Como Limitar as Tentativas de Login do WordPress
Publicados: 2023-06-22Deseja limitar as tentativas de login do WordPress para proteger a área de administração? Este tutorial mostrará o processo exato de limitar as tentativas de login.
A popularidade do WordPress como um CMS também traz sua vulnerabilidade a violações de segurança, como ataques de força bruta e muito mais. Como o WordPress não limita as tentativas de login por padrão, há ainda mais chances de que esses ataques sejam bem-sucedidos e prejudiquem seu site.
É por isso que é essencial adicionar tentativas de login em seu site WordPress. Mas limitar essas tentativas tem mais alguns benefícios além de evitar ataques de força bruta. Então, vamos ver as vantagens de limitar as tentativas de login no WordPress antes de passarmos para o processo real.
Por que limitar as tentativas de login do WordPress?
É essencial limitar as tentativas de login no seu site WordPress. Aqui estão algumas razões pelas quais é importante:
- Evite ataques de força bruta: os ataques de força bruta dependem da tentativa e erro automatizados de adivinhar várias combinações de nome de usuário e senha. Eles continuam até que as credenciais corretas sejam encontradas. Portanto, você pode reduzir significativamente as chances de sucesso desses invasores restringindo suas tentativas de login.
- Proteger contas de usuário: Limitar as tentativas de login é muito importante se o seu site permitir registros de usuários ou incluir recursos de associação. Você estabelece uma proteção que ajuda a defender as contas de usuário contra acesso não autorizado, impondo restrições às tentativas de login. Isso garante a proteção das contas de usuário associadas ao seu site WordPress e aumenta a segurança geral do seu site.
- Manter o desempenho do site: um ataque de força bruta pode sobrecarregar os recursos do servidor do site quando o invasor tenta vários nomes de usuário e senhas para obter acesso. Cada tentativa de login com falha requer poder de processamento, memória e outros recursos, o que pode levar à diminuição do desempenho do site ou até mesmo tempo de inatividade. Assim, você pode reduzir as chances dessas tentativas afetarem negativamente o desempenho do seu site, limitando as tentativas de login.
- Aumente a segurança geral: a implementação de limitações de tentativa de login é uma medida de segurança proativa que fortalece a proteção do seu site WordPress. Ele adiciona uma camada extra de defesa contra acesso não autorizado, incluindo outras medidas de segurança essenciais, como senhas fortes, autenticação de dois fatores e atualizações regulares. Juntas, essas medidas podem criar um sistema de defesa robusto para proteger seu site contra possíveis ameaças.
Na próxima seção, mostraremos o processo passo a passo para limitar as tentativas de login do WordPress usando um plug-in.
Como Limitar as Tentativas de Login do WordPress
A maneira mais fácil de limitar as tentativas de login no WordPress é usando um plug-in . Os plug-ins aumentam as funcionalidades e os recursos do seu site que não foram fornecidos na instalação ou nos temas padrão do WordPress. E como o WordPress não limita as tentativas de login por padrão, você terá que usar um plugin para isso.
Muitos plugins no WordPress permitem limitar as tentativas de login em seu site. Mas usaremos o plug-in Limit Login Attempts Reloaded para esta demonstração.
É o plug-in mais popular do WordPress projetado para proteger seu site contra ataques de força bruta, limitando as tentativas de login. O plug-in também possui uma interface direta para configurar o número máximo de tentativas de login e a duração dos bloqueios. Ele ainda fornece logs detalhados para que você possa acompanhar cada tentativa de login e estar ciente de quaisquer ameaças de segurança relacionadas.
Mas para começar a usar o plugin, você precisa instalá-lo e ativá-lo.
1) Instale e Ative o Plugin
Primeiro, vá para Plugins > Adicionar novo no painel do WordPress e insira as palavras-chave do plug-in. Depois de ver o plug-in nos resultados da pesquisa, clique em Instalar agora para instalar o plug-in.
A instalação levará apenas alguns segundos. Ative o plug-in assim que a instalação for concluída.
Você também pode carregar e instalar o plug-in se quiser usar um não incluído no repositório oficial de plug-ins do WordPress. Você pode consultar nosso guia completo sobre como instalar um plug-in do WordPress manualmente se precisar de ajuda.
2) Limite as tentativas de login usando as configurações do plug-in
Depois que o plug-in é ativado, agora você pode ajustar o limite de tentativa de login para o seu site WordPress usando as configurações do plug-in. Para isso, basta ir em Configurações > Limitar tentativas de login e abrir a aba Configurações .
