Como proteger seu administrador do WordPress (Wp-Admin)

Publicados: 2022-08-27

A segurança do WordPress é bastante vital no ecossistema WordPress. Uma das abordagens de segurança a serem tomadas é proteger seu Wp-admin. Isso ocorre porque o Wp-admin provavelmente será o primeiro ponto que os invasores usarão para tentar obter acesso ao seu site.

Por padrão, os arquivos de administração do WordPress são armazenados na pasta Wp-admin. Apesar do WordPress ter várias medidas de segurança para proteger a pasta, o fato de que o administrador padrão do WordPress é amplamente conhecido, então isso o torna um alvo fácil para hackers. Portanto, é importante reduzir o risco de ataques na Web desencadeados pelo administrador do WordPress.

Neste artigo, veremos algumas das abordagens que você pode utilizar para proteger seu administrador do WordPress.

Índice

Abordagens para proteger seu Wp-admin

  • Evite usar o nome de usuário “admin” padrão
  • Criando senhas fortes
  • Proteja com senha a área Wp-admin
  • Criar um URL de login personalizado
  • Incorporar uma autenticação/verificação de dois fatores
  • Ativar logouts automáticos
  • Limitar o número de tentativas de login
  • Implementar restrição de IP
  • Desabilitar erros na página de login
  • Usando um plug-in de segurança
  • Atualize o WordPress para a versão mais recente

Conclusão

Abordagens para proteger seu Wp-admin

Existem várias maneiras que você pode utilizar para proteger a área de administração do WordPress. Abaixo está uma lista rápida sobre essas práticas de segurança.

1. Evite usar o nome de usuário “admin” padrão

Em uma nova instalação do WordPress, a primeira conta criada é a conta de administrador. “admin” é definido como o nome de usuário padrão em tal instalação. Na verdade, isso é de conhecimento público.

Uma maneira de um hacker descobrir facilmente se “admin” é seu nome de usuário é simplesmente acessar o URL de login do site e experimentar o nome de usuário “admin”. Se “admin” for realmente um nome de usuário dentro do site, eles terão essa mensagem de erro na tela de login; “ Erro: A senha que você digitou para o nome de usuário admin está incorreta. Perdeu sua senha ?”

Essa mensagem de erro serviria como uma confirmação para o hacker de que existe um nome de usuário “admin” no site.

Nesta fase, um hacker já tem duas informações sobre o seu site. Estes são o nome de usuário e o URL de login. Tudo o que o hacker precisa é a senha do site.

Neste ponto, um hacker tentará realizar ataques simplesmente executando senhas contra esse nome de usuário para obter acesso ao site. Isso pode ser feito manualmente ou até mesmo por meio de bots.

Outra abordagem que um hacker pode usar é simplesmente anexar a consulta “?author=1/” ao URL para que seja lido como yourdomain/?author=1/. Se você tiver um nome de usuário com o administrador do usuário, a URL retornará postagens do usuário ou nenhuma se não houver postagens associadas a ele. Abaixo está uma ilustração de exemplo:

Em qualquer um dos casos, desde que um erro 404 não seja retornado, isso serviria como uma confirmação de que certamente existe um nome de usuário com o nome de usuário “admin”.

Com base nos cenários acima, se você tiver o nome de usuário padrão “admin”, é vital que você crie uma nova conta de administrador na seção Usuários > Adicionar novo no painel do WordPress.

Feito isso, certifique-se de excluir a conta “admin” anterior.

2. Criando senhas fortes

Senhas fortes são essenciais para qualquer site WordPress por aí. Por outro lado, senhas fracas facilitam o acesso de hackers ao seu site WordPress.

