Limite as tentativas de login no WordPress: como fazer?
Publicados: 2023-04-19Você está preocupado que os hackers estejam tentando fazer login no seu site WordPress? Você está certo em ser.
Os hackers estão usando métodos de tentativa e erro para adivinhar as credenciais de login e invadir sites WordPress. Na verdade, em um site WordPress, a página de login do WordPress é a página mais atacada.
Depois que um hacker invade sua área do painel de administração, ele pode assumir o controle total do seu site. Eles instalarão malware, backdoor, desfigurarão seu site, anunciarão e venderão produtos ilegais, roubarão as informações pessoais de seus usuários, enviarão spam aos visitantes de seu site e executarão outras atividades maliciosas.
Felizmente, você pode proteger sua página de login limitando o número de tentativas de login que um usuário recebe para inserir as credenciais corretas. Neste guia, mostraremos como configurar o limite de tentativas de login em um site WordPress.
TL;DR: Ao limitar as tentativas de login em seu site WordPress, você pode impedir que hackers tentem invadir seu site. A maneira mais fácil e eficiente de ativar esse recurso em seu site é usando um plug-in. Instale o MalCare em seu site. Ele vem com firewall e proteção de login. Isso protege seu site contra ataques de força bruta.
O que é o WordPress Limitar tentativas de login?
Por padrão, o WordPress concede tentativas ilimitadas de login em seu site. Você pode tentar quantas combinações de nomes de usuário e senhas quiser.
Os hackers estão cientes disso e exploram essa configuração. Primeiro, eles compilam um banco de dados de nomes de usuário e senhas comumente usados, junto com dados roubados ou comprados. Em seguida, eles programam bots para visitar sites WordPress e tentar milhares de combinações de nomes de usuários e senhas em poucos minutos.
Ao fazer isso, os hackers conseguem invadir muitos sites do WordPress. Isso é chamado de ataque de força bruta , pois eles invadem seu site com milhares de solicitações de login em alguns minutos.
Usando esse método de hacking, os hackers têm uma boa taxa de sucesso (aproximadamente 10%) devido principalmente ao fato de que os usuários do WordPress tendem a definir credenciais de login fracas. Embora 10% pareça um número baixo, dado o fato de que existem milhões de sites WordPress, eles podem invadir milhares de sites rapidamente.
Ao limitar o número de tentativas de login, você pode parar os hackers e seus bots em suas trilhas.
Um usuário terá um número limitado de vezes para inserir as credenciais de login corretas. Por exemplo, você pode conceder três tentativas. Se o usuário não inserir as credenciais corretas todas as três vezes, sua conta será bloqueada.
Eles serão apresentados com opções para recuperar suas credenciais de login, como:
- Entre em contato com o administrador.
- Use a opção 'esqueci a senha' para redefinir a senha respondendo a um conjunto de perguntas.
- Prove sua identidade por meio de verificação OTP ou verificação de e-mail.
- Resolva um captcha para provar que eles são humanos e não um bot.
Depois que um bot tenta fazer login três vezes, ele se depara com esses obstáculos. Eles não poderão prosseguir e passarão para o próximo alvo.
Portanto, essa medida de segurança pode proteger seu site contra hackers e evitar um mundo de problemas. A seguir, mostraremos como configurar o limite de tentativas de login no WordPress
Como limitar as tentativas de login em seu site WordPress?
Existem duas maneiras de limitar as tentativas de login em seu site WordPress:
- Usando um plugin (fácil)
- Manualmente (difícil)
Mostraremos primeiro como usar um plug-in porque é simples, rápido e sem riscos de erros.
1. Limite as tentativas de login usando um plug-in
Existem vários plugins que permitem logins limitados em seu site WordPress. Então, como você escolhe o caminho certo?
Procure um plug-in que seja fácil de configurar e que automatize o processo para você. Além disso, verifique se o plug-in fornece um relatório sobre as tentativas bloqueadas para que você possa ver se o plug-in está realmente funcionando.
Selecionamos o plug-in MalCare Security para ilustrar como limitar as tentativas de login em seu site. Ele atende aos requisitos que listamos acima. Ele também vai além de apenas limitar as tentativas de login e mantém seu site protegido o tempo todo.
Com o MalCare, seu site terá tentativas de login limitadas baseadas em CAPTCHA. Isso significa que se um usuário inserir as credenciais erradas mais de dez vezes, ele será solicitado a resolver um CAPTCHA.
Ao resolver o CAPTCHA, o usuário pode tentar fazer o login novamente. Ou eles podem usar a senha esquecida? opção para recuperar suas credenciais.