Você poderá ver as configurações gerais do plugin aqui. Mas a primeira coisa que você deve fazer é rolar para baixo até a seção Configurações do aplicativo para limitar as tentativas de login ou bloqueios em seu site WordPress. Os bloqueios referem-se a um recurso de segurança que bloqueia ou restringe temporariamente o acesso a uma conta ou sistema após um determinado número de tentativas de login malsucedidas.
O plug-in inclui algumas opções para bloquear as tentativas de login. Em primeiro lugar, você pode adicionar o número de novas tentativas de login que deseja fornecer aos seus usuários na caixa de número “ novas tentativas permitidas ”. O número inserido aqui é o limite de tentativas de login que você deseja permitir aos usuários do seu site WordPress.
Da mesma forma, você pode ajustar o período na forma de minutos para os bloqueios se um usuário não inserir as credenciais corretas nas tentativas permitidas. Existem também mais algumas opções de bloqueio, como aumentar o número de bloqueio após um determinado período e o período para redefinir as novas tentativas.
Por fim, você também pode alterar a opção Origens de IP confiáveis. No entanto, é altamente recomendável não alterá-lo e deixá-lo como está por motivos de segurança. Depois de fazer todas as alterações necessárias, clique em Salvar configurações .
Então, você poderá ver as tentativas de login ao sair do painel do WordPress e tentar fazer login novamente quando um nome de usuário ou senha incorretos forem inseridos. Você também pode abrir o URL de login no modo de navegação anônima para testá-lo rapidamente. Se você observar a captura de tela a seguir, há apenas 6 de 7 porque a primeira tentativa incluiu um nome de usuário ou senha incorretos.
3) Ajuste as configurações adicionais do plug-in
Você também pode ajustar algumas configurações adicionais do plug-in depois de definir as opções de bloqueio para limitar as tentativas de login do seu site WordPress. Basta rolar até a seção Configurações gerais , onde a primeira opção que você verá é definir o plug-in como compatível com GDPR. Você pode até adicionar uma mensagem GDPR se marcar a opção.
Além disso, o plug-in pode notificá-lo após um determinado número de bloqueios diretamente no e-mail selecionado. Você também pode mostrar ou ocultar o item de menu de nível superior, o emblema de aviso e o widget do painel. Mas lembre-se de que o emblema de aviso e o item de menu de nível superior só serão exibidos quando você recarregar as alterações.
Não se esqueça de salvar as alterações depois de fazer todas as alterações adicionais.
Além disso, se você abrir a guia Logs , também poderá ver o número total de bloqueios aqui. Você também pode adicionar endereços IP, intervalos de IP ou nomes de usuário à lista segura e à área da lista de bloqueio de acordo. Novamente, é necessário salvar essas alterações para que esses endereços IP entrem em vigor em seu site.
Além disso, você também pode visualizar uma visão geral do número de tentativas de login com falha nas últimas 24 horas na guia Painel . Você também obtém um gráfico do número de tentativas de login com falha junto com a data exata das tentativas com falha ao lado dele. Se você deseja mais opções para tentativas de login, sempre pode atualizar para a versão premium.
Bônus: Como alterar o URL da página de login do WordPress
Se você deseja tornar seu site mais seguro para reduzir as chances de ataques de força bruta , também pode alterar o URL de login do WordPress do seu site. A URL de login padrão do WordPress é muito previsível e direta. Como resultado, os hackers podem encontrar facilmente seu URL de login para ataques de força bruta.
Você pode encontrar facilmente a página de login do seu site adicionando o caminho /wp-admin/ no final do seu domínio. Em seguida, você será redirecionado para a página de login do WordPress do seu site, de onde poderá acessar o painel do WordPress. Se o caminho /wp-admin/ não funcionar, você também pode tentar o caminho /wp-login/, /login/ ou /admin/ .
Como você pode ver, sua página de login pode ser acessada por qualquer pessoa familiarizada com web design e desenvolvimento, mesmo que seja mínima. Isso pode levar a mais ameaças de segurança em seu site, mesmo que você limite as tentativas de login do WordPress. Portanto, é essencial alterar também a URL de login do seu site WordPress.
Você pode alterar o URL de login do seu site sem complicações em apenas alguns minutos. E assim como limitar as tentativas de login, a maneira mais fácil de alterar a URL de login no WordPress é usando um plugin. Portanto, para esta demonstração, usaremos o plug-in WPS Hide Login .
