Um guia completo para WordPress Brute Force Protection (+4 melhores plugins)
Publicados: 2022-08-09Ataques de força bruta acontecem quando hackers tentam acessar os arquivos do seu site tentando constantemente novas senhas. Se forem bem-sucedidos, poderão roubar seus dados privados, adicionar malware ou até mesmo derrubar seu site completamente.
Felizmente, você pode facilmente evitar esses ataques de força bruta. Simplesmente atualizando suas informações de login ou habilitando a autenticação de dois fatores, você pode dificultar a entrada de hackers em seu site. Outro método eficaz é instalar um plugin de proteção de força bruta como o Jetpack.
Neste post, explicaremos o que são ataques de força bruta e como você pode evitá-los. Em seguida, recomendamos os melhores plugins para proteção de força bruta.
Uma introdução aos ataques de força bruta
Ataques de força bruta acontecem quando hackers usam tentativa e erro para acessar seu site. Isso geralmente envolve adivinhar suas informações de login usando um software automatizado. Essencialmente, os hackers tentarão muitas senhas e combinações de nome de usuário diferentes até encontrarem a sua.
Outras formas de hacking geralmente exploram vulnerabilidades em seu site WordPress. Por exemplo, os hackers podem acessar seus dados por meio de softwares, plugins ou temas desatualizados. Mesmo uma versão antiga do PHP pode deixar seu site vulnerável.
Por outro lado, os ataques de força bruta dependem de credenciais de login fracas. Se você tiver uma senha adivinhada como “123456”, os hackers podem usar um software automatizado para entrar no seu site.
Ataques de força bruta são mais comuns do que você imagina. Na verdade, eles estão se tornando mais uma ameaça do que nunca. No final de 2021, a taxa de ataques de força bruta aumentou 160%.
Se o seu site sofrer um ataque de força bruta, os hackers podem:
- Roube seus dados privados
- Adicione malware ao seu site
- Diminua sua credibilidade e/ou rankings de busca
- Remova seu conteúdo completamente
Escusado será dizer que você vai querer proteger seu site contra esses perigos. Embora as configurações padrão do WordPress não ofereçam proteção extra contra ataques de força bruta, você pode tomar algumas medidas para evitar que eles aconteçam.
Como bloquear ataques de força bruta no WordPress
Agora que você sabe sobre ataques de força bruta, vamos discutir como proteger seu site WordPress deles.
Etapa 1: atualize seu nome de usuário
Como os ataques de força bruta envolvem adivinhar informações de login, você pode proteger seu site WordPress atualizando suas credenciais. Primeiro, você deve considerar a escolha de um nome de usuário exclusivo.
Nas versões mais antigas do WordPress, o nome de usuário padrão era “admin”. Agora, os novos titulares de contas podem escolher seus nomes de usuário quando fizerem login pela primeira vez. Mas talvez seja necessário atualizar seu nome de usuário se tiver uma conta mais antiga.
Para ver qual é o seu nome de usuário atual, abra o painel do WordPress. Em seguida, navegue até Usuários → Perfil . Você encontrará seu nome de usuário na seção Nome .
Se você já tiver um nome de usuário exclusivo, pule para as próximas etapas. Se você vir admin como seu nome de usuário, provavelmente desejará alterá-lo. Infelizmente, você não poderá editar seu perfil diretamente no painel.
Uma das maneiras mais simples de alterar seu nome de usuário do WordPress é criar um novo usuário. Em seguida, você pode atribuir a ele um nome de usuário exclusivo e conceder os mesmos privilégios administrativos. A única desvantagem desse método é que você terá que usar um novo endereço de e-mail.
Primeiro, vá para Usuários → Adicionar Novo . Nesta página, crie um novo nome de usuário e digite seu endereço de e-mail. Certifique-se de definir a função de usuário como Administrador .
Se você quiser usar o mesmo endereço de e-mail, basta adicionar um sinal de adição com letras adicionais após o nome de usuário. Por exemplo, se seu endereço de e-mail normal for “[email protected]”, você pode usar “[email protected]”. O WordPress considerará isso um novo endereço de e-mail, mas usará a mesma caixa de entrada.
