Como proteger sua página de login do WordPress (guia completo)

Publicados: 2022-08-16

Um fator crítico na execução de um site WordPress bem-sucedido é implementar medidas de monitoramento e segurança. Afinal, um site invadido pode causar muitas dores de cabeça – independentemente de seu site ser usado para fins comerciais ou pessoais. Isso pode afetar sua receita, arriscar as informações de seus visitantes e destruir sua reputação.

Um ponto de entrada típico para hackers é a página de login do WordPress, que será nosso foco hoje. O que se segue é um resumo de 14 maneiras de fortalecer a segurança de login do WordPress para que agentes mal-intencionados não invadam seu site.

Por que proteger sua página de login do WordPress?

Antes de chegarmos à lista de dicas de segurança, vamos primeiro discutir brevemente por que você pode querer proteger sua página de login do WordPress – contra ataques de força bruta ou outros – em primeiro lugar.

  • O WordPress é muito popular, portanto, os cibercriminosos geralmente procuram novas vulnerabilidades que podem explorar em um grande número de sites.
  • Como os hackers estão familiarizados com o WordPress, eles sabem quando um site está desatualizado e quais falhas de segurança estão presentes em cada versão.
  • Para obter acesso por meio de uma página de login, os hackers nem sempre precisam de conhecimentos avançados de desenvolvimento ou habilidades especiais.

Manter uma página de login segura do WordPress é essencial para o sucesso a longo prazo e o desempenho geral do seu site.

Como fortalecer sua segurança de login do WordPress

Então você sabe por que precisa criar um login seguro do WordPress, mas como você pode fazer isso? Reunimos 14 maneiras de proteger sua página de login do WordPress corretamente para que você não precise deixar a segurança de seus dados ou informações de clientes ao acaso.

1. Instale um plugin de segurança do WordPress

Você pode lidar com a maioria das preocupações de segurança em apenas alguns minutos instalando um plugin de segurança WordPress de alta qualidade. Embora muitos plugins se especializem em proteger aspectos específicos de um site ou contra certos tipos de ataques, uma abordagem mais abrangente é melhor para o site médio. Um plug-in de segurança completo incluirá recursos como logs de auditoria, varreduras de malware, firewalls e ferramentas de segurança de login em uma única solução.

E no topo da lista de nossas recomendações está o Jetpack Security.

Página inicial de segurança do Jetpack

O Jetpack Security funciona cuidando de várias tarefas de segurança automaticamente. E com recursos gratuitos e pagos, um nível de proteção está disponível para todos com um site WordPress. Ele tem uma grande variedade de recursos que podem funcionar para evitar violações de segurança, mas também ajudam a diagnosticar e recuperar-se de quaisquer incidentes ocorridos. Esses incluem:

  • Proteção contra ataques de força bruta
  • Prevenção de spam
  • Verificação de malware
  • Monitoramento de tempo de inatividade
  • Backups
  • Registros de atividades
  • Autenticação de dois fatores

Embora você possa percorrer o restante das etapas descritas aqui por conta própria, usar um plug-in como o Jetpack Security simplificará o processo de proteção de login.

2. Altere e oculte seu URL de login do WordPress

Outra maneira de tornar sua página de login mais segura é escondê-la de olhares indiscretos. Por padrão, o endereço de login para todos os sites WordPress é http://www.yourwebsitename.com/wp-admin, que é basicamente como dar a um ladrão seu endereço residencial. Portanto, qualquer coisa que você possa fazer para obscurecer isso é uma boa ideia.

Alterar o URL de login do WordPress é uma ótima maneira de colocar barreiras para dificultar o trabalho do hacker. Você pode encontrar um plugin que faça isso para você, mas você também pode fazer isso sozinho.

Para isso, você precisará de acesso FTP ao seu site. Depois de conseguir isso, basta seguir as instruções em nosso tutorial: URL de login do WordPress: como encontrar, alterar e ocultar.

3. Use uma senha forte para fazer login no WordPress

Você também pode reforçar a segurança do seu site atualizando para uma senha mais forte. A implementação de medidas de senha forte torna muito menos provável que um hacker ou bot consiga “adivinhar”. Embora “fluffy21” possa ser fácil de lembrar, é muito fácil de adivinhar – especialmente se “Fluffy” for o nome de um animal de estimação amado.

