, o painel de controle de hospedagem na Web e o banco de dados do WordPress.
Muitos iniciantes nos perguntam como lembrar todas essas senhas exclusivas. Bem, não é necessário. Há excelentes aplicativos gerenciadores de senhas disponíveis que armazenam suas senhas com segurança e as preenchem automaticamente para você.
Para saber mais, consulte nosso guia para iniciantes sobre as melhores maneiras de gerenciar senhas para o WordPress.
6. Desativar a navegação no diretório
Por padrão, quando seu servidor da Web não consegue encontrar um arquivo de índice (como index.php ou index.html), ele exibe automaticamente uma página de índice com o conteúdo do diretório.
Durante um ataque de força bruta, os hackers podem usar a navegação em diretórios como esse para procurar arquivos vulneráveis. Para corrigir isso, você precisa adicionar a seguinte linha na parte inferior do arquivo .htaccess do WordPress usando um serviço de FTP:
Options -Indexes
Para obter mais detalhes, consulte nosso artigo sobre como desativar a navegação em diretórios no WordPress.
7. Desativar a execução de arquivos PHP em pastas específicas do WordPress
Os hackers podem querer instalar e executar um script PHP em suas pastas do WordPress. O WordPress é escrito principalmente em PHP, o que significa que você não pode desativá-lo em todas as pastas do WordPress.
No entanto, há algumas pastas que não precisam de scripts PHP, como a pasta de uploads do WordPress, localizada em /wp-content/uploads
.
Você pode desativar com segurança a execução do PHP na pasta uploads, que é um local comum que os hackers usam para ocultar arquivos de backdoor.
Primeiro, você precisa abrir um editor de texto como o Bloco de Notas em seu computador e colar o seguinte código:
<Files *.php>
deny from all
</Files>
Agora, salve esse arquivo como .htaccess
e carregue-o nas pastas /wp-content/uploads/
de seu site usando um cliente FTP.
8. Instalar e configurar um plug-in de backup do WordPress
Os backups são a ferramenta mais importante em seu arsenal de segurança do WordPress. Se tudo o mais falhar, os backups permitirão que você restaure facilmente seu site.
A maioria das empresas de hospedagem WordPress oferece opções limitadas de backup. No entanto, esses backups não são garantidos, e você é o único responsável por fazer seus próprios backups.
Há vários plug-ins excelentes de backup do WordPress que permitem programar backups automáticos.
Recomendamos o uso do Duplicator. Ele é fácil de usar para iniciantes e permite que você configure rapidamente backups automáticos e os armazene em locais remotos, como Google Drive, Dropbox, Amazon S3, One Drive e outros.
Há também uma versão gratuita do Duplicator que você pode usar para começar.
Para obter instruções passo a passo, você pode seguir este guia sobre como fazer backup do seu site WordPress com o Duplicator.
Todas as dicas mencionadas acima o ajudarão a proteger seu site WordPress contra ataques de força bruta. Para obter uma configuração de segurança mais abrangente, você deve seguir as instruções do nosso guia definitivo de segurança do WordPress para iniciantes.
Esperamos que este artigo tenha ajudado você a aprender como proteger seu site WordPress contra ataques de força bruta. Talvez você também queira ver nosso guia sobre como corrigir um site WordPress invadido e nossas escolhas de especialistas para os melhores construtores de páginas de arrastar e soltar do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Moinuddin Waheed
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Administrador
Moinuddin Waheed
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Administrador
Dreamandu
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support
You can use any of the methods in this article to start combating the brute force attack
Administrador
Chidubem Ezenwa
Yet another helpful guide. Thanks guys.