Em seguida, você precisará sair do WordPress e usar o novo nome de usuário para fazer login novamente. Em seguida, vá para a página Todos os usuários e clique em excluir abaixo da função de usuário administrador .
Durante o processo de exclusão, você precisará mover seu conteúdo para o novo nome de usuário. Para fazer isso, selecione Atribuir todo o conteúdo a [novo nome de usuário] . Esta é uma etapa crítica – caso contrário, seu conteúdo será excluído.
Por fim, clique em Confirmar exclusão . Se você quiser começar a usar o mesmo endereço de e-mail atribuído ao nome de usuário do administrador , poderá atualizá-lo agora.
Se você quiser alterar seu nome de usuário existente, precisará fazer isso por meio do banco de dados do WordPress. Observe que fazer alterações no banco de dados pode ser perigoso, portanto, é melhor fazer isso se você já tiver experiência nessa área. Para alterar seu nome de usuário, siga os seguintes passos:
- Clique na ferramenta phpMyAdmin no cpanel do seu provedor de hospedagem. A localização exata pode variar de acordo com o seu host.
- Clique no banco de dados do seu site WordPress no painel esquerdo. Isso abrirá suas tabelas de banco de dados.
- Clique na tabela wp_users . O prefixo “wp_” é definido por padrão, mas seu host pode tê-lo alterado para outra coisa. Por exemplo, a tabela pode ser chamada de “janb_users”.
- Encontre o nome de usuário que deseja alterar no lado direito – neste caso, “Admin” – e clique em Editar.
- No campo user_login , digite o novo nome de usuário que deseja definir.
- Clique no botão Ir .
Agora, você pode fazer login com o novo nome de usuário!
Etapa 2: use uma senha forte
Outra maneira de proteger seu site contra ataques de força bruta é usar uma senha forte. Como os hackers usam botnets (redes de robôs) para adivinhar senhas aleatoriamente, pode ajudar ter uma com uma sequência única de números e letras.
Estas são as características de uma senha forte:
- Tem entre dez e 50 caracteres
- Ele usa letras maiúsculas e minúsculas
- Ele usa números e caracteres especiais
- É exclusivo das senhas usadas para outras contas ou sites
Para atualizar sua senha do WordPress, navegue até Usuários → Perfil . Em seguida, role para baixo até Gerenciamento de contas .
Em seguida, clique em Definir nova senha . Depois de fazer isso, o WordPress gerará automaticamente uma senha forte para você. Esta será uma credencial complexa que é difícil de adivinhar.
Você pode usar esta senha ou criar a sua própria. Conforme você digita, o WordPress indicará quão forte ou fraca é sua nova senha.
Para garantir que sua nova senha seja segura e aleatória, você pode usar um gerador de senhas. Essa ferramenta pode criar automaticamente uma senha com letras maiúsculas e minúsculas, além de números e símbolos.
Depois de colar sua nova senha na caixa de texto, role até a parte inferior da página. Clique em Atualizar perfil para salvar suas alterações. Para proteção máxima contra ataques de força bruta, considere alterar sua senha do WordPress a cada quatro meses.
Etapa 3: adicionar autenticação de dois fatores
Quando você faz login no seu site WordPress com apenas uma senha, isso é chamado de autenticação de etapa única. Você também pode implementar autenticação em duas etapas ou em dois fatores.
Com a autenticação em duas etapas, você fornecerá duas formas de verificação para fazer login no seu site. Você ainda digitará sua senha, mas também deverá confirmar sua identidade no telefone ou em outro dispositivo.
O Jetpack facilita a adição de autenticação segura ao seu site. Primeiro, instale e ative o Jetpack no WordPress. Em seguida, no painel do Jetpack, clique em Gerenciar configurações de segurança .