Em vez de escolher senhas com base em nomes, idades ou animais de estimação, criar uma que combine letras e números, letras maiúsculas e minúsculas e alguns símbolos é muito melhor. Você pode criar uma senha forte de duas maneiras:

  • Uma ferramenta de senha forte embutida. O WordPress tem uma ferramenta de senha forte que incentiva você a criar uma senha mais forte do que aquela que você pode estar naturalmente inclinado a escolher.
  • Um gerador de senhas. Muitos geradores de senha facilitam o desenvolvimento de uma senha forte que não é intuitivamente adivinhada.
  • Um guardião/gerente de senha. O único problema com senhas fortes é que elas são difíceis de lembrar. O uso de um guardião de senha ou ferramenta de gerenciamento elimina esse problema. As opções populares incluem LastPass, DashLane e 1Password.
Página inicial do LastPass

4. Proteja sua página de login com senha

Por padrão, qualquer pessoa pode acessar a página de login do seu site WordPress. E embora você possa ocultar ou alterar seu URL de login, como discutimos anteriormente, os hackers podem encontrá-lo se a pasta wp-admin ainda estiver acessível.

É por isso que adicionar outra camada de proteção antes de acessar a página de login é uma boa ideia. E você pode fazer isso protegendo com senha a pasta wp-admin . Se o seu host usa cPanel, esse processo é relativamente fácil.

Faça login na sua conta de provedor de hospedagem, acesse o cPanel e vá para a pasta Directory Privacy .

Ao visualizar os arquivos do seu site, navegue até public_html/wp-admin . Deve haver uma caixa de seleção visível que lê senha proteger este diretório . Verifica a caixa. Em seguida, crie um novo nome de usuário e senha para acessar a pasta wp-admin. Salve suas alterações.

Tente fazer login no seu site normalmente. Agora você deve inserir outro conjunto de credenciais antes de receber permissão para fazer login no WordPress.

Nota: este processo seria idêntico, mesmo que você mudasse o local da sua página de login. Proteja com senha a pasta na qual sua página de login reside, mesmo que não seja wp-admin.

5. Limite o número de tentativas de login

Outra coisa que você precisa fazer para proteger a página de login do WordPress é limitar as tentativas de login. Os hackers podem usar bots para fazer tentativas repetidas de login até que decifrem o código – ou seja, descobrir sua senha e obter acesso ao seu site. Infelizmente, o WordPress permite logins ilimitados por padrão.

Para evitar esse potencial ponto de acesso, você pode limitar as tentativas de login. Um plugin é a melhor maneira de fazer isso. Na verdade, o Jetpack Security oferece proteção contra ataques de força bruta como parte de sua solução de segurança tudo-em-um.

número de ataques de força bruta bloqueados pelo Jetpack

Os ataques de força bruta podem ser incrivelmente perturbadores para o funcionamento do seu site, mesmo antes que os hackers obtenham acesso. Por exemplo, eles podem deixar seu site consideravelmente lento – ou fazer com que ele pare de responder completamente. Tentativas repetidas de login podem eventualmente ser bem-sucedidas e o hacker pode injetar malware, inserir links ou causar caos. Esses ataques também podem colocar suas informações pessoais em risco.

O recurso Brute Force Attack Protection incluído no Jetpack Security fornece as ferramentas necessárias para bloquear ataques e impedir que hackers mal-intencionados tenham acesso aos seus dados. Ele funciona bloqueando IPs maliciosos antes que eles cheguem ao seu site. Ele também fornece uma contagem do total de ataques e permite que você inclua endereços IP conhecidos na lista de permissões.

6. Adicione uma pergunta de segurança ao seu formulário de login do WordPress

Você também pode estender a segurança do seu formulário de login adicionando uma pergunta de segurança (ou duas) ao processo de login. Assim, em vez de apenas inserir um nome de usuário e senha, os usuários também devem responder a uma pergunta de segurança para obter acesso.

Esta única etapa torna seu site muito mais difícil de hackear. E é relativamente fácil de implementar.

O plugin No-Bot Registration é uma ótima maneira de fazer isso. Faça o download indo em Plugins → Adicionar novo e digite o nome do plugin. Assim que aparecer, baixe e ative-o.