Vamos começar:
Etapa 1: instale o MalCare em seu site. Ative o plug-in e acesse-o no painel do WordPress.
Etapa 2: digite seu endereço de e-mail e selecione Site seguro agora.
Etapa 3: o MalCare o redirecionará para seu painel independente, onde executará automaticamente uma verificação em seu site.
Passo 4: As tentativas limitadas de login são ativadas automaticamente em seu site. Agora, você deve estar se perguntando como uso o limite de tentativas de login do WordPress?
Se você tentar fazer login com as credenciais erradas, será impedido de tentar novamente.
Ao selecionar Clique aqui, você verá um CAPTCHA como este:
Ao resolver o CAPTCHA, você pode entrar no seu site novamente. Caso você não consiga se lembrar de suas credenciais, você pode usar o Perdeu sua senha? opção.
É isso. Você limitou com sucesso as tentativas de login em seu site. Além disso, o MalCare também constrói um firewall robusto para impedir que bots ruins ou tráfego malicioso acessem seu site. Ele fornece um relatório de todas as tentativas de login. Você pode acessá-lo no painel:
Você pode ver tentativas com falha e tentativas de login bem-sucedidas. Você também pode ver aqueles que o MalCare identificou como suspeitos e bloqueou automaticamente.
Agora, se um plug-in do WordPress não for o método para você, detalhamos como você pode implementar o limite de tentativas de login do WordPress sem um plug-in. Mas esse método é complexo e sujeito a erros, portanto, prossiga com cuidado.
2. Limite manualmente as tentativas de login
Você pode adicionar proteção de login limitada ao seu site inserindo manualmente um trecho de código em um arquivo WordPress em seu site. No entanto, devemos alertá-lo de que toda vez que você fizer uma alteração manual em um arquivo do WordPress, corre o risco de quebrar o arquivo . O menor dos erros leva a grandes problemas.
Se você deseja prosseguir com este método, recomendamos fazer um backup completo do seu site. Caso algo dê errado, você pode restaurar rapidamente sua cópia de backup e fazer com que seu site volte ao normal. Você pode fazer um backup facilmente instalando o plug-in de backup do BlogVault em seu site ou escolhendo um dos melhores plug-ins de backup.
Depois de ter uma cópia de backup no lugar, siga as etapas abaixo:
Etapa 1: faça login na sua conta de hospedagem e acesse seu cPanel. Aqui, selecione Gerenciador de arquivos.
Passo 2: Abra a pasta public_html (ou a pasta onde seu site está). Vá para wp-content > Temas.
Etapa 3: selecione a pasta do tema ativo. Dentro, localize o arquivo functions.php . Para ilustrar, o nome do nosso tema ativo é Personal Blogily, então selecionamos esta pasta.
Passo 4: Clique com o botão direito do mouse e selecione Editar. O arquivo será aberto e você poderá fazer alterações aqui. Insira o seguinte código no arquivo:
função check_attempted_login($usuário, $nome de usuário, $senha) {
if (get_transient('attempted_login')) {
$datas = get_transient( 'attempted_login' );
if ( $datas['tentei'] >= 3 ) {
$until = get_option( '_transient_timeout_' . 'attempted_login' );
$time = time_to_go($até);
return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERRO</strong>: Você atingiu o limite de autenticação, poderá tentar novamente em %1$s.' ) , $time ) );
}
}
retornar $usuário;
}
add_filter( 'autenticar', 'check_attempted_login', 30, 3 );
function login_failed($username) {
if (get_transient('attempted_login')) {
$datas = get_transient( 'attempted_login' );
$datas['tentei']++;
if ($data['tentei'] <= 3)
set_transient('attempted_login', $datas, 300);
} outro {
$dados = array(
'tentei' => 1
);
set_transient('attempted_login', $datas, 300);
}
}
add_action( 'wp_login_failed', 'login_failed', 10, 1 );
função time_to_go($timestamp)
{
// convertendo o carimbo de data/hora do mysql para hora do php
$períodos = array(
"segundo",
"minuto",
"hora",
"dia",
"semana",
"mês",
"ano"
);
$comprimentos = array(
“60”,
“60”,
“24”,
“7”,
“4,35”,
“12”
);
$current_timestamp = hora();
$diferença = abs($current_timestamp – $timestamp);
for ($i = 0; $diferença >= $comprimentos[$i] && $i < contagem($comprimentos) – 1; $i ++) {
$diferença /= $comprimentos[$i];
}
$diferença = round($diferença);
if (isset($diferença)) {
if ($diferença != 1)
$períodos[$i] .= “s”; $saída = “$diferença $períodos[$i]”;
Este código limitará as tentativas de login a três vezes.
