Recentemente muitos clientes pergutaram sobre os Brute Force Attacks, ou ataques de força bruta, que têm acontecido de forma descontrolada no mundo digital e um dos alvos é o próprio sistema WordPress.
Provavelmente por ser o CMS mais usado no mundo, de pequenos blogs até grandes portais, esta ferramenta atrai com certeza o maior número de robôs que tentam a todo custo uma invasão, foi pensando nisso que resolvemos trazer esse artigo para ensinar como você pode proteger o seu WordPress contra ataques brute force.
Como funcionar um Ataque de Força Bruta?
Um ataque de força bruta nada mais é que um bot ou uma rede de bots (robôs) que tentam pelo método “tentativa e erro” acertar a sua senha.
Conseguindo o acesso ele captura a sua senha e volta mais tarde através de uma invasão, de certa forma pela porta da frente do seu site.
Este é um relatório de logs do servidor durante um ataque de força bruta. Cada linha desta tela representa um bot/botnet tentando acertar a senha de um WordPress.
Da parte dos provedores de hospedagem de sites como a Hostec, há recursos e ferramentas disponíveis para que se atenuem estas tentativas, geralmente bloqueando os IPs que tentam e erram mais de uma vez esta senha.
Clique aqui para ver conhecer os nossos serviços de Hospedagem WordPress
Mas com a quantidade de computadores infectados e conexões ativas e sempre estabelecidas disponíveis para ajudar nos ataques, fica quase que impossível que algumas tentativas sejam feitas.
E neste caso que entram as senhas fracas, quanto menos fortes são as senhas criadas para acesso ao seu site e mais fáceis são os nomes de usuários, mais rapidamente alguém vai conseguir infectá-lo.
Mas como prevenir-se de Ataques de Força Bruta?
Antes de mais nada, quando tratamos de Segurança da Informação estamos sempre falando de hábitos que dia após dia vão melhorando a segurança de um site e dificultando o acesso do invasor. Alguns destes hábitos eficazes pra diminuir uma invasão são:
- manter sempre os softwares atualizados (WordPress, Joomla, Magento etc.) em suas últimas versões, bem como seus templates e plugins.
- criar e trocar com frequência senhas fortes, que contenham pelo menos 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais (!@#$%ˆ&*), e não colocando palavras conhecidas ou fáceis de serem descobertas, melhor ainda que sejam totalmente aleatórias.
- manter seu computador (principalmente se nele rodar o sistema operacional Windows em qualquer versão) limpo e longe de vírus, com verificações frequentes com bons antivírus (aquele antivírus gratuito nem sempre resolve).
- nunca, jamais e sob qualquer hipótese salvar senhas no seu computador ou pedir para que o navegador/browser salve para futuros acessos.
Outra dica bastante importante é aliar estes hábitos ao plugin iThemes Security (antigo Better Security), que juntos podem operar verdadeiros milagres no quesito segurança.
Mudando o endereço de login do WordPress
Quando você muda o endereço de login do WordPress, “tiramos o nosso da reta”. Ou seja, os ataques automatizados dos robôs passam a fazer pouca influência no nosso WordPress e aí terminamos de fechar a porta da frente dos nossos blogs.
Após instalado o plugin iThemes Security pelo próprio instalador de plugins do WordPress, você clica no menu Security.
Vai abrir esta janela. Na sequência em Settings.
Nesta página você vai ter todas as principais configurações de segurança do plugin, mas pode usar o menu Go To para ir até onde precisa de fato, que é selecionando o ítem Hide Login Area.
A tela pulará até a opção Enable the hide backend feature que deverá ser HABILITADA, Logo abaixo você preenche o novo nome da URL que dará acesso ao dashboard do seu WordPress, que antes era o famoso wp-admin (www.seudominio.com/wp-admin).
Você pode escolher qualquer nome, mas sugiro que seja em português e que seja diferente dos padrões.
Feito isso você clica em Save All Changes, e muito provavelmente será necessário um novo login neste momento. E lembre-se de acessá-lo pelo novo endereço selecionado.
A partir de agora o bom e velho “wp-admin” resultará em um erro 404. E você saiu da rota de colisão com os brute-force attack. Fácil, né?
Agora que você sabe como fazer para livrar-se de vez de ataques brute force, que tal fazer um teste gratuito por 30 dias de um serviço de hospedagem já com todos os requisitos necessários para seu site ficar 100% seguro na internet.
Visite: https://www.hostec.com.br/hospedagem-de-sites e saiba mais informações sobre os nossos serviços.
