Atacar um site usando Brute Force é uma técnica antiga e ainda existe na Internet.
força bruta ataques podem levar o seu site fora do ar e interrompa seus negócios on-line se a ferramenta de prevenção necessária não estiver em vigor.
O ataque de força bruta pode ser aplicado usando humanos ou bots, tentando continuamente fazer login com credenciais adivinhadas em seu site WordPress.
Isso piora quando a página de login não está protegida, e algumas das pesquisas observaram milhares de tentativas de login para wp-login.php por minuto.
Vamos dar uma olhada no gráfico por SUCURI .
Mais de 1 milhão de ataques por hora!
Isso é enorme !
Alguns dias atrás, recebi 42 notificações por e-mail sobre o bloqueio do site devido a ataques de força bruta. Então isso pode acontecer com você.
Existem várias maneiras de prevenir ataques de força bruta; aqui estão alguns deles, que você pode seguir.
Ocultar login do WordPress
Uma das primeiras coisas que você deve fazer depois de configurar seu site é ocultar a área de login.
Por padrão, uma página de login do WordPress está disponível como:
- /wp-login.php
- /Conecte-se
- /wp-admin
- /admin
Conhecendo as tecnologias você está usando é fácil hoje em dia.
Portanto, se os criminosos souberem que você está usando o WordPress e a área de login não estiver oculta, eles poderão acessar facilmente a página de login e se preparar para um ataque de força bruta.
Vamos ocultar a área de login do WordPress com os seguintes plugins. Você pode usar qualquer um deles.
WPS Ocultar login
WPS Ocultar login é um plug-in leve com ativo instalado sobre 400.000. Este plug-in ajudará você a alterar a URL de login para qualquer coisa que desejar.
Depois de alterar o URL de login, se alguém tentar acessar wp-admin/wp-login.php/login/admin, ele lançará uma página de erro 404.
Segurança iThemes
Um plug-in premium oferece proteção abrangente de segurança WP.
iThemes deixe os bandidos saírem. Algumas das características notáveis são:
- proteção de força bruta
- Bloquear usuários suspeitos
- Ocultar URL de login
- Autenticação de duas facções
- Verificação de malware
- backup de banco de dados
Com configuração mínima, você está pronto para ir.
Malcare
pronto para RGPD, Malcare é um plug-in de proteção de segurança completo para WordPress. Ele oferece proteção de login 24 horas por dia e mantém afastado o tráfego malicioso.
Não apenas proteção contra força bruta, mas o Malcare oferece outros recursos, como verificação de malware, remoção de código malicioso, firewall inteligente da Web, proteção com um clique etc. Vale a pena investir para proteger o seu negócio online.
Implemente autenticação de 2 fatores
A autenticação de 2 fatores adiciona uma camada extra de segurança ao seu site WordPress. Junto com suas credenciais, você também precisa fornecer uma senha de uso único (OTP).
Isso é possível usando os seguintes plugins.
Dois fatores
Um fantástico e leve plugar permite implementar autenticação de dois fatores para administrador WP, colaborador, etc.
Você pode configurar autenticação baseada em e-mail, Google Authenticator e U2F.
Google Authenticator
Como o nome diz, você pode usar este plugar se você estiver procurando por login OTP baseado no Google Authenticator.
Depois de habilitar o plug-in e configurar a autenticação, você deverá ver a tela acima durante o login no administrador do WP.
As técnicas acima são baseadas em plugins, mas você também pode considerar usar Provedor de segurança baseado em nuvem proteção.
Segurança baseada em nuvem
Por que segurança baseada em nuvem?
Usar um plug-in para proteger seu site significa que todo o tráfego, incluindo os ruins, chega aos servidores do WordPress. Imagine, você recebe um grande número de tráfegos inúteis.
Ao usar proteção baseada em nuvem, seu servidor WordPress recebe apenas tráfego legítimo. Todos os bots, spams e solicitações suspeitas são encerrados em uma rede de provedor de segurança.
Parece bom?
Existem poucas opções, mas duas das mais populares, como a seguir.
SUCURI
SUCURI é especializada em antivírus e firewall de sites. Eles ajudam você a interromper as tentativas de hack, interromper um ataque DDoS, limpar o hack e completar a segurança do seu site. Incluindo proteção contra ataque de força bruta.
A segurança do WordPress da SUCURI é provavelmente a única coisa que você precisa para proteger seu site contra Brute Force e muitas outras vulnerabilidades de segurança. O bom do SUCURI é que ele suporta muitas outras plataformas como Joomla, Drupal, Magento, PHP, então caso você mude a tecnologia do site no futuro, você não precisa gastar mais $$ com segurança.
Cloudflare
Um dos provedores de segurança e CDN populares. Cloudflare WAF está incluído no plano PRO, que custa $ 20 por mês.
Você obtém toda a proteção de segurança padrão, como DDoS, OWASP top 10 vulnerabilidades, spam, bots malignos, força bruta, etc.
Conclusão
Proteger seu site é essencial e, se você deseja mitigar ataques de força bruta, um dos plug-ins listados acima fará o trabalho. No entanto, se você estiver procurando seriamente por uma solução de segurança completa, escolha a segurança baseada em nuvem. Vale a pena!
Fique seguro!
