Segurança de login do WordPress: 5 etapas fáceis para proteger sua página de login

Publicados: 2021-10-20

Quer saber se você deve se preocupar com a segurança de login do WordPress?

O WordPress é o CMS mais popular do mundo porque é muito fácil construir um site com ele. Embora seja um CMS gratuito, há um preço a ser pago. O WordPress é extremamente previsível, o que às vezes o torna um alvo fácil.

Tomemos, por exemplo, a página de login.

Todo site WordPress tem a mesma página de login (/wp-admin.com ou /wp-login.php). Combine a previsibilidade com a propensão humana para usar credenciais fracas, e a página se torna um alvo atraente para hackers.

Especialistas em segurança dizem que a página de login é a página mais vulnerável de um site. Todos os dias, os hackers implantam bots para realizar ataques de força bruta nessa página. Ao descobrir suas credenciais de login, eles podem facilmente obter acesso ao seu CMS. Então, você deve fazer tudo ao seu alcance para protegê-lo contra esses convidados indesejados.

Neste artigo, mostraremos cinco métodos avançados para melhorar a segurança de login do WordPress e evitar ser hackeado.

Como proteger uma página de login do WordPress em 2022

Há muitos conselhos ruins no domínio da segurança cibernética. A maior parte é destinada a levar as pessoas ao medo e fazê-las ceder a escolhas compulsivas. Em vez de aumentar o ruído, neste artigo, mostraremos métodos que realmente funcionam. Esses são:

  • Alterar URL da página de login
  • Implemente a autenticação de dois fatores
  • Limitar tentativas de login com falha
  • Impedir a descoberta do nome de usuário
  • Usar logout automático
Quer #proteger sua página de #login do #WordPress? Aqui está o que você precisa fazer
Clique para Tweetar

Você deve ter notado que não incluímos a aplicação de senhas fortes e a instalação de certificados SSL. Isso é porque é um dado. Esperamos que você já os esteja usando. Veja nossos outros guias sobre como fazer isso.

Nota: Para realizar as medidas que mencionamos abaixo, você precisará instalar um plugin ou dois. E sabemos que até os melhores plugins podem causar problemas. Portanto, faça um backup do seu site antes de prosseguir.

Agora, vamos começar:

1. Altere o URL da página de login

Como dissemos no início do artigo, a página de login padrão do WordPress se parece com isso:

  • www.website.com/wp-admin/
  • www.website.com/wp-login.php/

Todo mundo sabe disso, incluindo hackers que projetam bots que visam páginas de login do WordPress. E como 59% dos americanos [1] usam senhas fracas, é muito fácil invadir um site forçando a página de login com força bruta .

Uma maneira de proteger sua página de login é alterando a URL.

Criar um novo URL de página de login personalizado é fácil. Há vários plugins disponíveis que permitem que você faça isso em alguns cliques.

Usaremos o plugin WPS Hide Login para demonstrar o processo, mas se você preferir qualquer um dos outros plugins, vá em frente. Os passos serão igualmente fáceis e rápidos.

Como alterar seu URL de login do WordPress

Instale e ative o WPS Hide Login. Vá para Configuração → WPS Ocultar login .

Role para baixo na parte inferior da página, insira o novo URL na seção URL de login e clique em Salvar alterações .

wps ocultar configurações de login - WordPress Login Security

Tente fazer login com a nova URL. Não se esqueça de compartilhá-lo com seus companheiros de equipe.

Se você precisar de ajuda, aqui está nosso guia dedicado: como alterar o URL da sua página de login do WordPress.

2. Implemente a autenticação de dois fatores

Você deve ter se deparado com a autenticação de dois fatores ao usar o Facebook e o Gmail. Os serviços normalmente enviam um código exclusivo para o seu número de celular registrado sempre que você tenta fazer login na sua conta. Essa medida de segurança é implementada para garantir que apenas o proprietário da conta possa acessá-la. Mesmo que os hackers possam colocar as mãos em suas credenciais, não há como roubar o código exclusivo enviado para o seu número de celular registrado.

A autenticação de dois fatores também pode ser aplicada ao seu site WordPress. Isso adicionará uma camada de segurança à página de login. Tudo que você precisa fazer é instalar qualquer um dos seguintes plugins:

  • Google Authenticator da miniOrange
  • Google Authenticator – Autenticação de dois fatores (2FA)
  • WP 2FA por WP White Security

Configurar um plugin de autenticação de dois fatores é muito fácil. Usaremos o Google Authenticator da miniOrange para mostrar o processo de configuração.

Como implementar a autenticação de dois fatores

Instale o Google Authenticator do miniOrange na sua página de login do WordPress. Assim que você ativar o plugin, um widget de configuração aparecerá. Escolha a primeira opção, ou seja, Google Authenticator .

configuração de mini laranja

Em seguida, baixe o aplicativo Google Authenticator em seu smartphone. Abra o aplicativo e escaneie o código QR .