Role até a parte inferior da página e encontre a seção de login do WordPress.com . Aqui, ative Exigir contas para usar a autenticação em duas etapas do WordPress.com .
Em seguida, localize a página Autenticação em duas etapas na guia Segurança . Você pode optar por configurar sua autenticação de dois fatores com um aplicativo ou SMS.
Se você escolher a primeira opção, precisará baixar um aplicativo como o Google Authenticator (iPhone | Android). O WordPress fornecerá um código QR, que você pode digitalizar com o aplicativo e inserir o código gerado.
Ao clicar em Configurar usando SMS , você precisará inserir seu número de telefone. Depois de verificar o código enviado ao seu telefone, você pode começar a usar a autenticação de dois fatores.
Agora você pode verificar sua identidade toda vez que fizer login no WordPress! Essa configuração pode oferecer maior proteção contra ataques de força bruta.
Etapa 4: instale um plug-in de proteção contra ataques de força bruta
Depois de seguir algumas etapas básicas para proteger sua página de login, você também pode se beneficiar da instalação de um plug-in de proteção de força bruta. A ferramenta certa pode bloquear automaticamente ataques de força bruta antes que eles afetem seu site.
Como você está tentando escolher o melhor plugin para proteção de força bruta, você deve manter alguns fatores em mente. Para proteger seu site, você deve encontrar um plug-in que funcione nos bastidores para impedir e interromper ataques de força bruta.
Aqui estão alguns recursos básicos que você deve procurar em um plug-in de proteção de força bruta:
- Tentativas de login limitadas
- Autenticação de dois fatores
- Um firewall
- Lista de bloqueio de endereços IP
Além disso, muitos plugins de proteção de força bruta fornecem segurança geral para o seu site. Por exemplo, o Jetpack Security não apenas evita ataques de força bruta, mas também executa verificações de malware, cria backups automáticos e verifica spam.
O Jetpack também é um dos plugins de proteção de força bruta mais fáceis de configurar. Depois de instalar e ativar o Jetpack, você pode ativar a proteção contra força bruta no painel.
Com este clique, você pode habilitar o Jetpack para evitar ataques de força bruta!
Os quatro melhores plugins do WordPress para proteção contra ataques de força bruta
Instalar um plugin pode ser a maneira mais eficaz de prevenir ataques de força bruta. Ainda assim, você pode não saber qual é a opção certa para o seu site. Embora existam muitos plugins de proteção de força bruta, quatro se destacam como os melhores!
1. Mochila a jato
Ao baixar o Jetpack, você pode acessar a proteção contra ataques de força bruta e muitos outros recursos de segurança. O Jetpack também oferece ferramentas de desempenho e crescimento, para que você possa escolher um plano perfeito para suas necessidades.
Se a proteção contra ataques de força bruta é tudo o que você precisa, a boa notícia é que ela é totalmente gratuita!
Principais recursos da proteção contra ataques de força bruta do Jetpack :
- Ativação com um clique
- IPs permitidos
- A capacidade de ver o número de ataques bloqueados
- Autenticação de dois fatores
Prós :
- Se você for bloqueado acidentalmente na sua página de login devido às medidas de proteção do Jetpack, você pode enviar um link de login especial para o seu endereço de e-mail.
- O Jetpack compara cada novo endereço IP com seu banco de dados global de endereços maliciosos.
- Com o Jetpack, você também pode acessar medidas de segurança estendidas, como monitoramento de tempo de inatividade, backups de sites e verificações de malware.
Contras :
- O Jetpack exige que você se conecte a uma conta do WordPress.com.
- Se o seu servidor estiver mal configurado, ele pode não retornar um endereço IP, o que pode desabilitar o recurso de proteção de força bruta.
Facilidade de uso :
Com o Jetpack, você pode implementar a prevenção de ataques de força bruta em uma única etapa. Após a instalação, basta visitar o painel principal do Jetpack para ativar o recurso. Em seguida, você pode simplesmente permitir que o Jetpack faça o trabalho sem nenhuma manutenção.
