Como bloquear tentativas de login com falha no WordPress
Publicados: 2021-10-26Os logins com falha podem ocorrer por vários motivos. Muitas vezes, é simplesmente o resultado de um usuário que realmente esqueceu sua senha. Acontece com o melhor de nós para não julgarmos com muita severidade. Às vezes, no entanto, algo mais sério pode estar acontecendo – alguém está tentando invadir.
A arte de solucionar problemas de logins com falha
Como todos os outros problemas do WordPress, a solução de problemas (também conhecido como chegar ao fundo das coisas) é o primeiro passo que precisamos realizar. Isso nos ajudará a ter certeza de que estamos lidando com o problema real e não com seu sintoma. Felizmente, existe uma maneira fácil de iniciar esse processo – observe os dados. Essencialmente, você deve ver uma de duas coisas:
- Combinações de nome de usuário e senha incorretas
Combinações erradas de nome de usuário e senha podem acontecer por um dos dois motivos. Ou alguém ou algo está tentando adivinhar uma combinação de nome de usuário/senha para obter acesso, ou é um ataque direcionado. No caso da primeira opção, esta é uma ocorrência bastante comum. Caso contrário, pode ser um ataque direcionado ao seu site para obter acesso ou sobrecarregar seu site (DoS/DDoS).
- Nome de usuário certo e combinações de senha erradas
As combinações corretas de nome de usuário e senha errada podem significar uma de duas coisas. Ou é um caso genuíno de alguém que esqueceu sua senha, ou alguém descobriu um nome de usuário real registrado no seu WordPress e agora está tentando adivinhar a senha.
Uma outra coisa que você deve se lembrar de olhar é a frequência. Um grande número de tentativas em um curto período geralmente é o sinal de um ataque automatizado. Por outro lado, uma linha do tempo lenta e irregular é um sinal revelador de uma pessoa que ainda não tomou seu café.
Os perigos de muitas tentativas de login com falha
Os ataques de adivinhação de senha são bastante comuns. Muitas tentativas de login do WordPress com falha são geralmente indicativas desses tipos de ataques. Sem uma maneira de gerenciar isso, você pode deixar seu site aberto a ataques e interrupções. Felizmente, gerenciar esse risco é muito fácil e requer pouco esforço administrativo.
O WordPress não oferece nenhuma funcionalidade para limitar ou realizar ações evasivas quando há tentativas de login com falha. Um usuário pode continuar tentando ad nauseam até acertar. Embora dar às pessoas chances extras possa ser considerado a coisa ética a fazer, impor limites e controles pode ajudar bastante a garantir a segurança e a integridade do seu site WordPress.
Como evitar tentativas de login com falha no WordPress
Implementar uma política de login com falha do WordPress é mais fácil do que parece. Existem basicamente duas opções para escolher, que discutiremos agora.
Limitar logins com falha manualmente
Se você deseja limitar os logins com falha do WordPress sem um plugin, você pode modificar o arquivo function.php do tema ativo e adicionar o código relevante. Existem várias maneiras de adicionar código personalizado a sites WordPress; no entanto, isso requer um bom entendimento de PHP e como o WordPress funciona.
Instalar um plug-in
Existe outra opção mais prática – use um plugin. Os plug-ins vêm em todas as formas e tamanhos, incluindo plug-ins que apenas limitam as tentativas de login e plug-ins que permitem aplicar uma política de segurança de senha no WordPress para controle e segurança ainda mais rígidos.
WPassword é um desses plugins do WordPress. Ele oferece aos administradores maior controle sobre como as senhas são usadas e gerenciadas em seus sites WordPress. Ele inclui a capacidade de configurar uma política que lida explicitamente com tentativas de login com falha, entre muitos outros recursos.
Outras coisas a considerar
Outra opção que vale a pena mencionar é o CAPTCHA. Plugins como Advanced noCaptcha e Captcha invisível são ótimos para ajudar você a parar ataques automatizados. Como um CAPTCHA precisa ser concluído antes que uma tentativa de registro seja feita, os bots por trás desses ataques falham no teste e não farão uma única tentativa de login.
Outra opção que costuma surgir em conversas sobre políticas de login com falha é a de bloquear IPs. Através desta opção, o IP ofensivo é colocado na lista negra, impedindo-o de acessar seu site em primeiro lugar. Embora isso seja tecnicamente correto, um agente mal-intencionado persistente pode simplesmente usar um IP diferente – o que pode ser feito com facilidade. Por conta disso, a estratégia de bloquear IPs muitas vezes acaba sendo um jogo de gato e rato.
Uma opção melhor é usar uma CDN (Content Delivery Network) e deixá-los lidar com o bloqueio de IPs ofensivos. Isso pode economizar um tempo precioso, que você pode investir em coisas produtivas.
Como criar uma política de login com falha do WordPress
Antes de começarmos a aplicar uma política de login com falha em um site WordPress, há algumas coisas que precisamos pensar. Como todos os outros problemas relacionados à segurança, o gerenciamento de tentativas de login com falha sofre do paradoxo de segurança/usabilidade. Quanto mais seguro algo é, menos utilizável ele se torna. O inverso é igualmente verdadeiro. Não permitir que ninguém faça login é muito seguro, mas dificilmente utilizável. Dar aos usuários chances ilimitadas de registro pode comprometer a segurança, mas aumenta a usabilidade.
O que você precisa entender é quanta margem de manobra você está disposto a dar aos seus usuários. Tradicionalmente, três tentativas são vistas como adequadas e razoáveis. Alguns discordam dessa noção e colocam o máximo de tentativas de login permitidas em dez. De qualquer forma, oferecer tentativas ilimitadas de login não é uma boa estratégia e pode ter repercussões negativas.
A verdade é que não existe resposta certa ou errada. Três é um número seguro, mas aumentará a sobrecarga administrativa. Dez podem ter despesas administrativas menores, mas trazem mais riscos.
Como tal, você pode querer começar limitando o número de tentativas de login para três e depois avaliar a situação. Ao usar o WPassword, é muito fácil alterar esse número. Assim, você pode facilmente adaptar a política aos seus usuários e circunstâncias.
Seria melhor se você também pensasse no que acontece quando uma conta é bloqueada. A conta deve ser desbloqueada automaticamente após uma janela de tempo pré-configurada ou um administrador deve desbloqueá-la manualmente? Esta questão sucumbe ao mesmo problema de antes: você precisa decidir entre usabilidade e segurança. Outro aspecto essencial que pode influenciar essa parte da política é a localização de seus usuários. Se as pessoas estão entrando do outro lado do mundo, você fica feliz em acordar às duas da manhã para desbloquear uma conta? E se não, quanto tempo um usuário deve esperar antes de poder fazer login novamente? Isso afetará a produtividade deles ou seus resultados?
Escolhendo os plugins (e política) certos para gerenciar logins com falha do WordPress
Depois de entender como você gostaria que sua senha e a política de logins com falha fossem, você precisa começar a trabalhar na implementação. Mencionamos anteriormente o WPassword como o principal candidato. Ele oferece muitas opções de configuração, permitindo uma margem de manobra considerável ao configurar e implementar sua política de senha.
Depois de habilitar a política de logins com falha para WordPress, você pode escolher quantas tentativas os usuários têm antes que sua conta seja bloqueada. Você também pode decidir como ele é desbloqueado e se deseja forçar os usuários a alterar suas senhas ou não, conforme explicado abaixo.
Etapa 1: Instalar e ativar o WPassword
Instalar o WPassword é fácil. Você pode baixar o plug-in de segurança de senha diretamente do site da WP White Security e enviá-lo para o seu site WordPress.
Depois de instalar o plugin, clique em Plugins no menu lateral do WordPress, localize o plugin e clique em Ativar . Isso adicionará uma nova opção de menu chamada Políticas de senha , na qual você precisa clicar.
Etapa 2: habilitar a política de logins com falha
Marque a caixa de seleção ao lado de Habilitar políticas de login com falha para limitar tentativas de login com falha em seu site WordPress. Insira o Número de tentativas de login com falha antes de bloquear um usuário, com 3 a 5 geralmente considerado um bom começo.
Outras opções de configuração incluem o que acontece quando uma conta é bloqueada e se os usuários bloqueados precisam redefinir sua senha no desbloqueio. Consulte o artigo da base de conhecimento da política de logins com falha do WordPress para obter mais informações.
Etapa 3: tome medidas de segurança adicionais
CAPTCHA
Também abordamos o CAPTCHA – o teste onipresente presente em muitos logins e formulários projetado para permitir que os humanos passem enquanto impedem bots e outras formas de ataques automatizados. Plugins como Advanced no Captcha e Captcha invisível tornam a implementação desses testes super fácil, oferecendo compatibilidade universal e suporte para diferentes versões.
Autenticação de dois fatores
Para aumentar a segurança dos processos de login, a autenticação de dois fatores é obrigatória. Por meio desse processo, os usuários precisam autenticar uma segunda vez inserindo uma senha única fornecida por meio de seu smartphone. Ao empregar o 2FA, o que você pode fazer facilmente por meio de plugins como o WP 2FA, você pode garantir que, mesmo que as senhas sejam comprometidas, a menos que a pessoa tenha o telefone vinculado a essa conta de usuário, ela não poderá fazer login.
Etapa 4: dar um passo adiante (opcional)
Com a senha e as políticas de login com falha, CAPTCHA e autenticação de dois fatores em vigor, você deve estar bem coberto.
No entanto, se o seu site ainda apresentar grandes volumes de tentativas de login com falha, considere usar um serviço CDN. Você pode querer falar com seu provedor de hospedagem na web para ajudá-lo a implementar uma solução adequada para ataques em grande escala.
A segurança de senha do WordPress requer uma abordagem 360
Como vimos ao longo do artigo, vários fatores precisam ser considerados ao implementar uma política de senha. Embora bloquear logins com falha no WordPress seja um bom primeiro passo (e necessário), adotando uma abordagem 360, você pode estar muito mais seguro. Isso não apenas ajuda você a cobrir todas as suas bases, mas também pode ajudá-lo a inspirar mais confiança em seu site WordPress.
Uma abordagem de 360 graus analisa vários fatores, incluindo plugins e temas, hospedagem, TLS, núcleo do WordPress e outros. Dessa forma, você pode garantir que sua segurança do WordPress esteja em ótima forma.