fbpx

Bem vindo ao
Blog da FULL.

Aprenda, crie e cresça seu negócio na internet.

Encontre conteúdos, dicas, tutoriais e novidades sobre as principais ferramentas Wordpress

Como você pode proteger a página de login no WordPress

Você está em:

Como você pode proteger a página de login no WordPress
Como você pode proteger a página de login no WordPress

A segurança na Web deve ser uma preocupação permanente e contínua para todos os sites. Não importa quais precauções você tenha tomado, sempre há espaço para melhorias. Isso ocorre porque não existe segurança infalível. Acrescente a isso, os hackers estão à espreita 24 horas por dia, 7 dias por semana e, portanto, você precisa estar constantemente em guarda. Hospedagem, senhas fracas, versões mais antigas do WordPress ou temas/plugins duvidosos são os possíveis pontos de entrada para os bots entrarem no seu site.

Uma maneira de dificultar a ação dos hackers é aumentar a proteção da sua página de administrador ou login do WordPress. É a porta de entrada para o seu site, e você pode impedir a maior parte do mal na porta, reforçando a segurança nesta página.

Algumas maneiras de proteger sua página de administrador,

Mudar nome de usuário

O nome de usuário padrão no WordPress é “Admin” e os bots sabem disso. Agora, se eles conseguirem adivinhar sua senha, você literalmente lhes entregou um convite para entrar. Portanto, altere seu nome de usuário para algo único e inimaginável. Por exemplo, para o New York Soccer Club, ‘NY Soccer’ não é um nome de usuário adequado.

adicionar usuário

Você pode alterar o nome de usuário seguindo estas etapas simples,

  • Faça login no WordPress usando sua conta de usuário Admin existente.
  • Adicione um novo usuário clicando em Users > Add New .
  • Escolha “Administrador” como a função para este novo usuário. Escolha um nome de usuário exclusivo aqui, pois esse usuário recém-adicionado se tornará o novo usuário administrador.
  • Saia da antiga conta de usuário “Admin”.
  • Faça login novamente usando o novo nome de usuário exclusivo que você criou.
  • Exclua o usuário “Admin” original. Você precisará reatribuir todas as suas postagens antigas do antigo usuário “Admin” para o novo usuário.

Você também pode alterar o nome de usuário acessando o phpMyAdmin. Leia sobre isso no SiteGround .

Senha forte

Alterar o nome de usuário é apenas metade do caminho. Fortaleça sua senha para que os bots não consigam adivinhar. Aniversários, nome do animal de estimação, esportista favorito podem ser adivinhados corretamente. Os ataques de força bruta são apenas tentativas frequentes e repetidas de adivinhar a senha por tentativa e erro. E eles são obrigados a ter sucesso se a senha for fraca. Portanto, senhas fortes são importantes.

Uma senha forte deve, idealmente, usar uma combinação de números e letras, tanto maiúsculas quanto minúsculas. Jogue em um símbolo ou dois como ‘!’ ou ‘@’. O WordPress oferece a opção de gerar uma senha forte, e você também pode usá-la. Ou peça a ajuda de um Gerador de Senhas . Verifique se sua senha é forte em Quão segura é minha senha . E altere a senha regularmente.

senha forte

Acha difícil lembrar a senha? Confira gerenciadores de senhas como LastPass , DashLane , KeePass , 1Password e RoboForm . Um gerenciador de senhas armazena todas as suas senhas de forma criptografada e você pode acessá-las de qualquer dispositivo.

Se eu não defendi uma senha forte,  este relatório da SplashData listando as piores senhas de 2015 talvez possa persuadi-lo.

Limitar o acesso do usuário

Se você é o único que acessa o Admin, este não é para você. Mas se você está permitindo que vários usuários acessem o back-end, você deve manter um controle rígido sobre seus privilégios. Permitir acesso e privilégios apenas às áreas e na medida em que seja necessário para que eles executem suas tarefas.

limitar o acesso do usuário

Além disso, os usuários do seu site também devem ser obrigados a usar senhas fortes. Para garantir isso, você pode instalar o plugin Force Strong Passwords . Este plugin permite que os usuários acessem o site apenas se tiverem configurado uma senha forte para si mesmos. Ou você pode dar uma olhada no Login Security Solution, que também examina e reforça a força da senha, sem incomodar os usuários genuínos.

Limitar tentativas de login

Os bots entram no seu site experimentando várias combinações de nome de usuário e senha. Eles podem levar muitas tentativas antes que eles possam invadir. Se limitarmos o número de tentativas que podem ser feitas a partir de um único IP, podemos reduzir drasticamente as chances de os bots obterem acesso.

limite de tentativas de login

Existem plugins especializados que podem realizar essa tarefa –

Também vale a pena notar que alguns webhosts oferecem esse recurso integrado. O WP Engine , por exemplo, adicionou isso à sua plataforma de hospedagem no início de 2015 para tornar os sites que hospedam mais seguros (além de SSL gratuito, autenticação de dois fatores, backups automatizados, vários firewalls, verificação de malware e muito mais).

Alterar seu URL de login

A URL para fazer login em todos os sites WordPress é, por padrão, a URL principal do seu site seguida por wp-login.php ou wp-admin –  por exemplo, mywebsite.com/wp-login.php . Os hackers sabem disso e, se você puder alterar esse URL, ficará mais difícil para eles entrarem no seu site.