Preço :
Qualquer usuário do WordPress pode começar a usar a proteção de força bruta gratuitamente com o Jetpack.
2. Sucuri
A Sucuri é uma ferramenta especializada em monitoramento, proteção e desempenho de sites. Ao implementar um Web Application Firewall (WAF), a Sucuri pode bloquear ataques de força bruta em seu site.
Características principais :
- Firewall de aplicativo da Web (WAF)
- Limita as tentativas de login
- Ferramentas automatizadas para bloquear bots
- Lista de permissões
- Autenticação de dois fatores, CAPTCHA e senhas
Prós :
- A Sucuri inclui bloqueio geográfico para que você possa bloquear todos os visitantes de intervalos de IP específicos. Esse recurso pode impedir ataques de força bruta de determinados países.
- O firewall da Sucuri higieniza o tráfego antes mesmo de chegar ao seu site WordPress.
Contras :
- A versão gratuita do Sucuri não oferece prevenção de força bruta. Para acessar um WAF, você precisará adquirir uma assinatura.
- Embora o Sucuri seja uma opção eficaz para prevenção de ataques de força bruta, é caro. Existem outros plugins gratuitos com recursos semelhantes.
Facilidade de uso :
Comparado a outros plugins, o Sucuri possui um processo de configuração mais complicado. Para começar a usar a Sucuri, você precisará adquirir um plano e configurar um firewall. Isso envolve integrar sua conta cPanel e alterar manualmente seus registros DNS.
Preço :
Com a Sucuri, a proteção de força bruta requer um plano premium. Esse recurso vem com todas as suas opções de assinatura, que começam em US$ 199,99 por ano.
3. Segurança do Wordfence
O Wordfence Security é um plugin que fornece um firewall e um scanner de segurança em um. Essa ferramenta oferece muitas formas de segurança de login, incluindo autenticação de dois fatores, endereços IP permitidos e chaves reCAPTCHA.
Características principais :
- Limita as tentativas de login
- Registra tentativas de login bem-sucedidas e com falha
- Lista de bloqueio de IP continuamente atualizada
- Ferramentas de bloqueio manual
- Autenticação de dois fatores e reCAPTCHA
Prós :
- Como ele vem com um firewall de aplicativo da Web, o Wordfence pode identificar e bloquear tráfego malicioso em seu site.
- Se alguma senha administrativa for comprometida, você poderá bloquear qualquer login desse usuário.
- O Wordfence realiza verificações de segurança agendadas a cada três dias quando você está usando a versão gratuita.
Contras :
- Para a versão gratuita do Wordfence, os dados gerados são atrasados em 30 dias. Para receber inteligência de ameaças em tempo real, você terá que atualizar para um plano pago.
- O plug-in gratuito também não permite agendar manualmente a verificação.
Facilidade de uso :
O Wordfence fornece um processo de configuração muito simples para usuários iniciantes. Depois de instalar e ativar o plug-in gratuito, ele solicitará que você insira um endereço de e-mail para o qual o Wordfence possa enviar alertas. Em seguida, você pode adicionar proteção de força bruta implementando um firewall e recursos de segurança de login.
Preço :
Mesmo a versão gratuita do Wordfence Security vem com proteção de força bruta integrada para sites ilimitados. Se você precisar de suporte avançado, poderá adquirir um plano premium. Estes começam em $ 99 por ano.
4. Segurança iThemes
O iThemes Security garante que você possa começar a proteger seu site contra ataques de força bruta em menos de dez minutos. Com este plugin, você pode personalizar rapidamente sua página de login com autenticação de dois fatores e requisitos de senha. Além disso, o iThemes adicionará automaticamente seu site à sua rede de proteção de força bruta.
Características principais :
- Máximo de tentativas de login para hosts e usuários
- Proteção de força bruta local e de rede
- Gráficos de ataques de força bruta recentes
- A capacidade de definir requisitos de senha para todos os usuários
- Autenticação de dois fatores
Prós :
- Um dos principais benefícios do iThemes Security é sua rede de proteção de força bruta. Ele registra atividades suspeitas em um milhão de sites diferentes, identificando IPs maliciosos.
