Pesquisar
Close this search box.

20 de setembro de 2019

Como proteger seu site WordPress contra ataque de força bruta

Envie para um amigo:

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Proteger site WordPress
Tempo de leitura: 8 minutos

Antes que seja tarde, que tal proteger seu site WordPress contra um ataque de força bruta? Por quê? Bem, há pelo menos três bons motivos para você se preocupar com isso e tomar suas providências.

Em primeiro lugar, ataques de força bruta são cada vez mais comuns na internet e, à sua maneira, são eficientes e muito danosos. Em segundo lugar, o WordPress tornou-se nos últimos anos uma plataforma / ferramenta muito utilizada na construção e manutenção de sites.

Estima-se que atualmente ele esteja por trás de mais de 30% dos sites de toda a web. Em outras palavras, de cada três sites, um foi construído no WordPress. E o que isso significa? Que há no mercado muitos sites com estruturas e padrões internos semelhantes e conhecidos, tornando-os bons alvos para criminosos cibernéticos.

O terceiro e mais inquietante motivo de preocupação é que, de fato, o WordPress dá abertura para ataques mal intencionados caso algumas medidas não sejam tomadas.

Neste artigo, veremos quais medidas podem contribuir para prevenir a ocorrência de ataques de força bruta contra sites WordPress.

Como funciona o ataque de força bruta

Como o próprio nome sugere, o ataque de força bruta é uma das formas mais primárias de tentar quebrar a segurança de um site ou de um sistema. Essencialmente, ele consiste em encontrar, por tentativa e erro, a senha correta de um determinado usuário.

Porém, esse tipo de ataque apresenta certo grau de refinamento e eficiência. As tentativas de encontrar a chave correta não são de todo aleatórias, com um direcionamento para listas restritas de possíveis e prováveis senhas.

Um fator que torna viável a realização de ataques de força bruta é que muitos desenvolvedores não adotam um mecanismo básico para limitar o número de tentativas de acesso por parte do usuário. Assim, os criminosos cibernéticos podem testar senhas indefinidamente, até encontrar a correta.




Com o auxílio de programas especialmente desenvolvidos para esse fim, poucos minutos podem ser suficientes para testar milhares de combinações.

A vulnerabilidade do site WordPress

O WordPress é conhecido pela extrema agilidade que proporciona na construção e manutenção de sites. Mas ele pode ser considerado seguro? A saber, ataques de força bruta atingem sistemas e sites em geral, não sendo uma exclusividade de sites WordPress.

Mas é fato que algumas características típicas dos sites WordPress os tornam muito vulneráveis a esse tipo de ataque, exigindo cuidados adicionais. Um conhecido ponto de vulnerabilidade dos sites WordPress está no acesso à sua página de login.

Geralmente, a página de acesso é  definida como <endereço do site>/wp-admin, ou <endereço do site>/wp-login.php, sem mecanismos mais sofisticados de proteção, nem mesmo uma limitação para o número de tentativas de acesso por usuário. É justamente nesse ponto que agem os ataques de força bruta, realizando inúmeras tentativas de acesso e comprometendo a estabilidade da plataforma.

Uma vez que o criminoso encontre a senha correta, toda a administração do site estará em suas mãos.

Como proteger o site WordPress

Com ou sem a ajuda de plugins, medidas relativamente simples podem representar um importante reforço à segurança de seu site WordPress. Por exemplo:

  • Não utilizar o nome “Admin” como usuário administrador;
  • Usar senhas fortes;
  • Manualmente ou com a ajuda de um plugin, mover o login para uma página diferente do padrão /wp-admin ou /wp-login;
  • Utilizar plugins que estabeleçam uma limitação no número de tentativas de acesso;
  • Também com o auxílio de plugins, adotar a autenticação de dois fatores;
  • Excluir do site as partes que não estejam sendo realmente utilizadas, pois estas podem estar funcionando como portas de entrada para invasores;
  • Utilizar firewalls;
  • Manter versões atualizadas do WordPress;
  • Proteger arquivos importantes e bastante visados, como o wp-config.php, que contém todas as configurações da instalação WordPress e do acesso ao banco de dados;
  • Ocultar a versão do WordPress, de forma a dificultar que criminosos identifiquem determinadas características da construção do site.

Protegendo o diretório WP-Admin

Além da senha para o administrador, o WordPress também permite que se defina uma senha para proteger o seu diretório de administração. Para acionar essa proteção, é preciso seguir estes passos:

  • No painel de controle do WordPress, escolha a categoria “Arquivos”;
  • Em seguida, clique na opção “Privacidade do diretório”;
  • Selecione a pasta “wp-admin”;
  • Marque a opção “A senha protege este diretório”;
  • Informe o nome do diretório e clique em “Salvar”;
  • Crie a seguir um usuário e sua senha, clicando ao final em “Salvar”.

Assim, sempre que alguém tentar acessar a administração do WordPress, precisará informar esse usuário e essa senha.




Outra opção mais simples é você simplesmente renomear a pasta wp-admin. Como os atacantes não saberão o novo nome, não terão sucesso em suas tentativas.

Definindo proteções no arquivo “.htaccess”

O arquivo “.htaccess” geralmente fica oculto na raiz do servidor, mas pode ser criado caso não exista. Para editá-lo, pode-se usar o FTP ou o painel de controle do WordPress.

No arquivo “.htaccess” é possível definir parâmetros como:

  • O bloqueio a tentativas de acesso direto ao arquivo wp-config.php;
  • O bloqueio contra a tentativa de injeção de código SQL;
  • A definição dos IP’s autorizados a fazer login;
  • O bloqueio a endereços de IP específicos.

Sobre plugins de segurança para proteger seu site WordPress

Plugins de segurança são importantes complementos aos mecanismos de defesa de um site WordPress. Alguns dos principais plugins utilizados no mercado são o Sucuri, o iThemes, o WordFence, o WP fail2ban e o SecuPress. Algumas das principais funções que esses plugins desempenham são:

  • Forçar o uso de senhas fortes na criação de perfis de usuários;
  • Estabelecer períodos de vigência para as senhas, forçando uma redefinição periódica;
  • Registrar as ações dos usuários;
  • Analisar a presença de malwares;
  • Realizar a autenticação de dois fatores;
  • Forçar o uso de reCAPTCHAs;
  • Utilizar os filtros de firewalls;
  • Trabalhar com lista de permissões de IP;
  • Trabalhar com lista negra de IPs;
  • Gerar logs de alteração de arquivos;
  • Monitorar alterações de DNS;
  • Bloquear redes maliciosas;
  • Acionar protocolos WHOIS para visitantes.

Conclusão

Conforme vimos, para proteger seu site WordPress contra ataques de força bruta, algumas medidas adicionais precisam ser tomadas. Simplesmente deixar essa ótima plataforma/ferramenta em suas “configurações naturais” é pedir para ser alvo de ataques.

E nunca é demais lembrar que, além do ataque de força bruta, outras modalidades de crimes cibernéticos podem ser praticadas contra os sites. Assim, para uma proteção completa de seu site WordPress, é importante também ficar atento a vulnerabilidades relacionadas a backdoors, pharma hacks, redirecionamentos maliciosos, cross-site scripting e negação de serviços, entre outros. Nada que a adoção de boas práticas em segurança não possa resolver.

E por fim, se você gostou do artigo confira também: como evitar ataque DDoS e o que é Cibersegurança.

 
  

Gostaria de ficar informado sobre Cloud e Gestão de TI?

Assine nossa Newsletter para receber nossas atualizações!

 
Nós utilizamos cookies para uma melhor experiência de navegação. Leia nossa Política de privacidade para mais detalhes.