2fa google autenticador

O aplicativo gera um código . Digite-o no widget de configuração e clique em Salvar .

A segurança de login do WordPress 2FA agora está ativa na sua página de login.

Autenticação de 2 fatores de segurança de login do WordPress

3. Limite as tentativas de login com falha

O WordPress permite a seus usuários tentativas de login ilimitadas. Isso pode parecer inofensivo, mas para ser honesto, é uma brecha de segurança gritante.

Tentativas de login ilimitadas permitem que hackers realizem ataques de força bruta. Nesse tipo de ataque, os hackers implantam bots para encontrar a combinação certa de nome de usuário e senha. Os bots falham várias vezes antes de obter as credenciais corretas. Uma das maneiras mais eficazes de combater ataques de bots é limitar as tentativas de login.

Os plugins abaixo irão ajudá-lo a fazer exatamente isso:

  • Limitar tentativas de login recarregadas
  • Limite de login WPS
  • Tentativas de login do WP Limit por Arshid

Como limitar tentativas de login com falha

Instale o plug-in e vá para Limitar tentativas de login → Configurações → Aplicativo local . Aqui você pode definir quantas vezes as tentativas de login devem ser permitidas em seu site. E por quanto tempo alguém permanecerá bloqueado após esse número de tentativas de login.

limite de tentativas de login plugin - WordPress Login Security

4. Impedir a descoberta do nome de usuário

Normalmente, o nome de usuário é considerado menos importante que a senha. É um registro publicamente disponível, e é por isso que assumimos que deve ser de baixo valor. Não é verdade.

O nome de usuário faz metade de suas credenciais. Deve ser protegido, assim como a senha.

Em um site WordPress, você encontrará nomes de usuários exibidos em postagens e arquivos de autores. Felizmente, existe uma maneira de desabilitar os dois.

Como desativar arquivos de autor

Isso pode ser feito com a ajuda de qualquer plugin de SEO. No tutorial abaixo, estamos usando o Yoast SEO para mostrá-lo.

Vá para SEO → Search Appearance → Archives e, em seguida, desative o Author Archives. Clique em Salvar alterações .

arquivo do autor yoast

Como alterar o nome de exibição

O nome de exibição aparece em artigos e comentários publicados. Por padrão, o nome de exibição e o nome de usuário (o que você usa para fazer login) são os mesmos. Para evitar a descoberta do nome de usuário, você pode alterar o nome de exibição para outra coisa.

nome de usuário e nome de exibição

Vá para Usuários → Perfil → Apelido . Você não pode alterar diretamente o nome de exibição. Em vez disso, altere o apelido. Em seguida, selecione o novo apelido no menu suspenso abaixo.

lista suspensa do nome de exibição

5. Logout automático

Logouts automáticos protegem sites de bisbilhoteiros. Quando os usuários deixam as sessões sem supervisão, os logouts automáticos encerram a sessão, protegendo o site.

O comportamento padrão do WordPress é desconectar o usuário 48 horas após o cookie da sessão de login expirar. E se o usuário marcou a caixa “Lembrar-me”, você permanecerá logado por 14 dias. Para encerrar sessões devido a um pouco de tempo ocioso, você precisa instalar um plugin separado.

Os plug-ins abaixo ajudam você a fazer logout automático para encerrar sessões de usuários inativos:

  • Logout inativo
  • Segurança iThemes

Como habilitar o logout automático

Ative o plugin e vá para Configurações → Logout inativo → Gerenciamento básico . Defina o relógio para um tempo limite ocioso. Também há opções para tempos limite baseados em função. Confira se quiser.

configurações de logout de usuário inativo
Ir para o topo

Conclusão sobre a segurança de login do WordPress

Tudo pronto? Excelente! Antes de sair desta página, um último conselho: melhorar a segurança de login do WordPress leva você um passo mais perto de proteger todo o seu site, que é o objetivo final!

Quer #proteger sua página de #login do #WordPress? Aqui está o que você precisa fazer
Clique para Tweetar

Mesmo que você tenha implementado medidas para impedir que hackers forcem seu site com força bruta, os invasores ainda podem obter acesso por meio de temas e plugins vulneráveis. Portanto, mantenha seu site atualizado 24 horas por dia.

Para proteger ainda mais o seu site, é altamente recomendável que você tome todas as medidas de segurança abordadas neste guia: 10 principais dicas de segurança do WordPress.

Se você tiver alguma dúvida sobre como lidar com a segurança de login do WordPress, informe-nos nos comentários abaixo.

Guia gratuito

5 dicas essenciais para acelerar
Seu site WordPress

Reduza seu tempo de carregamento em até 50-80%
apenas seguindo dicas simples.

Baixe o guia gratuito
Referências
[1] https://www.comparitech.com/blog/information-security/password-statistics/