Segurança de login do WordPress: proteja facilmente sua página de login - MalCare

Publicados: 2023-04-19

Você sabia que existem mais de 90.000 ataques de hackers em sites WordPress por minuto? Essa é uma estatística extremamente alta e que simplesmente não podemos ignorar.

Para invadir sites WordPress, os hackers visam mais a página de login. Isso ocorre porque, ao acessar seu site por meio desta página, um hacker pode obter o controle total de seu site.

O estrago que se segue terá um impacto severo em seu site. Os hackers podem vender produtos ilegais em seu nome ou enviar seus visitantes para sites maliciosos. Eles também podem induzir os visitantes a comprar produtos duplicados ou baixar malware. Isso pode causar sérios danos ao seu negócio e à sua reputação.

Felizmente, você pode impedir que hackers abusem do seu site protegendo a página mais visada – a página de login. Na MalCare, lidamos com esses hacks diariamente e queremos resolver o problema para todos os usuários do WordPress. Aqui, mostraremos as melhores medidas de segurança que você pode tomar para proteger sua página de login contra hackers. Além disso, você pode verificar nosso guia sobre como proteger seu site contra hackers.

TL;DR: Se você precisa de uma solução de segurança WordPress que seja fácil de implementar e proteja automaticamente sua página de login, instale nosso MalCare Security Plugin. Ele permitirá limitar as tentativas de login instantaneamente e também oferecerá opções para proteger seu site WordPress.

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

5 etapas para proteger sua página de login do WordPress

Existem várias medidas que você pode tomar para proteger sua página de login do WordPress. No entanto, nem todos os passos que você dá são eficazes. Às vezes, você está apenas adicionando ruído enquanto sua página de login permanece vulnerável.

Neste artigo, vamos nos concentrar em 5 passos importantes que você pode tomar que provaram ser eficazes e definitivamente manterão seu site seguro.

Assumimos que você já possui o SSL instalado em seu site. Se você não tiver proteção SSL, precisará adicioná-la imediatamente de seu provedor de hospedagem ou de um provedor SSL. Todo site deve ter o SSL instalado como a primeira medida básica de segurança do site. Ele criptografa os dados transferidos entre seu site e o servidor. Isso significa que os hackers não podem roubar seus dados quando estão passando entre seu site e o servidor de hospedagem. Portanto, os hackers que tentarem roubar as credenciais do usuário da página de login serão impedidos de fazê-lo.

1. Usando nomes de usuário e senhas fortes para proteger uma página de login

Ao criar contas de usuário em sites WordPress, as pessoas tendem a usar algo fácil de lembrar ou que usaram para todas as outras contas. O problema com isso é que torna o trabalho de um hacker muito mais fácil.

Em primeiro lugar, os hackers usam uma técnica chamada força bruta, na qual tentam diferentes nomes de usuário e senhas para tentar adivinhar o caminho para sua conta. Eles fazem isso usando bots e algoritmos automatizados que são capazes de fazer milhares de tentativas em poucos segundos. Se você estiver usando senhas simples como "senha123", um bot poderá adivinhar nas primeiras tentativas.

Em segundo lugar, se você estiver usando as mesmas credenciais para todas as suas contas, isso significa problemas. Houve tantas violações de dados das principais empresas e, somente em 2019, 4,1 bilhões de registros foram expostos. Se seu nome de usuário e senha foram roubados em um site de compras, os hackers podem usá-lo para tentar invadir outras contas suas, como seu e-mail, internet banking ou seu site WordPress.

Suas credenciais de login de administrador são como as chaves de sua casa ou escritório. É por isso que a primeira etapa na segurança do login é usar nomes de usuário e senhas sólidos como rocha.

  • Recomendamos que você nunca use o nome de usuário padrão 'admin'. Se o nome do seu site for thefirstexample.com , não torne seu nome de usuário de administrador 'thefirstexample'. Esses são os primeiros nomes de usuário que os hackers tentarão na tela de login. Em vez disso, use aqueles incomuns e únicos que são difíceis de adivinhar.
  • Chegando às senhas, você precisa usar uma que seja difícil para qualquer pessoa adivinhar. Recomendamos o uso de uma senha em combinação com símbolos e numerais. Isso torna sua senha muito forte.

Ao criar sua senha, o WordPress indicará quão fraca ou forte é sua senha. Para dar um exemplo, criamos o seguinte em nossa conta de administrador do WordPress:

wordpress senha fraca

O WordPress indicou que a senha é muito fraca. Então, melhoramos nosso jogo com isso:

senha forte wordpress

Por fim, como seu site WordPress é um ativo valioso, achamos que ele merece uma senha exclusiva. Crie um que você não use em nenhum outro site.

Agora você sabe que suas credenciais de login estão seguras. Se você tiver vários usuários em seu site WordPress, é importante que todos eles sigam essas recomendações porque é uma etapa muito importante para proteger sua página de login do WordPress.

2. Limite o número de tentativas de login para melhor segurança

Por padrão, o WordPress permite um número ilimitado de tentativas de login. Os hackers aproveitam esse recurso por meio de ataques de força bruta. Você pode obter proteção contra força bruta simplesmente limitando o número de tentativas de login malsucedidas concedidas a um usuário.

Você pode ter visto este prompt quando inseriu uma senha errada em um site, especialmente um banco on-line:

tentativas de login falhadas

Isso ocorre porque o site implementou tentativas de login limitadas. Um usuário tem três chances de inserir as credenciais corretas para entrar em sua conta. Após três tentativas erradas, eles seriam bloqueados em sua conta e teriam que usar a opção 'Esqueci a senha'.

Você pode implementar esse recurso de duas maneiras:

  • Usando um plug-in – Recomendamos o plug-in de segurança MalCare. Uma vez instalado, a proteção limitada de login do WordPress é implementada automaticamente. O plug-in também oferece proteção baseada em Captcha que impedirá que bots ruins acessem seu site.
  • Manualmente – Para limitar manualmente o número de tentativas de login, você precisa acessar seu arquivo functions.php. Você precisa adicionar uma ação do WordPress e um filtro de gancho com uma função de retorno de chamada correspondente. Este método é técnico e arriscado. Se você não é experiente em codificação, é melhor não tentar fazer isso.

Com essas duas medidas em vigor, seu site WordPress tem as medidas básicas de segurança para sua página de login atendidas. Agora, podemos passar para medidas mais avançadas.

[ss_click_to_tweet tweet=”O WordPress permite um número ilimitado de tentativas de login por padrão. Use o MalCare para implementar tentativas de login limitadas automaticamente.” content=”O WordPress permite um número ilimitado de tentativas de login por padrão. Use o MalCare para implementar tentativas de login limitadas automaticamente.” estilo=”padrão”]

3. Usando autenticação de 2 fatores para maior segurança de login

Você deve ter notado que, ao tentar fazer login na sua conta do Gmail, você deve seguir duas etapas.

A primeira etapa envolve inserir suas credenciais. Na etapa dois, o Gmail envia um código de verificação para seu número de telefone ou endereço de e-mail registrado. Depois disso, você precisará inserir esse número em sua conta do Gmail para acessar seus e-mails. Esta é a verificação em duas etapas ou a autenticação de dois fatores.

verificação de dois fatores para segurança de login

Para garantir que o usuário que acessa a conta seja autêntico, o processo usa credenciais regulares mais uma senha de uso único (OTP) gerada em tempo real.

Portanto, mesmo que um hacker adivinhe suas credenciais, ele ainda precisará inserir o código único enviado a você e você poderá proteger sua página de login do WordPress facilmente.

Você pode implementar a autenticação de 2 fatores usando um plug-in. Dois plugins que recomendamos são Google Authenticator 2FA e Two Factor Authentication.

Observação: se você estiver usando o plug-in MalCare, a autenticação de 2 fatores estará disponível em breve.

4. Bloqueio geográfico – Impeça que um hacker alcance seu site WordPress

Quando você configura um site WordPress, recebe automaticamente o tráfego de todo o mundo, a menos que o configure para uma região específica.

Para ver a origem do seu tráfego, você precisa se inscrever no Google Analytics. No painel, você verá a opção 'Onde estão seus usuários?' Ao clicar em 'Visão geral do local', você pode ver exatamente de onde vêm seus visitantes.

tráfego primário do blog

Como alternativa, um plug-in como o MalCare também mostra a origem do seu tráfego.

Muitas vezes, encontramos proprietários de sites que descobriram que estavam recebendo tráfego indesejado de determinados países.

Para mostrar o que queremos dizer, vamos dar um exemplo. Digamos que você tenha um site que atende apenas ao Reino Unido – example.co.uk. Mas quando você verifica o Analytics, vê que grande parte do tráfego do seu site vem de outros países, como Rússia, Cingapura e Estados Unidos. Você deve considerar isso uma bandeira vermelha.

Isso é apenas indicativo de hackers, você pode usar o plug-in MalCare para ver se o tráfego é realmente malicioso ou não.