Algumas das medidas de segurança de senha que você pode incorporar incluem:

  • Verifique se a senha é longa o suficiente (no mínimo 10 caracteres)
  • A senha deve conter pelo menos caracteres alfanuméricos, espaços e caracteres especiais
  • Certifique-se de que as senhas sejam alteradas ou atualizadas regularmente
  • Certifique-se de não reutilizar senhas
  • As senhas não devem ser palavras do dicionário
  • Armazenar senhas usando um gerenciador de senhas
  • Certifique-se de que os usuários que se registram no site preencham senhas fortes

As senhas também não devem ser adivinhadas, pois isso representaria novamente uma ameaça à segurança.

3. Proteja com senha a área Wp-admin

O WordPress oferece um nível de segurança para o Wp-admin, permitindo que os usuários preencham seu nome de usuário e senha para fazer o login. No entanto, isso pode não ser suficiente, pois os hackers podem realmente realizar ataques na Web ao acessar o Wp-admin. Portanto, é recomendável adicionar uma camada extra de segurança ao Wp-admin. Isso pode ser feito por meio de:

e) cPanel

ii) .htaccess

Através do cPanel

Para proteger com senha o Wp-admin via cPanel, você precisará realizar o seguinte:

Primeiro, acesse o painel do cPanel e clique em “Privacidade do diretório”.

Em seguida, acesse a pasta public_html.

Dentro dele, clique no botão “Editar” dentro do diretório wp-admin.

Na próxima tela, habilite a opção “Proteger este diretório com senha” e dentro do campo “Digite um nome para o diretório protegido”, preencha um nome de sua preferência e salve suas alterações.

Feito isso, dê um passo para trás e crie um novo usuário com os detalhes desejados (nome de usuário e senha).

Feito isso, se um usuário tentar acessar a pasta wp-admin, ele será solicitado a preencher o nome de usuário e a senha recém-criados antes de ser redirecionado para a tela onde precisará preencher seu administrador do WordPress credenciais.

Por .htaccess

O .htaccess é um arquivo de configuração usado pelo Apache que serve para fazer alterações em diretórios. Você pode aprender mais sobre o arquivo neste artigo.

Nesta seção, veremos como usar o arquivo .htaccess para restringir a pasta wp-admin. Para isso, precisaremos criar dois arquivos (.htaccess e .htpasswd) realizando o seguinte:

i) Crie um arquivo .htaccess

Usando um editor de texto de sua preferência, crie um novo arquivo chamado .htaccess .

Adicione o seguinte conteúdo ao arquivo:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

No código acima, você precisará alterar o caminho “AuthUserFile” especificado (/home/user/public_html/mydomain.com/wp-admin/) com o caminho do diretório wp-admin que é onde você fará o upload do arquivo .htpasswd . Além disso, você também precisará alterar o “usernamedetail” na linha “require user”, com o nome de usuário desejado.

ii) Crie um arquivo .htpasswd

Ainda usando um editor de texto de sua preferência, crie um novo arquivo chamado .htpasswd.

Acesse o gerador wtools.io.

Preencha seu nome de usuário e senha nos campos dedicados no formulário Htpasswd e clique no botão “Gerar”.

Uma vez feito, copie o resultado para o seu arquivo .htpasswd e salve suas alterações.

iii) Carregue os arquivos via FTP

Para fazer o upload dos arquivos via FTP, você precisará usar uma ferramenta como o Filezilla.

Para começar, você precisará enviar seu arquivo .htaccess para o diretório wp-admin do seu site seguido pelo arquivo .htpasswd.

Assim que um usuário tentar acessar o /wp-admin, ele será apresentado a uma tela de login semelhante ao que é visto abaixo:

4. Crie um URL de login personalizado

Os URLs de login do WordPress são acessados ​​anexando o arquivo wp-admin ou wp-login.php? ao seu domínio. O fato de serem os endpoints de login padrão do WordPress significa que, desde que um hacker tenha acesso ao domínio, ele poderá acessar facilmente sua URL de login.

Se você também usar o nome de usuário “admin” padrão, isso significaria novamente que um hacker precisaria apenas descobrir uma informação, que é a “senha”.

Portanto, é importante ter um URL de login personalizado para o seu site. Uma maneira de conseguir isso é que você precisará instalar o plug-in WPS Hide Login.

Ao instalar o plug-in, navegue até a seção Configurações > Ocultar login do WPS e especifique o URL de login desejado e um URL de redirecionamento que será acessado quando um usuário não logado tentar acessar o Wp-login.php ou Wp-admin .

Feito isso, salve suas alterações.

Isso tornará difícil para qualquer pessoa que tente acessar o login do seu site, reduzindo assim as tarefas em potencial.

5. Incorporar uma autenticação/verificação de dois fatores

A autenticação de dois fatores é um mecanismo de segurança pelo qual uma camada extra de segurança é fornecida adicionando um requisito de autenticação extra.

Para implementar a autenticação de dois fatores em seu site WordPress, você pode usar um plug-in de terceiros de sua preferência. Neste guia, sugerimos usar o plugin WP 2FA – Autenticação de dois fatores para WordPress devido à sua facilidade de uso.

Para utilizar o plugin, navegue até a seção Plugins > Adicionar Novo no painel do WordPress e procure por WP 2FA.

Instale e ative o plug-in.

Feito isso, navegue até a seção Usuários > Perfil e clique no botão “Configurar 2FA”.

Na próxima tela, selecione o método 2FA desejado. No nosso caso, selecionaremos a opção “Código único gerado com seu aplicativo de escolha”.

Após a seleção, prossiga para a próxima etapa. Aqui, selecione o aplicativo desejado para autenticação na lista de ícones fornecida. Clicar em um ícone redirecionará para o guia sobre como configurar o aplicativo.

No nosso caso aqui, usaremos o aplicativo “Google Authenticator”. Portanto, você pode começar instalando primeiro o aplicativo Google Authenticator no dispositivo desejado, como no celular.

Feito isso, abra o aplicativo e toque no ícone flutuante “+” na região inferior direita do aplicativo.

Em seguida, você será solicitado a digitalizar o código QR na captura de tela ilustrada acima.

Ao fazer isso, você será redirecionado para uma tela com a conta recém-adicionada, juntamente com o código 2FA.

Em seguida, volte ao seu site e preencha seu código 2FA, valide e salve a configuração. Abaixo está uma ilustração de exemplo:

Feito isso, você terá uma mensagem de sucesso e poderá realizar um backup dos seus códigos.

Para obter ilustrações detalhadas sobre como fazer isso, você pode conferir o guia aqui.

Uma vez que um usuário agora tenta fazer login no site, mesmo ignorando o primeiro login, ele será presenteado com uma camada de autenticação extra onde ele será solicitado a preencher o código de autenticação.

6. Ativar logouts automáticos

Depois de fazer login em um site e os usuários não fecharem a janela do navegador, as sessões não são encerradas por algum tempo. Isso torna esse site propenso a hackers por meio de sequestro de cookies. Esta é uma técnica pela qual um hacker está em posição de comprometer uma sessão roubando ou acessando cookies no navegador de um usuário.

Como mecanismo de segurança, é importante fazer logout automático de usuários inativos no site. Para conseguir isso, você pode usar um plugin como o plugin Inactive Logout.

O plug-in pode ser instalado na seção Plugins > Adicionar Novo, primeiro pesquisando-o, instalando-o e ativando-o.

Após a ativação do plugin, navegue até a seção Configurações > Logout inativo, defina o “Tempo limite ocioso” e salve suas alterações.

Você pode definir o valor para qualquer um de sua preferência, mas 5 minutos seria o ideal.

7. Limite o número de tentativas de login

Por padrão, o WordPress não oferece um limite para o número de tentativas de login em um site. Isso possibilita que hackers executem scripts que contêm detalhes de login de usuário comuns para tentar penetrar no site. Se o número de tentativas for muito grande, isso pode causar uma sobrecarga no seu servidor e, eventualmente, é provável que haja um tempo de inatividade no site. Em um caso em que você está usando dados de login comuns, é provável que um hacker também acesse o site com sucesso.

