10 dicas excelentes para proteger a área de administração do WordPress

Publicados: 2022-07-12

Entre os 8.000 sites infectados conhecidos pela Sucuri, 74% deles são baseados em WordPress, de acordo com o Relatório de Sites Hackeados de 2016. Essa estatística séria ajuda em parte a perceber a preocupação permanente e contínua da segurança da web em seu site.

Terceiros maliciosos usam vários métodos para atacar seu site WordPress. O painel de administração seria o alvo mais vulnerável. É como o hub do seu site contendo dados importantes. Depois de invadir seu painel de administração, eles realizam ações perigosas que danificarão significativamente seu site.

Para prevenir efetivamente ataques suspeitos, você precisa proteger o administrador do WordPress. Nosso artigo de hoje se concentra em 10 maneiras de aumentar sua área de login. Antes de entrar em detalhes, vamos explicar brevemente alguns motivos para proteger seu login de administrador.

Por que proteger o administrador do WordPress

Ao falar sobre explorações de sites, definitivamente pensamos em hackers invadindo seu servidor usando sistemas de computador sofisticados.

Na verdade, o processo é muito mais fácil do que isso. Eles podem simplesmente obter acesso ao back-end do seu site e controlá-lo. Então, você sofre as consequências de perder dados, enfrentar problemas legais e gastar dinheiro na limpeza do site.

Na maioria dos casos, os hackers deixam malware em seu site para roubar dados de clientes de credenciais, como números de telefone ou detalhes de cartão de crédito. Uma vez que essas informações privadas são roubadas, seus clientes não apenas perdem dinheiro e são incomodados, mas também prejudicam a reputação da sua marca.

Os compradores nunca voltarão à sua loja online para comprar, pois não têm certeza se suas informações estão totalmente seguras. Você também pode ser arrastado para um litígio por não proteger os dados do cliente com cuidado.

Além disso, limpar o site devido a um ataque cibernético é caro. Você precisa contratar serviços de manutenção do WordPress para lidar com isso.

Existem várias técnicas que você pode aplicar para proteger o administrador do WordPress. Abaixo estão as 10 soluções mais fáceis para qualquer proprietário de site, de pessoas não tecnológicas a pessoas com experiência em tecnologia.

#1 Alterar o nome de usuário do administrador padrão

O WordPress atribui admin aos nomes de usuário padrão de todos os sites. E os cibercriminosos sabem disso, com certeza. Eles adivinham facilmente sua senha para fazer login em seu site. Eles podem adquiri-lo em algum lugar ou tentar um ataque de força bruta.

Você deve usar outro nome de usuário em vez do administrador para proteger o login do administrador. Felizmente, alterar nomes de usuário no WordPress é muito fácil.

  1. Visite Usuários no menu de administração do seu site
  2. Escolha Todos os usuários e abra o perfil de administrador
    pda-all-users
  3. Atualize o nome de usuário e a senha
  4. Salve suas alterações

#2 Use senhas fortes para proteger o administrador do WordPress

Estima-se que 8% dos sites invadidos do WordPress são derivados de senhas fracas. Portanto, lembre-se de usar uma senha forte para sua conta. A senha deve conter pelo menos 8 caracteres, combinando letras, números e caracteres especiais. Você pode inserir a nova senha diretamente na página Usuários , onde você altera o nome de usuário.

Os geradores de senha ajudam muito na criação de senhas aleatórias e fortes. Basta escolher os elementos que deseja incluir na senha e deixar que a ferramenta faça o trabalho.

No entanto, memorizar todas as suas senhas é doloroso, pois você possui toneladas de senhas e contas para gerenciar. Felizmente, você tem aplicativos gerenciadores de senhas à mão, ajudando você a armazenar suas senhas com segurança sem se preocupar em ser hackeado.

#3 Criar URL de login personalizado

Além do nome de usuário, o WordPress também fornece um link de login padrão adicionando /wp-login.php ao domínio do site. Por exemplo, www.example.com/wp-login.php . Se você mantiver o URL de login e o nome de usuário padrão, os hackers estão no meio do caminho ganhando acesso ao administrador do seu site.

Embora você possa criar um URL de login de administrador personalizado editando o arquivo wp-login.php, é altamente recomendável usar um plug-in. Você não precisa tocar no servidor ou fazer alterações em arquivos e pastas que podem destruir o site.

Leve em consideração o WPS Hide Login ao escolher um plugin para personalizar o link de login do WordPress. O plugin ganha a confiança de mais de 1 milhão de usuários em todo o mundo e prova a solução mais popular neste nicho até agora.

Siga os 4 passos abaixo para começar a usar o plugin.

  1. Instale e ative o WPS Hide Login em seu site
  2. Vá para Configurações no menu de administração
  3. Selecione WPS Ocultar login
  4. Insira o novo link de login na caixa URL de login

Lembre-se de salvar suas alterações. Uma vez feito, apenas os usuários com o novo link de login e os detalhes corretos da conta podem acessar sua página de administração.

#4 Proteja a pasta wp-admin com senha

A pasta wp-admin consiste em arquivos administrativos vitais, localizados no diretório raiz. Você pode criar uma camada de segurança adicional para seu administrador protegendo com senha esta pasta wp-admin.