Plugin de registro sem bot

Uma vez ativado, vá para Configurações no painel do WordPress. Aqui você pode configurar o plugin e configurar as regras para quando as perguntas de segurança são usadas (nas páginas de registro, login ou senha esquecida).

Isso é muito mais fácil de usar do que um CAPTCHA, pois requer apenas responder a uma pergunta simples e lógica.

7. Adicione autenticação de dois fatores ao WordPress

Em seguida, você pode habilitar a autenticação de dois fatores. Muitos sites e aplicativos usam essa opção de segurança popular, incluindo o Gmail. Ele funciona enviando um código SMS para seu telefone que você precisará inserir antes de concluir o processo de login.

Isso é usado para verificar sua identidade e garantir que o acesso seja concedido apenas a usuários autorizados. Cada camada de autenticação que você adiciona ao processo torna significativamente mais difícil para alguém invadir seu site. Mesmo que um agente mal-intencionado tenha acesso às suas informações de login, é improvável que ele consiga impedir o processo de 2FA.

A maneira mais fácil de adicionar autenticação de dois fatores ao WordPress é usar um plugin 2FA. Vários plugins de segurança incluem esse recurso, mas, novamente, o Jetpack Security é forte com a autenticação segura.

A autenticação segura permite que você faça login usando suas credenciais padrão do WordPress.com e também desative ou ignore totalmente o formulário de login padrão. Além disso, você pode optar por tornar a autenticação de dois fatores um requisito para que todos os usuários ofereçam mais proteção ao seu site.

8. Instale um certificado SSL em seu site WordPress

Outra forma de proteção é instalar um certificado SSL. Obter um certificado SSL gratuitamente é fácil, por isso é uma medida de segurança que ninguém deve ignorar.

SSL é como a maioria dos sites protege seus dados. E você pode saber quando um site é seguro, pois o “HTTP” no campo URL terá um “S” adicionado, então lê-se “HTTPS”. Os navegadores geralmente usam outras indicações visuais, como um ícone de cadeado verde, para informar aos visitantes que seu site possui um certificado SSL ativo.

Além das implicações de segurança, os visitantes podem não continuar navegando em seu site se perceberem que ele não é seguro. Além disso, sites com certificados SSL tendem a ter uma classificação melhor nos mecanismos de pesquisa e alguns navegadores até exibem um aviso aos visitantes se você não tiver um.

Não pule esta etapa. Saiba como obter um certificado SSL gratuito.

9. Desative as dicas de login do WordPress após tentativas de login com falha

As dicas de login podem ser genuinamente úteis para usuários reais do WordPress, mas às vezes podem fornecer muitas informações sobre seu nome de usuário e senha para hackers. Quando você tenta fazer login em um site WordPress e obtém o nome de usuário errado, recebe um erro que diz: “O nome de usuário não está registrado neste site. Se você não tiver certeza do seu nome de usuário, tente seu endereço de e-mail.”

mensagem de erro sobre um nome de usuário que não está registrado

Algo semelhante acontece se você digitar o nome de usuário ou endereço de e-mail correto, mas a senha errada.

erro de senha incorreta

Para remover as dicas de login, você precisa adicionar algumas linhas de código ao arquivo functions.php do seu site.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Quando alguém – real ou bot – insere um nome de usuário ou senha incorretos, é recebido com a mensagem “Há um erro”, em vez do padrão.

10. Mantenha sua instalação e plugins do WordPress atualizados

Os hackers também encontram pontos de entrada em sites do WordPress por meio de instalações desatualizadas. Toda vez que o WordPress é atualizado, todas as correções de bugs e falhas de segurança que foram reparadas são postadas online. Se sua instalação estiver desatualizada, os hackers têm um manual de instruções para violar seu site.

Quando novas atualizações do núcleo do WordPress são lançadas, você deve fazer backup do seu site e instalar a atualização o mais rápido possível.

Mas isso não é tudo que você precisa estar atento. Software de terceiros – ou seja, plugins e temas – também são pontos fracos em potencial. Eles são ainda mais essenciais para manter-se atualizados, pois plugins e temas são feitos por várias empresas de desenvolvimento com diferentes padrões e abordagens.

