Dicas & Tutoriais

COMO OCULTAR SUA PÁGINA DE LOGIN DO WORDPRESS DE HACKERS E FORÇA BRUTA

by

Executar um site WordPress pode sentir como gerenciar um ímã para tentativas de login mal-intencionado. A força bruta tenta iniciar sessão no WordPress é tão comum que existe uma página no Codex dedicada ao tópico.

Existem muitas estratégias para lidar com esse problema e a melhor estratégia é implantar múltiplas estratégias. Neste artigo, vou explicar como implemento uma das estratégias mais simples: esconder sua página de login do WordPress.

Eu tenho um site particular do WordPress que foi instalado alguns anos atrás. É uma instalação padrão do WordPress executando uma série típica de plugins. Para chegar à página de login tudo o que você precisa fazer é ir para / wp-admin ou /wp-login.php .

Este site não vê uma tonelada de tráfego. Em um mês típico, ele gera cerca de 5.000 visualizações de página. No entanto, a página de login do site vê tentativas de login maliciosas de forma surpreendente. Eu tenho o módulo Jetpack’s Protect ativado neste site, e ele rastreia o número de tentativas de login malicioso bloqueadas. Uma vez que o módulo foi adicionado em março do ano passado, mais de 11.600 tentativas de login malicioso foram bloqueadas.

Se você fizer essa matemática, isso funciona em quase 800 tentativas de login mal-intencionado por mês, cerca de 25 por dia ou uma tentativa de login malicioso a cada 58 minutos.

No entanto, posso dizer-lhe que as tentativas de login não acontecem a um ritmo regular de uma por hora. Semanas podem passar sem uma única tentativa de login malicioso sendo logada. Então, de repente, algumas centenas – até um par de milhares de tentativas de login serão registradas em um curto período de tempo. É claro que este site vem periodicamente sob um ataque de força bruta tentando entrar no painel do WordPress.

Se você executar alguns sites do WordPress configurados como instalações padrão, provavelmente está experimentando a mesma coisa, seja você mesmo ou não.

Por que você deve ocultar sua página de login do site

Um aviso legal eu deveria sair do caminho antes de começar. Se o seu site permitir o login do usuário, as tentativas de login mal-intencionado são inevitáveis. Esta estratégia não funcionará para você. Você precisa de sua página de login para ser fácil de encontrar para que seus usuários possam encontrá-lo facilmente. Em vez disso, você precisa fazer outras coisas para proteger contra tentativas de login mal-intencionado.

No entanto, se o seu site não é um site de associação e as tentativas de login são limitadas a apenas uma dúzia de administradores, autores, editores e contribuidores, então esconder sua página de login é uma forma de reduzir o número de tentativas de login mal-intencionado. Um bot que não consegue encontrar sua página de login não pode tentar fazer login.

Para ser claro, eu não estou defendendo que você confiar apenas na segurança através da obscuridade . Você definitivamente deve usar outras medidas de segurança, como limitar tentativas de login, captcha ou ReCaptcha, exigindo senhas de usuários fortes e nomes de usuários únicos, e instalar e configurar corretamente um plugin de boa segurança .

No entanto, a obscuridade é uma camada de segurança válida quando usada como parte de uma estratégia de segurança abrangente e, se você quiser reduzir o número de tentativas de login mal-intencionado que são direcionadas ao seu site, tornar sua página de login difícil de encontrar é uma maneira de faça isso.

Então vamos entender.

Etapa 1: instale o WordPress no seu Diretório próprio

Nós cobrimos Quando e Como instalar o WordPress em um subdiretórioantes. Não é uma tarefa excessivamente complexa, e você pode executar o WordPress a partir de um subdiretório se você está lidando com uma nova instalação do WordPress ou com um site existente do WordPress.

Como sempre, se você estiver movendo uma instalação existente do WordPress antes de fazer qualquer outra coisa, crie um backup completo do seu site e guarde-o em algum lugar onde você não apagará ou modificará acidentalmente.

Muitos exemplos e tutoriais usarão um subdiretório denominado como http://example.com/wordpress ou http://example.com/wp . Pessoalmente, não gosto de usar algo previsível ao instalar o WordPress em um subdiretório. Em vez disso, eu uso algo que ninguém jamais poderá adivinharcomo http://example.com/dwiiw . Ninguém nunca vai adivinhar que eu instalei o WordPress no diretório, mas eu vou ser capaz de lembrar isso porque é um acrônimo para: d irectory w aqui I i nstalled W ordPress .

Use o nome do diretório de sua escolha, mas use algo único que você possa lembrar facilmente e que será difícil ou impossível para alguém adivinhar.

SEGURANÇA

Segurança Ultimate WordPress com WP Defender

O Defender protege você contra bots mal e hackers com varreduras de segurança automatizadas, relatórios de vulnerabilidades, recomendações de segurança, monitoramento de lista negra e endurecimento personalizado em apenas alguns cliques.

Passo 2: Ocultar o URL da página de login e Redirecionar wp-login.php

Como tenho certeza que você sabe, o comportamento padrão do WordPress carrega a página de login quando você acessa wp-login.php . Digite wp-adminem vez disso, e você será redirecionado automaticamente para wp-login.php .

Se você instalou o WordPress em um subdiretório, você deu o primeiro passo para esconder sua página de login, adicionando um diretório entre seu nome de domínio e wp-login.php . Espero que você tenha nomeado algo único, mas a verdade é que agora mesmo alguém ainda pode encontrar sua página de login com bastante facilidade.

A menos que você tenha tomado medidas para evitar o comportamento padrão do WordPress, mesmo com o WordPress instalado em um subdiretório, se alguém tentar acessar http://example.com/wp-login.php, eles serão redirecionados para o login correto URL da página que se parece com http://example.com/dwiiw/wp-login.php .