Portanto, é importante limitar o número de tentativas de login em um site. Para esta implementação, você pode usar um plugin como Login Lockdown.

Semelhante a outras instalações de plugins no wordpress.org, você pode instalar o plugin Login Lockdown na seção Plugins > Add New. Dentro da seção, pesquise o plugin, instale e ative-o.

Após a ativação, navegue até Configurações> Bloqueio de login e especifique as configurações de bloqueio desejadas, como Max Login Retries, Retry Time Period Restriction, Lockout length e muito mais com base em sua preferência.

8. Implemente a restrição de IP

A restrição de IP é uma abordagem que você também pode implementar para negar acesso ao Wp-admin. No entanto, este método é recomendável se você estiver usando um IP estático.

Para implementar a restrição de IP, você precisará criar um arquivo .htaccess dentro do diretório wp-admin, caso ainda não tenha um, e adicionar o seguinte código ao arquivo:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Uma vez feito isso, você precisará substituir o xx.xx.xx.xxx dentro do código pelos endereços IP aos quais deseja conceder acesso.

Se você também mudar sua rede, precisará acessar os arquivos do site e adicionar o novo IP para poder fazer login no site.

Se agora um usuário cujo IP não tem permissão para acessar o wp-admin tentar acessá-lo, ele encontrará uma mensagem de erro Forbidden semelhante à ilustração abaixo.

9. Desabilite Erros na página de Login

Por padrão, o WordPress renderizará erros na página de login se um usuário tentar fazer login no site usando credenciais incorretas. Alguns exemplos dessas mensagens de erro são:

  • ERRO: nome de usuário inválido. Perdeu sua senha?
  • ERRO: Senha incorreta. Perdeu sua senha?

Com essas mensagens sendo renderizadas, elas estão realmente fornecendo dicas sobre os detalhes de login incorretos e isso significaria que um hacker ficaria com apenas um detalhe para descobrir. Por exemplo, a segunda mensagem é uma dica de que a senha é o que está incorreto. O hacker, portanto, só precisa descobrir a senha para obter acesso ao site.

Para desabilitar essas mensagens de erro, você precisará adicionar o seguinte código dentro do arquivo functions.php no tema:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Se um usuário agora tentar fazer login no site com credenciais incorretas, nenhuma mensagem de erro será exibida. Abaixo está uma ilustração de exemplo sobre isso:

10. Usando um plug-in de segurança

Os plugins de segurança do WordPress ajudam a reduzir as ameaças de segurança em seu site. Alguns desses plugins de segurança oferecem recursos como adição de reCaptcha, restrição de IP e muito mais.

Portanto, é importante que você considere o uso de um plug-in de segurança para reduzir a probabilidade de ataques no Wp-admin. Alguns plugins de segurança de exemplo que você pode considerar usar são: WordFence e Malcare.

11. Atualize o WordPress para a versão mais recente

WordPress é um software atualizado regularmente. Algumas das atualizações incorporam correções de segurança. Se, por exemplo, houve uma versão de segurança direcionada ao Wp-admin e, no seu caso, você não conseguiu atualizar sua versão do WordPress, isso significaria que seu Wp-admin está propenso a ataques.

Portanto, é importante atualizar regularmente sua versão do WordPress para reduzir o risco de explorações em seu site.

Conclusão

O administrador do WordPress é um dos principais alvos dos hackers para que eles obtenham controle total do seu site. Portanto, é importante proteger a seção de administração do WordPress do seu site.

Neste artigo, analisamos várias maneiras que você pode usar para proteger seu administrador do WordPress. Esperamos que o artigo seja informativo e útil. Se você tiver alguma dúvida ou sugestão, sinta-se à vontade para utilizar a seção de comentários abaixo.