Um guia sobre como proteger o WordPress Admin - MalCare

Publicados: 2023-04-13

Admin seguro do WordPress: você sabia que mais de 90.000 tentativas de invasão são feitas em sites WordPress a cada minuto do dia? O que isso implica é que as tentativas de invasão em seus sites são iminentes, independentemente de o site ser grande ou pequeno. A segurança é uma das principais preocupações de um site.

Os hackers recorrem a várias técnicas para invadir um site WordPress e o ataque de força bruta é uma dessas técnicas. Envolve tentar uma combinação de nome de usuário e senhas comumente usados ​​na página de login do site.

Um ataque de força bruta bem-sucedido fornece acesso ao administrador do WordPress. A área de administração do WordPress é o centro administrativo de um site desenvolvido com WordPress. Qualquer pessoa que tenha acesso total ao administrador terá controle total sobre o site. Portanto, é importante proteger seu administrador do WordPress contra ataques de força bruta.

Como proteger o administrador do WordPress?

Criamos várias técnicas que ajudarão você a proteger o administrador do WordPress do seu site contra tentativas de invasão.

1. Use senhas fortes

Um dos erros mais comuns que os proprietários de sites cometem é usar senhas fracas. Ao longo dos anos, as técnicas de quebra de senhas amadureceram. Senhas fáceis de adivinhar são quebradas em poucos minutos. Senhas fortes ajudam a defender seu site contra técnicas inteligentes de quebra de senha. Aqui está um excelente artigo sobre como criar senhas realmente fortes para o seu site WordPress.

No entanto, lembrar senhas fortes pode ser um problema. Este post explica como gerenciar senhas fortes do WordPress .

Outro erro muito comum que muitas pessoas cometem é quando usam a mesma senha em vários sites. Quando uma senha é comprometida, todas as contas associadas à senha são comprometidas. Portanto, usar senhas diferentes para contas pode ajudar a evitar essa situação.

2. Evite usar um nome de usuário comum

Proteger a senha do WordPress é um passo importante para proteger a credencial de login do WordPress. O segundo componente de uma credencial de login é o nome de usuário. Se o seu nome de usuário for fácil de adivinhar, o hacker só precisa se concentrar na senha.

Um dos nomes de usuário mais comuns do WordPress é “admin”. Até alguns anos atrás, o WordPress sugeria automaticamente “admin” como nome de usuário. Embora o WordPress tenha parado de recomendar “admin”, muitos proprietários de sites ainda o usam. Várias novas contas de usuário estão sendo criadas usando “admin” como nome de usuário. Todos esses sites estão se tornando um alvo fácil.

Como o WordPress não impõe o uso de nomes de usuário exclusivos, você precisa garantir que nenhum de seus usuários esteja usando nomes de usuário comuns e que nenhuma nova conta seja criada com “admin”. Dê uma olhada nesta lista exaustiva do nome de usuário comumente usado para que você saiba quais nomes de usuário evitar.

3. Oculte sua página de login do WordPress

Os sites WordPress funcionam de maneira pré-determinada. Caso em questão, todos os sites WordPress vêm com uma página de login padrão que se parece com“www.anysite.com/wp-admin”.Isso facilita o trabalho de um hacker porque eles podem lançar um ataque automatizado em vários sites WordPress direcionados simultaneamente. Mas se você ocultar a página de login alterando-a, poderá evitar esse tipo de ataque em seu site.

Existem muitos plug-ins que você pode usar para alterar sua página de login e usar uma URL sugerida pelo plug-in. É provável que outros sites que usam o mesmo plug-in estejam usando o mesmo URL. E se os hackers souberem o formato da URL, ocultar sua página de login não será nada. Portanto, use uma ferramenta que permita criar seu próprio URL de página de login personalizado.

4. Implemente autenticação HTTP

Para proteger o administrador do WordPress, você pode proteger com senha toda a sua pasta wp-admin. A pasta wp-admin contém arquivos administrativos que alimentam o painel do WordPress. Qualquer pessoa que tenha acesso a esta pasta pode controlar todo o site. Se sua senha protege toda a pasta, toda vez que alguém solicita a seção admin, o kick do servidor inicia um processo de autenticação. O navegador solicitará ao usuário uma senha de autenticação HTTP. Existem muitas ferramentas que você pode usar para implementar a autenticação HTTP em seu administrador do WordPress, como HTTP Auth , AskApache Password Protect , etc.

Administrador seguro do WordPress
Autenticação HTTP habilitada em nossa página de login do WordPress

5. Use o Google Authenticator

Com as técnicas de invasão de sites cada vez mais sofisticadas atualmente, é comum adicionar outra camada de proteção de login junto com as fortes credenciais do usuário. Essa técnica é chamada de autenticação de dois fatores (2FA). O método envolve o envio de um código que só você pode receber em seu smartphone. Antes de ter acesso ao seu painel do WordPress, você precisa inserir o código exclusivo em seu site. Os benefícios dessa abordagem são que, mesmo que os hackers consigam quebrar suas credenciais, eles ainda precisam do código enviado exclusivamente para o seu dispositivo.

Administrador seguro do WordPress
Tivemos que digitar a senha enviada ao seu smartphone para acessar nosso painel do WordPress

Existem muitos plugins do WordPress que você pode usar para autenticação de 2 fatores. Ativamos o 2FA em nosso site usando o Mini Orange para proteger o administrador do WordPress e escrevemos um guia sobre o mesmo.

6. Limitando o número de tentativas de login com falha

Sites sob ataques de força bruta sofrem centenas de tentativas de login com falha. Para evitar esse ataque implacável em seu administrador do WordPress, você pode limitar o número de tentativas de login com falha feitas em seu site. O plug-in de segurança MalCare impede que os usuários tentem fazer login após 3 tentativas de login com falha. Eles precisam resolver um CAPTCHA antes de poder acessar a página de login do WordPress novamente. Isso ajuda a determinar se o usuário é humano ou um bot automatizado tentando executar um ataque de força bruta no site.

Administrador seguro do WordPress
Os bots não conseguem ignorar o CAPTCHA baseado em imagem

7. Instale o certificado SSL

Veja a URL do nosso site! Consegue ver um cadeado verde com a palavra “Seguro” ao lado? Nosso site possui certificado SSL instalado, o que significa que ninguém pode bisbilhotar e ler as credenciais de login de nossos usuários. Um site sem um certificado SSL corre o risco de expor involuntariamente as informações confidenciais do site.

Administrador seguro do WordPress
O certificado SSL está instalado neste site

Antigamente, os certificados SSL eram para páginas de pagamento ou áreas de administração do WordPress. Mas agora o certificado SSL pode ajudar a proteger todo o seu site. Em seu esforço para tornar a web um lugar mais seguro, o Google afirmou claramente que os certificados SSL são um fator de classificação . Você pode obter um certificado SSL de provedores como Comodo , Let's Encrypt e seu host ajudará a configurar o certificado em seu site.

8. Endereço IP malicioso da lista negra

Todo mundo que usa a Internet tem um endereço IP. Mesmo o hacker lançando ataques em sites WordPress tem um endereço IP. Se você mantiver um registro desses endereços IP, poderá impedi-los de acessar seu site. MalCare – um dos melhores plugins de segurança do WordPress oferece detalhes (endereços IP) de tentativas de login com falha feitas no site. Se você observar que muitas tentativas malsucedidas estão sendo feitas a partir dos mesmos IPs quase regularmente, você pode impedir que esses IPs suspeitos acessem seus sites simplesmente colocando os seguintes códigos em nosso arquivo .htaccess:

 ordem permitir, negar

negar de 192.168.20.10

permitir de todos

“192.168.20.10” é o endereço IP que queríamos bloquear em um de nossos sites. Você pode substituí-lo pelo IP que deseja bloquear.

9. Alterar chaves de segurança

Você não precisa inserir suas credenciais de login toda vez que precisar fazer login em seu site. Já se perguntou como seu navegador armazena essas credenciais? Depois de entrar em sua conta, suas informações de login são armazenadas de forma criptografada no cookie do navegador. As chaves de segurança são apenas variáveis ​​aleatórias que ajudam a melhorar essa criptografia. Se o seu site for invadido, alterar as chaves secretas invalidará o cookie e forçará todos os usuários ativos a se desconectarem automaticamente. Uma vez expulso, o hacker perde o acesso ao seu administrador do WordPress.

Administrador seguro do WordPress
Alterando chaves de segurança com MalCare Security Service

Para você

Não há uma maneira de proteger um administrador do WordPress, portanto, certifique-se de usar vários métodos. Compartilhamos com você algumas das maneiras mais recomendadas de proteger o administrador do WordPress. Mas antes de implementar qualquer um desses métodos, você deve fazer backup do seu site . Se algo der errado, você pode simplesmente restaurar um backup e colocar nosso site em funcionamento rapidamente.

Além disso, você pode tomar mais algumas medidas de segurança como bloqueio de IP, proteger a página de login, proteger o site com wp-config.php, seguir este guia completo sobre segurança do WordPress e instalar um plug-in de segurança do WordPress como o MalCare.

MalCare irá ajudá-lo a implementar algumas das medidas que mencionamos acima. Por exemplo, MalCare Security Plugin irá ajudá-lo a alterar chaves de segurança, limitar o número de tentativas de login com falha, manter seu site atualizado, entre outras coisas.

Experimente o plug-in de segurança MalCare agora mesmo!