É também por isso que você deve ser seletivo sobre os plugins e temas que instala. Se o seu plug-in de compartilhamento social não foi atualizado em dois anos, talvez seja hora de encontrar um que seja atualizado regularmente.

11. Oculte o número da sua versão do WordPress

Uma maneira rápida de melhorar a segurança da página de login é ocultar o número da versão do WordPress. No mínimo, isso fará com que os hackers procurem mais detalhadamente para determinar quais falhas de segurança explorar. E você pode removê-lo com bastante facilidade.

Localize o arquivo functions.php e (depois de fazer backup do seu site) adicione a seguinte linha de código ao arquivo:

 remove_action('wp_head', 'wp_generator');

12. Oculte seu nome de usuário de login do WordPress

Outro passo que você pode tomar é ocultar seu nome de usuário de login do WordPress. Na maioria das vezes, a ênfase está na criação de uma senha super segura – o que é excelente – mas você também precisa pensar no seu nome de usuário. Muitas vezes, está disponível ao público – uma oportunidade que os hackers podem explorar.

A maneira mais rápida de ocultar seu nome de usuário da visão de olhares indiscretos é removê-lo de aparecer nas postagens do blog e nos arquivos do autor.

Para remover seu nome de usuário das postagens do blog, basta acessar Usuários → Perfil → Apelido enquanto estiver conectado ao WordPress. A partir daqui, você pode alterar o apelido para que seu nome de usuário não fique mais visível para os visitantes do site. Então, em vez de ver “blogperson02”, eles verão seu nome, nome e sobrenome ou outro apelido que você configurar.

Para remover seu nome de usuário de aparecer nos arquivos do autor, você precisará de um plugin de SEO como o Yoast SEO.

Instale o Yoast como qualquer outro plugin e vá para o menu SEO → Search Appearance → Archives no painel do WordPress. Há uma opção aqui para desativar os arquivos do autor. Faça isso e clique em Salvar alterações .

desabilitando arquivos de autor com Yoast

13. Encurte o temporizador de logout automático do WordPress

É comum ficar conectado às suas contas quando você as usa com frequência. Mas isso pode criar possíveis violações, especialmente se várias pessoas tiverem contas em seu site. A implementação de um temporizador de logout automático é uma ótima maneira de fechar essas brechas de segurança.

Quando uma sessão é deixada sem supervisão, ela será desconectada automaticamente. Por padrão, o WordPress desconectará os usuários após 48 horas. Marcar a caixa “Lembrar-me” mantém os usuários conectados por 14 dias. Você pode alterar um pouco esses prazos usando um plug-in de terceiros. Um que é dedicado a esse recurso é o Logout inativo.

Uma vez instalado, navegue até Configurações → Logout inativo → Gerenciamento básico . Em seguida, selecione a duração do tempo ocioso que você deseja acionar um logout.

14. Exclua contas de usuário WordPress antigas e não utilizadas

Por fim, excluir contas que não estão mais em uso também pode ajudar a melhorar sua segurança no WordPress. Ter várias contas abertas em seu site significa que cada uma é um ponto de acesso a dados privados. E se você não estiver atualizando regularmente as senhas dessas contas, elas podem apresentar pontos fracos significativos.

Para evitar isso, exclua contas antigas e não utilizadas. Faça disso parte do seu plano regular de manutenção do site.

Você também deve fornecer privilégios apenas aos usuários que precisam deles. Nem todo usuário precisa de privilégios de Editor ou Administrador.

Da mesma forma, fique de olho nas contas listadas. Às vezes, os hackers criam uma conta falsa. Se um aparecer, exclua-o imediatamente e reforce o restante de suas medidas de segurança. Saiba o que fazer se o seu site WordPress foi invadido.

Proteja sua página de login do WordPress

Possuir um site significa ter um nível de responsabilidade por seu conteúdo e usuários. Claro, este é o caso duplamente se você coletar informações do cliente. Mas não importa como você usa seu site WordPress, reforçar a segurança na página de login é uma ótima maneira de manter seus dados seguros a longo prazo.

E as dicas apresentadas aqui devem ajudá-lo a se tornar eficiente na manutenção de segurança do WordPress rapidamente.

Pronto para dar o primeiro passo? Comece com o Jetpack Security.