1) Instale e Ative o Plugin
Para instalar o plug-in, vá para Plug-ins > Adicionar novo no painel do WordPress novamente. Em seguida, procure pelas palavras-chave do plug-in e clique em Instalar agora, assim como em uma das etapas mencionadas anteriormente neste tutorial.
Agora tudo que você precisa fazer é ativar o plugin.
2) Altere o URL da página de login do WordPress
Após a ativação do plug-in, você pode começar a personalizar as opções do plug-in em Configurações> WPS Hide Login no painel do WordPress.
Aqui, você precisa personalizar duas opções:
- URL de login
- URL de redirecionamento
No campo Login URL , insira o novo caminho desejado para sua página de login. Adicionamos “ newlogin ” para este exemplo. Portanto, seu URL de login exclusivo se torna www.yourdomain.com/newlogin/ .
É importante observar que, depois de fazer essa alteração, você precisará usar a nova URL para acessar o painel de administração do WordPress. Portanto, o caminho /wp-admin/ anterior ou qualquer outro URL de login que você estava usando não poderá mais acessar a página de login. Portanto, você precisará redirecionar os usuários da URL de login antiga para a nova.
É aqui que o URL de redirecionamento entra em ação. Quando alguém insere o antigo www.yourdomain.com/wp-admin/ em seu navegador, ele será redirecionado automaticamente para o URL de redirecionamento.
Mas, como queremos tornar o site mais seguro depois de limitar as tentativas de login do WordPress, adicione 404 como URL de redirecionamento. Isso permitirá que os usuários saibam que a página da Web inserida não está disponível.
Por fim, salve todas as alterações .
Depois de atualizar as novas configurações, o WordPress exibirá um aviso no topo da página indicando que a página de login foi alterada. É aconselhável marcar este link e fornecê-lo apenas para usuários administrativos do site.
Se precisar de mais informações sobre como alterar as URLs, você também pode consultar nosso tutorial detalhado sobre como alterar a URL da página de login do WordPress.
Dica: certifique-se de que sua senha de login seja forte
Assim como adicionar um limite às tentativas de login do WordPress e alterar o URL de login, também é essencial garantir que sua senha de login seja sólida e não possa ser adivinhada facilmente. Se você não tiver um, pode criá-lo facilmente por meio do painel de administração do WordPress. Então, como uma dica de bônus, vamos orientá-lo a adicionar uma senha forte para sua conta de login do WordPress também.
Primeiro, vá para Usuários > Perfil no painel do WordPress e role para baixo até a seção Gerenciamento de contas. Em seguida, clique em Definir nova senha . Ele irá gerar automaticamente uma nova senha forte para o seu perfil de usuário do WordPress.
Certifique-se de salvar a senha com segurança, copiando-a e colando-a em um local seguro para uso ou referência futura. Por fim, role até a parte inferior da página e clique em Atualizar perfil para salvar as alterações.
Conclusão
É assim que você pode limitar as tentativas de login do WordPress em seu site. Limitar as tentativas de login é essencial para adicionar uma camada extra de segurança ao seu site WordPress, e o processo também é direto. Tudo o que você precisa fazer é instalar um plug-in que permita limitar as tentativas de login e, em seguida, ajustar os bloqueios, e o login será retirado de acordo usando as configurações do plug-in.
Dependendo do plug-in que você usa, você também obtém algumas opções adicionais para os limites de login. Além disso, o plug-in também pode fornecer estatísticas e logs para as tentativas de login, conforme mostrado no exemplo acima neste tutorial.
Da mesma forma, também fornecemos a você um tutorial bônus sobre como alterar a URL de login do WordPress como uma medida de segurança adicional. Você pode alterar a URL de login usando um plug-in dedicado, assim como limitar as tentativas de login. Mas certifique-se de ter uma senha de login sólida para sua conta de usuário do WordPress para maior segurança.
Então você pode limitar as tentativas de login em um site WordPress agora? Você já experimentou? Por favor, deixe-nos saber nos comentários.
Enquanto isso, aqui estão mais alguns artigos que podem ser úteis para personalizar ainda mais seu site WordPress:
- Como criar um login temporário no WordPress: 3 métodos
- O login do WordPress não está funcionando? Como corrigi-lo
- Como adicionar CAPTCHA ao login do WooCommerce