- Você pode definir um número máximo de tentativas de login para seu site, o que pode impedir a adivinhação automática de login.
Contras :
- Se você quiser adicionar recursos extras de segurança à sua página de login, como um campo reCAPTCHA, precisará comprar o plugin premium.
- O plugin gratuito não inclui relatórios de segurança em tempo real.
Facilidade de uso :
Após a instalação, o plugin iThemes irá guiá-lo através de um processo de configuração passo a passo. Aqui, você pode ativar a proteção de força bruta local e de rede. Você também pode optar por adicionar autenticação de dois fatores para segurança extra.
Preço :
iThemes Security é um plugin WordPress gratuito. Se você quiser usar o painel de segurança em tempo real, poderá comprar a versão premium, a partir de US$ 80 por ano.
Comparação dos principais plugins que bloqueiam ataques de força bruta
| Mochila a jato | Sucuri | Segurança do Wordfence | Segurança iThemes | |
| Limitar tentativas de login | Sim | Sim | Sim | Sim |
| Autenticação de dois fatores | Sim | Sim | Sim | Sim |
| Relatórios em tempo real | Sim | Sim | Sim, com extensão premium | Sim, com extensão premium |
| Bloqueio de IP | Sim | Sim | Sim | Sim |
| reCAPTCHA | Sim | Sim | Sim | Sim, com extensão premium |
| Proteção de força bruta de rede | Sim | Não | Não | Sim |
| Fácil de usar | Ativação em uma etapa | Requer a alteração manual dos registros DNS | Guias simples para gerenciar seu firewall, varreduras e segurança de login | Assistente de configuração para configurar a segurança de login e grupos de usuários |
| Preço | Livre | $ 199,99 - $ 499,99 por ano | Gratuito - $ 950 por ano | Gratuito - $ 199 por ano |
Perguntas frequentes (FAQ)
Agora que você sabe tudo sobre ataques de força bruta e como evitá-los, vamos responder algumas perguntas!
Quanto custa a proteção de força bruta no WordPress?
A proteção de força bruta pode ser gratuita se você baixar um plug-in de proteção de força bruta como o Jetpack. Outros provedores como a Sucuri exigem uma assinatura paga.
Como posso configurar a proteção contra ataques de força bruta no WordPress?
A configuração da proteção de força bruta varia de acordo com o provedor que você escolher. Algumas opções exigem que você configure um firewall, o que pode ser complicado. Alternativamente, o Jetpack é um plugin que simplifica esse processo. Após a ativação, você pode ativar a proteção de força bruta com apenas uma configuração.
O que mais posso fazer para proteger meu site WordPress?
Existem muitas medidas gerais de segurança que você pode tomar para proteger seu site. Primeiro, considere realizar atualizações consistentes para o software principal, temas e plugins. Você também pode manter seus dados seguros fazendo backup do seu site.
Outra medida de segurança simples é bloquear o spam. Também é uma boa ideia excluir plug-ins não utilizados e monitorar a atividade do seu site. Por fim, verifique regularmente se há malware e tome medidas imediatas se algo for encontrado.
Proteja seu site contra ataques de força bruta
Sem a proteção certa, seu site pode ser vítima de ataques de força bruta. Felizmente, um plugin de proteção de força bruta é uma adição simples ao seu site. Com as medidas de segurança corretas, você pode impedir que hackers roubem seus dados.
Para revisar, veja como implementar a proteção contra ataques de força bruta no WordPress:
- Atualize seu nome de usuário.
- Use uma senha forte.
- Adicione autenticação de dois fatores.
- Instale um plugin de proteção contra ataques de força bruta como o Jetpack.
Depois de seguir estas etapas, você poderá manter suas informações privadas e seguras! Depois, é apenas uma questão de manter seu software atualizado, fazer backup de seus arquivos e monitorar seu site em busca de spam e atividades suspeitas.