Você pode instalar o Protect WP-Admin para alterar a URL do seu painel de administração e bloquear os links padrão. Você pode alterá-lo para o que quiser, como mywebsite.com/allow_admin_access . Quando uma consulta para mywebsite.com/wp-login.php ou mywebsite.com/wp-admin chegar ao site, ela será redirecionada para a página inicial. E apenas o URL personalizado será permitido no painel de administração.

protecyour-admin-url

Uma maneira totalmente confiável de proteger sua página de administração é bloquear totalmente o acesso à sua página wp-admin e wp-login.php . Mas isso só pode ser empregado se você usar um endereço IP que não muda. Ou então, você corre o risco de ser bloqueado do seu site. Se você puder acompanhar vários endereços IP, ainda poderá adotar essa opção.

Você também pode restringir o acesso ao seu arquivo wp-login.php usando a autenticação básica HTTP. Essa é uma camada externa de segurança que um usuário precisa passar para acessar a página de login. Você precisará gerar um arquivo .htpasswd, para listar todos os nomes de usuário autorizados e suas respectivas senhas criptografadas. Um ataque de força bruta também pode ser lançado contra a autenticação básica HTTP, mas será o dobro do esforço dos hackers para quebrar ambas as camadas.

Adicione SSL ao seu site

SSL é a tecnologia de segurança padrão. HTTP é o Hyper Text Transfer Protocol para transferência de dados entre um servidor e um navegador. A versão segura do HTTP é HTTPS, o “S” significa seguro. Juntos, eles verificam a identidade do site para o usuário e garantem ao usuário a confidencialidade entre o site e o navegador do usuário.

Depois de configurar o SSL/HTTPS, o servidor criptografa os dados e apenas o navegador do usuário pode decifrá-los. Para qualquer terceiro indesejado, os dados não farão nenhum sentido e aparecerão apenas como uma sequência de caracteres. Como bônus, você descobrirá que o Google favorece o HTTPS ao classificar sites.

Obter um certificado SSL pode não ser mais opcional, principalmente se você estiver usando o navegador Chrome. Isso porque o Google está a caminho de marcar todos os sites não HTTPS como “não seguros”.

ssl-2

Hoje, todos os sites não HTTPS são simplesmente neutros quanto à indicação do status SSL, mas isso mudará em janeiro de 2017. Todos os sites que precisam de senhas ou coletam informações de cartão de crédito devem se tornar seguros ou correm o risco de serem rotulados como não seguros pelo Google .

Existem muitas empresas como Comodo , DigiCert e SSL.com que oferecem serviços de certificação. Os certificados podem ser adquiridos sem muito custo com SSLMate e gratuitamente com Lets Encrypt . Alguns provedores de serviços de hospedagem oferecem SSL grátis com seus planos de hospedagem. Você pode ler mais sobre como instalar o SSL em nosso guia HTTPS e SSL gratuito .

Autenticação de dois fatores

A autenticação de dois fatores é uma das maneiras mais seguras de proteger seu site contra hackers. Funciona além do nome de usuário/senha padrão que você já possui. Depois de inserir essas credenciais, um código é gerado em um dispositivo que você possui, geralmente seu smartphone. Somente quando este código é inserido, você obtém acesso ao site.

5sec-google-authenticator-for-wordpress-two-step-login-protection

Muitos plugins gratuitos e premium estão disponíveis para instalação em seu site. Esse método de segurança existe há bastante tempo, mas agora está sendo cada vez mais aplicado ao acesso a sites. Você pode ler mais sobre a autenticação de dois fatores em nosso post anterior .

Plug-ins de segurança

Muitos sites instalam plugins que cuidam da segurança do WordPress de maneira abrangente. Eles incluem proteção de firewall, verificação de malware, lista negra e IPs de lista branca, monitoramento da atividade do usuário, registro de auditoria e geralmente fortalecem a segurança geral. Estão disponíveis opções gratuitas e premium.

Alguns plugins que incluem proteção de login,

palavra cerca
  • Wordfence – Impõe senhas fortes e evita ataques de força bruta.
  • iThemes – Combate ataques automatizados e limita o número de tentativas de login. Ele também implementa credenciais de usuário mais rígidas.
  • Segurança e Firewall All in One – Previne ataques de força bruta e permite o bloqueio de nível de IP, bloqueando um usuário após um período de tempo especificado. Outros recursos de proteção de login incluem bloqueio de login e endereços IP de lista branca e negra.
  • BulletProof Security – Proteção de login e força bruta.
  • McAfee Secure – Oferece várias camadas de proteção, incluindo uma marca de site confiável, verificação de malware e cobertura de proteção de identidade para lojas de comércio eletrônico (um grande ativo).

Pensamentos finais

Os métodos listados nesta postagem são, na maioria, maneiras simples, mas altamente eficazes, de impedir que bots, malware e criadores de mal invadam seu site. Você também pode adicionar captchas ou outros pequenos testes para verificar se a tentativa de login é humana e evitar bots. Se precisar de mais dicas sobre segurança do WordPress, leia o que Freddy tem a dizer neste post .

Aprenda com a FULL.

Junte-se a mais de 50 mil pessoas que recebem em primeira mão as principais ferramentas e tecnologia para desenvolvimento web

Meu carrinho
🎁 Faltam R$300,00 para liberar o Cupom Secreto
Seu carrinho está vazio.

Parece que você não adicionou nada ao seu carrinho =(