5 regras simples para segurança de login do WordPress

Publicados: 2022-07-12

Uma estratégia de segurança bem-sucedida do WordPress deve incluir etapas para fortalecer o login do WordPress. Neste post, abordamos as cinco regras simples para uma melhor segurança de login do WordPress.

O melhor do WordPress é como ele torna a criação de um site acessível a praticamente qualquer pessoa. Mas com essa acessibilidade vem a previsibilidade. Qualquer pessoa com experiência em trabalhar com WordPress sabe onde são feitas as alterações no site: através da área wp-admin. Eles até sabem onde precisam ir para acessar o wp-admin, a página wp-login.php.

Por padrão, o URL de login do WordPress é o mesmo para todos os sites do WordPress e não requer nenhuma permissão especial para acessar. É por isso que a página de login do WordPress é a parte mais atacada – e potencialmente vulnerável – de qualquer site WordPress.

Infelizmente, criar um bot que perambule pela internet cometendo ataques de força bruta não requer muita habilidade, e qualquer hacker de nível iniciante pode criar um. Como os ataques na página de login do WordPress têm uma barreira de entrada baixa, a segurança de login do WordPress é crucial para proteger qualquer site WordPress.

Ao seguir essas regras e usar as práticas recomendadas de segurança do WordPress, você pode evitar ficar vulnerável a erros comuns de login do usuário.

1. Use senhas fortes

Há muitas informações confusas e contraditórias sobre as melhores práticas de segurança de senha na Internet. Em um esforço para esclarecer essa confusão, vamos detalhar o básico de como usar uma senha forte melhora a segurança do WordPress.

Ao criar uma senha, o primeiro item que você deve considerar é o comprimento da senha. A lista abaixo mostra o tempo estimado que leva para quebrar uma senha usando um processador i5 de quatro núcleos.

7 caracteres levarão 0,29 milissegundos para quebrar.
8 caracteres levará 5 horas para quebrar.
9 caracteres levará 5 dias para quebrar.
10 caracteres levará 4 meses para quebrar
11 personagens levarão 1 década para quebrar
12 caracteres levarão 2 séculos para quebrar.

Então, como você pode ver, adicionar um único caractere à sua senha pode aumentar significativamente a segurança do seu login.

Uma senha com pelo menos 12 caracteres, aleatória e que inclua um grande conjunto de caracteres como “ ISt8XXa!28X3 ” tornará muito difícil decifrá-la.

Infelizmente, alguns hackers estão aproveitando GPUs e CPUs mais fortes para diminuir o tempo necessário para quebrar senhas. Portanto, para fortalecer seus logins, fique atento também à entropia de sua senha. Quanto maior a entropia da senha, mais difícil será a quebra da senha.

Por exemplo, com base apenas no requisito de comprimento, uma senha como “abcdefghijkl” tem 12 caracteres, o que é ótimo e deve levar 200 anos para ser decifrado. No entanto, como a senha usa sequências sequenciais de letras, ela a torna muito mais previsível em comparação com uma senha como “rfybolaawtpm”, que possui caracteres aleatórios.

A randomização de caracteres diminui a previsibilidade e aumenta a força da senha. Mas ambas as senhas têm uma coisa em comum que, em última análise, reduz a entropia da senha. Ambos estão usando apenas letras minúsculas, limitando o conjunto de caracteres possíveis a 26. É por isso que é vital incluir letras alfanuméricas, maiúsculas e caracteres ASCII comuns para aumentar o conjunto de caracteres necessários para quebrar a senha para 92.

Dica: Use um gerenciador de senhas como o LastPass para gerar e armazenar senhas com segurança com facilidade.

Dica: No mínimo, você deve exigir que os usuários que podem fazer edições no WordPress usem senhas fortes. Usar um plugin de segurança do WordPress como o iThemes Security Pro para forçar usuários privilegiados a usar senhas fortes ajudará a aumentar a segurança de login do WordPress.

2. Use uma senha exclusiva para cada conta

Outra prática recomendada para segurança online é usar senhas exclusivas para cada conta e login de site que você possui. Isso é tão importante que vamos repetir: você deve usar uma senha diferente para cada site.

Por que a reutilização de senhas é tão importante? Se você usa a mesma senha para todos os sites e um desses sites está comprometido, agora você está usando uma senha comprometida para todas as contas, em todos os sites. Os hackers podem usar despejos de dados de senhas comprometidas emparelhadas com seu endereço de e-mail ou nome de usuário para obter acesso às suas contas. É melhor nem arriscar.

Quanto mais usuários você tiver reutilizando senhas, mais fraca será a segurança de login do WordPress.

Em uma lista compilada pela Cybernews, a senha mais comum em 2022 era 123456. A segurança de login do WordPress do seu site é tão forte quanto o link mais fraco, então seja proativo com requisitos de senha forte.

Dica: Proteja o WordPress de Senhas Comprometidas

Você pode proteger o WordPress de senhas comprometidas com um plugin como o iThemes Security Pro. O iThemes Security Pro aproveita a API HaveIBeenPwned para detectar se uma senha apareceu ou não em uma violação de dados.

Dica: Incentive os usuários a alterar as senhas com frequência

Os recursos de requisitos de senha do iThemes Security permitem que você force todos os seus usuários a alterar suas senhas na próxima vez que fizerem login. Forçar os usuários a criar uma nova senha permite que todos comecem do zero com uma senha forte e descomprometida, o que aumentará seu login no WordPress segurança.