  1. Faça login no seu cPannel de hospedagem ou conecte-se a um cliente FTP
  2. Hit Password Protect Diretórios ou Privacidade do Diretório
    pda-senha-proteger-diretório
  3. Encontre a pasta wp-admin no diretório /public_html/
  4. Habilite a opção Proteger com senha este diretório
  5. Forneça um nome de usuário e uma senha
    pda-username-password-directory
  6. Clique em Salvar

Isso é o que os usuários veem a qualquer momento tentando obter sua página de administração do WordPress. Eles precisam inserir o nome de usuário e a senha corretos para passar pela primeira camada de autenticação antes de enviar os dados de credenciais de administrador.

autenticação pda-admin

#5 Redefinir senhas para todos os usuários

Outra maneira de proteger o administrador do WordPress é forçar todos os usuários a redefinir suas senhas, especialmente em sites multiusuários. Para conseguir isso rapidamente, você precisa da ajuda do plug-in de redefinição de senha de emergência.

Após a ativação, ele permitirá que os administradores redefinam senhas e enviem por e-mail o link de redefinição automaticamente com apenas um clique. Siga os passos abaixo:

  1. Instale o plug-in de redefinição de senha de emergência
  2. Vá para UsuáriosRedefinição de senha de emergência
    pda-emergency-password-reset
  3. Pressione o botão Redefinir todas as senhas

É isso!

#6 Limitar tentativas de login

O WordPress permite que os usuários insiram informações de login quantas vezes quiserem até obterem acesso com sucesso à sua área de administração. Ainda assim, esta opção dá aos hackers a chance de atacar seu site com força bruta.

Esses usuários mal-intencionados geralmente têm uma biblioteca de senhas das mais comuns. Os hackers usarão um script automatizado e passarão por milhares de senhas em potencial.

Para reduzir o risco, você pode limitar as tentativas de login com o plugin Wordfence Security. É mais do que apenas um plugin para prevenir ataques de força bruta, que é responsável pela segurança do site e pelo firewall do WordPress. Discutiremos a utilidade deste plugin nas próximas seções.

  1. Instale e ative o plugin Wordfence Security para o seu site
  2. Abra o Wordfence e selecione Todas as opções
    pda-wordfence-enable-brute-force-attack
  3. Ative Ativar proteção de força bruta em Opções de firewall
  4. Insira o tempo que os usuários têm permissão para enviar informações de login com falha

Se eles conseguirem fazer login mesmo tendo atingido o número máximo de tentativas, o plug-in bloqueará seu endereço IP imediatamente.

#7 Restringir o acesso de login por endereços IP

Este método é vantajoso caso você tenha alguns usuários que precisem acessar sua área de administração. Requer que você edite o arquivo .htaccess via File Transfer Protocol (FTP) ou gerenciador de arquivos do seu host.

Adicione o código abaixo ao arquivo:

 AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Controle de acesso de administrador do WordPress"
Tipo de autenticação básico
<LIMITE RECEBER>
ordem negar, permitir
negar de todos
# endereço IP da lista de permissões
permitir de xx.xx.xx.xxx
</LIMIT>

Substitua xx.xx.xx.xxx pelo endereço IP real.

Modificar o arquivo .htaccess é seriamente perigoso. Lembre-se de criar um backup do seu site antes de editar o arquivo .htaccess. Dessa forma, você pode reverter a versão anterior caso algo de errado aconteça com o site.

#8 Configure a autenticação de dois fatores

A autenticação de dois fatores (2FA) permite adicionar uma camada de segurança extra ao seu administrador do WordPress. Por exemplo, insira o código de segurança enviado ao seu dispositivo móvel ou use seu ID de rosto.

Se você instalou o plugin Wordfence que apresentamos acima, você pode usar esta função sem a ajuda de qualquer solução adicional.

  1. Visite Wordfence e abra a seção Login Security
  2. Digitalize os códigos QR com seu aplicativo autenticador

#9 Desabilitar dicas de login

Quando os usuários não conseguem fazer login no painel de administração, o WordPress exibirá uma mensagem de erro informando se seu nome de usuário ou senha estava incorreto. Isso fornece dicas aos usuários sobre a credencial de login.

Veja um exemplo de hackers usando um nome de usuário e senha aleatórios para acessar a página de administração. Se souberem de um dos detalhes, só precisam procurar o outro certo.

Você pode parar isso editando o arquivo functions.php do seu tema. Vá até AparênciaEditor de Temasfunctions.php no backend do WordPress. Em seguida, insira o seguinte código em seu arquivo functions.php.

 function no_wordpress_errors(){
return 'Algo está errado!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

#10 Use um firewall de aplicativo de site

Um firewall nunca é uma solução antiga para proteger seu administrador do WordPress. Ele monitora o tráfego do site e impede que solicitações maliciosas acessem seu site. Alguns plugins populares que você pode experimentar incluem Wordfence, iThemes Security e Sucuri.

Eles não apenas mantêm os usuários suspeitos afastados, mas esses plugins também verificam se há malware. Existem várias opções de proteção de login para selecionar, desde prevenção de ataques de força bruta, autenticação de dois fatores, CAPTCHA, etc.

Hora de proteger o administrador do WordPress

As consequências das explorações do WordPress são devastadoras. Você perderá clientes, reputação de marca e dinheiro devido a crimes cibernéticos de login de administrador.

Prevenir é sempre melhor do que remediar. Você passou pelas 10 melhores dicas para proteger sua área de administração do WordPress com e sem plugins.

Você leva alguns cliques para alterar o nome de usuário e a senha do administrador. Você pode instalar plug-ins para gerar um URL de login personalizado, limitar tentativas de login, configurar 2FA e aplicar um firewall. Você deve usar o código para proteger com senha a pasta wp-admin, restringir o login por endereços IP e desabilitar as dicas de login.

Quantos desses métodos você aplicou? Compartilhe conosco na seção de comentários abaixo.