Deseja proteger seu site WordPress contra ataques de força bruta?
Um ataque de força bruta pode desacelerar seu site, torná-lo inacessível e até quebrar suas senhas para instalar malware em seu site.
Neste artigo, mostraremos como proteger seu site WordPress contra ataques de força bruta.
O que é um ataque de força bruta?
Brute Force Attack é um método de hacking que usa tentativa e erro para invadir um site, uma rede ou um sistema de computador.
O tipo mais comum de ataque de força bruta é a adivinhação de senha. Os hackers usam software automatizado para tentar adivinhar suas informações de login e senha para que possam ter acesso ao seu site.
Essas ferramentas automatizadas de hackers também podem se disfarçar usando endereços IP e locais diferentes, o que dificulta a identificação e o bloqueio de atividades suspeitas.
Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área de administração do seu site. Eles podem instalar malware , roubar informações do usuário e excluir tudo em seu site.
Mesmo ataques de força bruta malsucedidos podem causar estragos ao enviar muitas solicitações para seus servidores de hospedagem WordPress , desacelerando ou até mesmo travando completamente seu site.
Dito isto, vamos dar uma olhada em como proteger seu site WordPress contra ataques de força bruta.
1. Instale um plugin de firewall para WordPress
Ataques de força bruta colocam muita carga em seus servidores. Mesmo os malsucedidos podem deixar seu site lento ou travar completamente o servidor. É por isso que é importante bloqueá-los antes que eles cheguem ao seu servidor.
Para fazer isso, você precisará de uma solução de firewall de site. Um firewall filtra o tráfego ruim e o impede de acessar seu site.
Existem dois tipos de firewalls de sites que você pode usar.
Firewall de nível de aplicativo – Esses plugins de firewall examinam o tráfego assim que ele chega ao seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Esse método não é tão eficiente porque um ataque de força bruta ainda pode afetar a carga do servidor.
Firewall de nível de DNS – Esses firewalls roteiam o tráfego do seu site por meio de seus servidores proxy na nuvem. Isso permite que eles enviem apenas tráfego genuíno para o servidor principal de hospedagem , aumentando a velocidade e o desempenho do WordPress .
Recomendamos o uso do Sucuri ou Astra Security. Por que são lideres do setor em segurança de sites e os melhores firewalls WordPress do mercado. Como são firewalls de site de nível DNS, significa que todo o tráfego do seu site passa pelo proxy, onde o tráfego ruim é filtrado.
2. Instale as atualizações do WordPress
Alguns ataques comuns de força bruta visam ativamente vulnerabilidades conhecidas em versões mais antigas do WordPress, plugins populares do WordPress ou temas.
O núcleo do WordPress e os plugins mais populares do WordPress são de código aberto e as vulnerabilidades geralmente são corrigidas muito rapidamente com uma atualização. No entanto, se você não conseguir instalar as atualizações, deixará seu site vulnerável a essas ameaças antigas.
Basta acessar a página Painel » Atualizações na área de administração do WordPress para verificar as atualizações disponíveis. Esta página mostrará todas as atualizações do seu núcleo, plugins e temas do WordPress.
3. Proteja o diretório de administração do WordPress
A maioria dos ataques de força bruta em um site WordPress está tentando obter acesso à área de administração do WordPress. Você pode adicionar proteção por senha em seu diretório de administração do WordPress em um nível de servidor. Isso bloquearia o acesso não autorizado à sua área de administração do WordPress.
Depois de proteger o diretório de administração do WordPress com senha. Você verá um novo prompt de login quando visitar sua área de administração do WordPress.
Para obter mais detalhes, consulte nosso artigo sobre como proteger com senha o diretório de administração do WordPress.
4. Adicione autenticação de dois fatores no WordPress
A autenticação de dois fatores adiciona uma camada de segurança adicional à tela de login do WordPress. Os usuários precisarão de seus telefones para gerar uma senha de uso único junto com suas credenciais de login para acessar a área de administração do WordPress.
Adicionar autenticação de dois fatores dificultará o acesso de hackers, mesmo que consigam quebrar sua senha do WordPress.
Para obter instruções detalhadas passo a passo, consulte nosso guia sobre como adicionar autenticação de dois fatores no WordPress.
5. Use senhas únicas e fortes
As senhas são as chaves para obter acesso ao seu site WordPress ou loja de comércio eletrônico. Você precisa usar senhas fortes exclusivas para todas as suas contas. Uma senha forte é uma combinação de números, letras e caracteres especiais.
É importante que você use senhas fortes não apenas para suas contas de usuário do WordPress, mas também para o cliente FTP, painel de controle de hospedagem na web e seu banco de dados WordPress.
A maioria dos iniciantes nos pergunta como lembrar de todas essas senhas exclusivas? Bem, você não precisa. Existem excelentes aplicativos de gerenciamento de senhas disponíveis que armazenam suas senhas com segurança e as preenchem automaticamente para você.
Para saber mais, consulte nosso guia para iniciantes sobre as melhores maneiras de gerenciar senhas para WordPress.
6. Desative a navegação no diretório
Por padrão, quando seu servidor web não encontra um arquivo de índice (ou seja, um arquivo como index.php ou index.html), ele exibe automaticamente uma página de índice mostrando o conteúdo do diretório.
Durante um ataque de força bruta, os hackers podem usar a navegação no diretório para procurar arquivos vulneráveis. Para corrigir isso, você precisa adicionar a seguinte linha na parte inferior do seu arquivo WordPress .htaccess
usando um serviço FTP .
Options -Indexes
Para mais detalhes, veja nosso artigo sobre como desabilitar a navegação em diretórios no WordPress.
7. Desative a execução de arquivos PHP em pastas específicas do WordPress
Hackers podem querer instalar e executar um script PHP em suas pastas do WordPress. O WordPress é escrito principalmente em PHP, o que significa que você não pode desativá-lo em todas as pastas do WordPress.
No entanto, existem algumas pastas que não precisam de scripts PHP. Por exemplo, sua pasta de uploads do WordPress localizada em /wp-content/uploads
.
Você pode desativar com segurança a execução do PHP na pasta de uploads, que é um lugar comum que os hackers usam para ocultar arquivos de backdoor.
Primeiro, você precisa abrir um editor de texto como o Bloco de Notas no seu computador e colar o seguinte código:
<Files *.php> deny from all </Files>
Agora, salve este arquivo como .htaccess
e carregue-o nas pastas /wp-content/uploads/
em seu site usando um cliente FTP.
8. Instale e configure um plugin de backup para WordPress
Os backups são a ferramenta mais importante em seu arsenal de segurança do WordPress. Se tudo mais falhar, os backups permitirão que você restaure facilmente seu site.
A maioria das empresas de hospedagem WordPress oferece opções de backup limitadas. No entanto, esses backups não são garantidos e você é o único responsável por fazer seus próprios backups.
Existem vários ótimos plugins de backup para WordPress, que permitem agendar backups automáticos.
Recomendamos o uso do UpdraftPlus . É amigável para iniciantes e permite configurar rapidamente backups automáticos e armazená-los em locais remotos como Google Drive, Dropbox, Amazon S3 e muito mais.
Todas as dicas mencionadas acima ajudarão você a proteger seu site WordPress contra ataques de força bruta. Para uma configuração de segurança mais abrangente, você deve seguir as instruções em nosso guia de segurança definitivo para WordPress para iniciantes.
Esperamos que este artigo tenha ajudado você a aprender como proteger seu site WordPress contra ataques de força bruta. Você também pode querer saber como conseguir um certificado SSL grátis para seu site WordPress.