Passo 5: Salve o arquivo e saia.
Depois que esse código é incorporado ao seu site, os usuários têm três tentativas para inserir as credenciais de login corretas. Se não o fizerem, serão impedidos de acessar sua conta por um período temporário.
A única razão pela qual você deve optar por esse método é se deseja minimizar o uso de plug-ins em seu site e ativar o recurso por conta própria. Fora isso, é muito mais seguro e fácil usar um plugin para realizar essa tarefa para você.
É isso! Você limitou com sucesso as tentativas de login em seu site e, assim, impediu que hackers e bots acessassem seu site!
Leia também: Como corrigir problemas de login não seguro do WordPress
Você deve limitar as tentativas de login em seu site WordPress?
Sempre há vantagens e desvantagens em qualquer coisa que você implemente em seu site WordPress. Portanto, antes de prosseguir com a ativação de Limitar tentativas de login em seu site, mostraremos as vantagens e desvantagens. Isso ajudará você a determinar se esse recurso é adequado para o seu site.
Prós de limitar as tentativas de login
- Impedir acesso não autorizado
Ao limitar as tentativas de login em seu site, você pode impedir que hackers e bots mal-intencionados forcem brutalmente sua página de login e obtenham acesso.
Um bloqueio temporário é suficiente para desencorajar um bot e fazê-lo sair do seu site.
- Evite picos de tráfego e falhas no servidor
Como mencionamos, em um ataque de força bruta, os bots tentam milhares de combinações de nomes de usuário e senhas. A cada tentativa, o bot envia uma solicitação ao seu servidor da web.
Seu servidor web fornece recursos para executar tarefas e funções em seu site, incluindo solicitações de login. Se um bot bombardear seu site com milhares de solicitações em um minuto, ele pode sobrecarregar seu servidor e causar falhas.
Seu site ficará temporariamente indisponível para os visitantes.
- Impedir a suspensão do host da Web
Seu servidor web tem recursos limitados para executar seu site. Se você exceder seus recursos, seu servidor ficará sobrecarregado.
Se você estiver usando um plano de hospedagem compartilhada, isso pode afetar outros sites que estão no mesmo servidor.
Quando os bots estão fazendo centenas de tentativas de login, seu site está usando recursos excessivos do servidor. Isso solicita que seu provedor de hospedagem suspenda temporariamente… o site para evitar qualquer impacto em outros sites no servidor. Eles também fazem isso para proteger seus próprios interesses.
Contras de limitar as tentativas de login
- Conta bloqueada – Se você acidentalmente esquecer seu nome de usuário e senha, sua conta poderá ser bloqueada. Você precisaria seguir um processo de verificação para recuperar sua senha, o que pode levar algum tempo.
Esse é o único golpe em que podemos pensar. Não há outro motivo para você não implementar a proteção de login em seu site. Se você está procurando uma alternativa de limite de tentativas de login do WordPress, pode tentar a autenticação de 2 fatores. Isso também protegerá sua página de login do WordPress. MalCare lançou uma versão beta da autenticação de 2 fatores ou você pode usar o Google Authenticator para isso.
Dito isso, as tentativas limitadas de login do WordPress são fáceis de implementar e protegem seu site contra hackers. Podemos ver que os prós superam os contras quando se trata de limitar as tentativas de login e proteger seu site.
Pensamentos finais
O WordPress é o CMS (Content Management System) mais popular do mundo. Mas essa popularidade chama a atenção dos hackers.
Os sites WordPress são constantemente alvo de hackers. Portanto, é ainda mais importante que você tome amplas medidas de segurança em seu site. Dado que a página de login do WordPress é a página mais atacada, limitar as tentativas de login é um bom ponto de partida.
Se você deseja proteger ainda mais sua página de login do WordPress, pode achar estes recursos úteis:
Segurança de login do WordPress
Página de login protegida por senha com autenticação HTTP
Proteja seu site WordPress contra ataques de força bruta
Autenticação de dois fatores
Se você está procurando uma solução de segurança completa, mas robusta, recomendamos o uso do plug-in MalCare. Ele verifica seu site regularmente, configura um firewall forte, limita as tentativas de login e alerta você se houver algo suspeito. Ele protege seu site 24 horas por dia.
Proteja seu site WordPress contra hackers com MalCare!