Depois de instalar o plug-in MalCare, acesse o painel. Em 'Segurança', você verá o número de tentativas de login feitas em seu site e quantas o plug-in bloqueou.

Solicitações de login do MalCare

Ao clicar em 'mostrar mais', os logs de auditoria mostrarão exatamente de onde o tráfego está se originando e qual nome de usuário foi tentado.

malcare limitando as tentativas de login para melhor segurança do WordPress

Se você acha que esse tráfego é um risco indesejado, basta bloquear países inteiros. Para fazer isso, o MalCare tem uma opção chamada 'geoblocking' que adicionará uma camada de segurança bloqueando qualquer endereço IP do país que você selecionar. Veja como:

  • No painel, selecione seu site e clique em 'Geoblocking'.
bloqueio geográfico malcare
  • Em seguida, no menu suspenso, selecione os países que deseja bloquear. Depois de clicar em 'Bloquear país', ele exibirá um prompt 'IPs de países selecionados foram bloqueados com sucesso.
bloqueio geográfico malcare

O bloqueio geográfico ou bloqueio de país ajuda a reduzir o risco de ser invadido. Não é aconselhável bloquear países inteiros, pois parte do tráfego pode ser legítimo. No entanto, se você tem 100% de certeza de que não precisa de nenhum tráfego vindo desse país, é melhor apenas bloqueá-lo para proteger sua página de login do WordPress, não permitindo que um hacker a acesse.

Leia também: Como corrigir problemas de login não seguro do WordPress

5. Logout Automático

Não é incomum ter o hábito de entrar em uma conta e deixá-la aberta. Você pode acabar fechando o navegador sem sair das contas. Se você deixar seu sistema desacompanhado, um hacker pode reabrir seu navegador e entrar automaticamente em suas contas.

Tais hábitos aumentam o risco de ataques. Para mitigar esses riscos, muitos sites implementam 'logout automático'. Esta é uma prática comum com serviços bancários online. Se você ficar inativo por um período de tempo, o site o desconectará automaticamente. Você pode ver um prompt como o abaixo:

erro causando logout

Esta é uma medida essencial que você pode implementar em seu site WordPress. Ele garante que não há chance de alguém explorar uma conta que está conectada enquanto o usuário está longe do sistema.

Essa medida é especialmente recomendada para pessoas que trabalham remotamente ou em seus próprios dispositivos pessoais. Como proprietário de um site, você nunca pode garantir que eles se lembrarão de sair quando estiverem inativos. Se eles estiverem usando um computador público ou wi-fi público não seguro, isso colocará seu site em maior risco.

Ao contrário dos serviços bancários eletrônicos, o WordPress não faz o logoff automático dos usuários quando eles estão inativos. Mas você pode implementar essa medida de segurança usando plugins como o Bulletproof Security.

O plug-in possui um recurso de segurança chamado 'Logout de sessão ociosa' que você pode ativar. Você pode selecionar o período de inatividade após o qual um usuário será desconectado automaticamente.

logout automático

Essa medida evitará que seu site caia em mãos erradas.

[ss_click_to_tweet tweet=”Protegi minha página de login do WordPress facilmente com este guia de segurança da MalCare.” content=”Protegi minha página de login do WordPress facilmente com este guia de segurança da MalCare.” estilo=”padrão”]

Em conclusão: não é apenas sua página de login

Proteger a segurança da sua página de login do WordPress leva você um passo mais perto de um site WordPress seguro. Os hackers gostam de atacar sites fáceis de hackear. Portanto, ao proteger seu site com medidas básicas, os hackers provavelmente farão algumas tentativas e depois passarão para um alvo mais fácil.

Mas isso não garante que os hackers não possam invadir seu site. Os hackers identificam e exploram qualquer vulnerabilidade que encontram em seu site. Pode ser um novo plug-in que você instalou com uma falha de segurança. Pode ser um tema que você instalou há muito tempo e esqueceu de atualizar desenvolveu uma vulnerabilidade ao longo do tempo. Existem muitas dessas oportunidades que os hackers aproveitam.

O que você realmente precisa é de um plano de proteção abrangente. Recomendamos enfaticamente tomar mais algumas medidas de segurança, como bloqueio de IP, proteger o site com wp-config.php, seguir este guia completo sobre segurança do WordPress e usar um dos melhores plugins de segurança do WordPress – MalCare, que protegerá seu site 24 horas por dia. Ele fornece acesso a relatórios de verificação regulares e você também pode implementar medidas recomendadas de proteção do WordPress. Dessa forma, seu site WordPress será extremamente difícil de invadir!


 Mantenha seu site protegido com nosso plug-in MalCare Security !