Dica: use um gerenciador de senhas

Em última análise, usar um gerenciador de senhas pode ajudá-lo a acompanhar seus logins e senhas exclusivas. Com a ajuda de um gerenciador de senhas, você não precisa se lembrar de suas senhas.

3. Limite as tentativas de login

Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login com falha que alguém pode fazer. Sem um limite no número de tentativas de login com falha que um invasor pode fazer, ele pode continuar tentando um número infinito de nomes de usuário e senhas até obter sucesso.

Aumente sua segurança de login do WordPress instalando um plugin de segurança do WordPress como o iThemes Security Pro para limitar o número de tentativas de login com falha. O recurso iThemes Security Pro WordPress Brute Force Protection oferece o poder de definir o número de tentativas de login com falha permitidas antes que um nome de usuário ou IP seja bloqueado. Um bloqueio desativará temporariamente a capacidade do invasor de fazer tentativas de login. Uma vez que os invasores tenham sido bloqueados três vezes, eles serão proibidos de visualizar o site. Observação: ao decidir o quão rígidas você deseja que sejam suas regras para tentativas de login com falha, lembre-se dos usuários reais do seu site. Se você tornar as regras de bloqueio muito implacáveis, corre o risco de bloquear inadvertidamente usuários reais.

4. Limite as tentativas de autenticação externa por solicitação

Existem outras maneiras de fazer login no WordPress além de usar um formulário de login. Usando XML-RPC, um invasor pode fazer centenas de tentativas de nome de usuário e senha em uma única solicitação HTTP. O método de amplificação de força bruta permite que os invasores façam milhares de tentativas de nome de usuário e senha usando XML-RPC em apenas algumas solicitações HTTP. Quando você sabe que um invasor pode usar dumps de banco de dados como ponto de partida e fazer milhares de suposições por solicitação, isso torna muito mais clara a importância da segurança de login do WordPress. Usando as configurações do WordPress Tweaks do iThemes Security Pro, você pode bloquear várias tentativas de autenticação por solicitação XML-RPC. Limitar o número de tentativas de nome de usuário e senha a uma para cada solicitação ajudará bastante a proteger seu login do WordPress.

Além disso, ao desenvolver seu plano de segurança de login do WordPress, é importante estar ciente de que a API Rest do WordPress adiciona maneiras adicionais de autenticar um usuário do WordPress. A autenticação de cookie é um método de autenticação quando você faz login no WordPress armazena automaticamente um cookie para que plugins e temas possam executar uma função em seu nome. A autenticação de cookie se beneficiará das proteções que você adicionou ao wp-login.php.

5. Use autenticação de dois fatores

Eu salvei o melhor método para aumentar a segurança de login do WordPress por último: autenticação de dois fatores do WordPress. A autenticação de dois fatores requer um código extra junto com seu nome de usuário e senha do WordPress para fazer login.

Existem muitos métodos de autenticação de dois fatores, mas nem todos os métodos são criados iguais. Se puder, evite usar SMS para autenticação de dois fatores. O Instituto Nacional de Padrões e Tecnologia não recomenda mais o uso de SMS para enviar e receber códigos de autenticação.

Usando um plug-in de segurança do WordPress, como o iThemes Security Pro, você deve habilitar o método de e-mail ou aplicativo móvel de dois fatores.

Apenas observe que muitos sites exigem que você use um endereço de e-mail como nome de usuário. Se um invasor invadir um desses sites, o próximo passo será tentar fazer login nas contas de e-mail usando os novos endereços de e-mail e senhas que eles roubaram. Se um de seus usuários ou clientes estiver reutilizando senhas comprometidas em todos os sites, sua conta de e-mail, juntamente com seus códigos de e-mail de dois fatores, será comprometida. O método do aplicativo móvel de dois fatores fará o máximo para aumentar a segurança de login do WordPress. O código de autenticação extra necessário para fazer login será enviado ao telefone do usuário. Portanto, mesmo que um invasor tenha acesso às credenciais do WordPress e de e-mail, ainda não haverá como fazer login.

Recapitulação: uma simples lista de verificação de segurança de login do WordPress

A segurança de login do WordPress deve ser uma prioridade em todos os sites. Agora que você sabe como aumentar a segurança de login em seu site, você pode aproveitar essa estratégia eficaz de prevenção de hacks.

1. Use senhas fortes
2. Use senhas exclusivas para cada conta
3. Limite as tentativas de login
4. Limite as tentativas de autenticação
5. Use autenticação de dois fatores

Obtenha o conteúdo bônus: Um guia para segurança do WordPress

Clique aqui

O melhor plug-in de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress alimenta mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições da segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que monitora e protege constantemente seu site WordPress para você.

Obtenha o iThemes Security Pro

Kristen Wright

Kristen escreve tutoriais para ajudar os usuários do WordPress desde 2011. Como diretora de marketing aqui na iThemes, ela se dedica a ajudá-lo a encontrar as melhores maneiras de construir, gerenciar e manter sites WordPress eficazes. Kristen também gosta de escrever no diário (confira seu projeto paralelo, The Transformation Year !), caminhadas e acampamentos, aeróbica, culinária e aventuras diárias com sua família, esperando viver uma vida mais presente.