Na verdade, você realmente fez sua página de login mais difícil de encontrar? Não, ainda não, mas você irá momentaneamente.

O próximo passo é para bloquear o acesso a wp-login.php e redirecioná-lo para uma página 404 ou realmente qualquer página outra do que a sua página de login, e substituí-lo com uma URL de login completamente personalizado que vai ser difícil de adivinhar.

Mais uma vez, eu recomendo encontrar algo que você possa lembrar facilmente, mas isso será quase impossível para alguém adivinhar aleatoriamente. Você pode usar o truque de siglas que usei para encontrar o nome do diretório dwiiw , ou qualquer outro método, mas venha com algo único como:

Http://example.com/dwiiw/gli

Neste caso, o gli é um suporte para g et l ogged i n , e cumpre o objetivo de ser simultaneamente fácil de lembrar e difícil de adivinhar.

Use um plugin para bloquear o acesso ao wp-login.php e configure um URL de login personalizado . Existem vários plugins do WordPress que você pode usar para esse propósito. Aqui estão quatro opções possíveis para você começar.

  • WPS Hide Login

    O slogan diz tudo: mude wp-login.php para qualquer coisa que você quiser .

    Este plugin faz apenas uma coisa. Facilita a utilização de um URL personalizado em vez do URL de login padrão. Uma vez que este plugin está instalado e ativado, / wp-admin e /wp-login.php são inacessíveis, substituídos por um URL personalizado de sua escolha.

    Com mais de 50.000 instalações ativas e uma classificação estelar de 4.7 fora de 5 estrelas, o WPS Hide Login é uma aposta certa se você quiser que o plugin mais leve possua um URL de login personalizado.

  • WP Hide & Security Enhancer

    A premissa básica por trás desse plugin é que ele esconde o fato de que seu site está executando o WordPress.

    Fazer a sugestão de que você deve fazer isso é certo para trazer certas partes da comunidade InfoSec gritando “A segurança através da obscuridade não é segurança!” Ainda assim, como já mencionei, acredito que a obscuridade é uma camada válida em uma estratégia de segurança abrangente. A crença não estou sozinha em segurar.

    Um aspecto para esconder o fato de que seu site é um site do WordPress é criar URLs de login personalizados enquanto desabilita completamente os URLs padrão. Este plugin faz isso e muito mais. Este plugin possui mais de 1.000 instalações ativas, o que não é esmagador, mas é um tamanho de amostra suficientemente grande para começar a ver algumas tendências nas revisões dos usuários. A avaliação geral é sólida, tornando WP Hide & Security Enhancer digno de consideração.

  • Cerber Limit Login Trytem

    O Cerber é um plugin bastante popular para limitar as tentativas de login. Está ativo em mais de 10.000 sites e tem uma classificação excepcional de 4,9 fora de 5 estrelas.

    Como você certamente adivinhou, além de limitar as tentativas de login, este plugin pode ser usado para esconder o URL de login padrão em favor de um URL personalizado. Este plugin faz o que faz excepcionalmente bem e pode ser o melhor seguro nesta lista.

  • Segurança de iThemes

    Com mais de 700.000 instalações ativas e uma classificação 4.7 de 5 estrelas, iThemes Security é um dos plugins mais populares no Diretório de Plugins do WordPress.

    Este plugin faz muito mais do que apenas criar um URL de login personalizado. Você pode usar o iThemes Security para executar uma ampla gama de tarefas de endurecimento. Não vou entrar em tudo o que a iThemes Security faz, mas entre as suas características é a capacidade de criar um URL de login personalizado e redirecionar wp-login.php para uma página 404 ou qualquer outra página que você gosta.

O resultado

Se você completar as duas etapas, agora você tem:

  1. WordPress instalado em um subdiretório que se parece com http://example.com/dwiiw .
  2. Além disso, você criou um URL de login personalizado e bloqueou o acesso ao wp-login.php .

Como resultado, você agora tem um URL de login completamente personalizado que você não deve ter nenhum problema em lembrar e que ninguém mais vai adivinhar. Embora esta tática simples não garanta que você verá zero tentativas maliciosas de login, isso tornará sua página de login totalmente invisível para a grande maioria das tentativas de login mal-intencionado.

É verdade, a obscuridade por conta própria não oferece segurança adequada. No entanto, quando usado como parte de uma estratégia de segurança abrangente maior, a obscuridade pode ser útil. Isso é ainda mais verdadeiro quando seu site está sendo executado no melhor e mais popular CMS do planeta.

5 (100%) 1 vote
0
William Freitas
Written By
More from William Freitas

9 DICAS DE COMO USAR BOTS PARA SUA ESTRATÉGIA DE MARKETING DIGITAL

Às vezes, quando falo de marketing para ecommerce, alguém diz: “O surpreendente...
Read More

You may also like

CORRIGINDO O ERRO “NÃO É POSSÍVEL MODIFICAR O CABEÇALHO” NO WORDPRESS

7 DICAS PARA OTIMIZAR SEU WORDPRESS

14 MANEIRAS DE AUMENTAR O TEMPO DE VISITA NA PÁGINA E SOLTAR SUA TAXA DE REJEIÇÃO

Inbound Marketing: 5 etapas para conseguir novos clientes

Inbound Marketing: 5 etapas para conseguir novos clientes

Taxa de conversão funil de vendas: o que é e como calcular

Taxa de conversão funil de vendas: o que é e como calcular

As 8 Métricas de Redes Sociais mais importantes para analisar

As 8 Métricas de Redes Sociais mais importantes para analisar

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *