Brute Force

Brute force é o ataque que tenta adivinhar uma senha testando milhares ou milhões de combinações até encontrar a certa. No WordPress, o alvo padrão é a tela de login em wp-login.php: bots automáticos rodam listas de usuário e senha enquanto o servidor permitir, na esperança de derrubar uma conta administrativa. É um dos vetores de invasão mais comuns em sites WordPress hoje.

O que é um ataque brute force

Um ataque brute force é a tentativa de descobrir credenciais por tentativa exaustiva. Em vez de explorar uma falha específica do software, o invasor explora a falha estatística de usuários com senha fraca. Se a senha tem 6 letras minúsculas, há 308 milhões de combinações possíveis, e um bot bem distribuído pode testar todas em horas.

Existem variações da técnica. O ataque de dicionário usa listas prontas de senhas vazadas em outros serviços, partindo do pressuposto de que muita gente reusa senha. O credential stuffing pega pares usuário/senha completos vazados em outros sites e tenta no WordPress diretamente. O ataque distribuído usa milhares de IPs ao mesmo tempo, contornando bloqueios simples por endereço.

O que torna brute force tão atrativo para invasores é a relação entre custo e retorno. Não exige conhecimento técnico profundo, não depende de zero-day, roda em VPS baratos. Quando funciona, dá acesso administrativo total ao site, o que abre portas para injeção de malware, redirecionamento de tráfego, envio de spam e roubo de dados.

A pergunta sobre o que é brute force costuma vir junto com o relato de invasão. Saber identificar o ataque é o primeiro passo para construir defesa que realmente segura.

Como brute force ataca o WordPress

O alvo número um é wp-login.php, a URL padrão de login do WordPress. Como praticamente todo site no CMS expõe essa página, bots varrem a internet inteira testando essa rota. A segunda porta é xmlrpc.php, um arquivo legado que ainda está ativo em muitas instalações e permite múltiplas tentativas de login em uma única requisição, multiplicando o poder do ataque.

O usuário admin é o palpite favorito. Por anos o WordPress sugeria “admin” como nome padrão na instalação, e milhões de sites ainda mantêm essa conta ativa. Saber que existe um usuário válido reduz pela metade o trabalho do invasor, que precisa só descobrir a senha.

Bots modernos não rodam serial, um login por vez. Distribuem o ataque entre milhares de IPs (botnets, proxies, VPNs), variam o User-Agent, respeitam tempos aleatórios para escapar de detecção. O log do servidor mostra dezenas de IPs diferentes tentando o mesmo usuário ao longo de horas.

Quando o ataque funciona, o invasor entra como administrador e o estrago se espalha rápido: instalação de plugins maliciosos, criação de novos usuários administradores, injeção de código nos posts, envio de spam pelo SMTP do servidor. Recuperar requer backup WordPress recente e auditoria completa do que foi alterado.

Como proteger seu site contra brute force

Proteger login wordpress começa com o básico: senha forte e usuário não óbvio. Senhas com 16+ caracteres misturando maiúsculas, minúsculas, números e símbolos são praticamente imunes a brute force tradicional. Eliminar o usuário admin (criar um novo administrador, depois apagar o admin antigo) corta a estatística de ataque pela metade.

Limit Login Attempts é a defesa mais eficaz e barata. Plugins como Limit Login Attempts Reloaded ou WPS Limit Login bloqueiam um IP após algumas tentativas falhas. Combinado com bloqueio progressivo (5 minutos, depois 1 hora, depois 24 horas), inviabiliza brute force serial.

Two-factor authentication (2FA) é o que realmente fecha a porta. Mesmo que o atacante adivinhe a senha, sem o código gerado no celular não passa. Plugins como Wordfence, AIOS e Two Factor Authentication entregam 2FA via app autenticador (Google Authenticator, Authy) ou e-mail.

Esconder a URL de login muda muito o jogo contra bots automáticos. Trocar wp-login.php por algo como /entrar-painel/ via plugin elimina 90% do tráfego malicioso, que está rodando rotas padrão. Não substitui as outras camadas, mas reduz drasticamente o ruído nos logs.

Desativar xmlrpc.php se você não usa Jetpack nem app mobile do WordPress fecha um vetor inteiro. Adicionar CAPTCHA na tela de login bloqueia bots simples. Combine com firewall de aplicação e atualizações em dia para fechar também outros tipos de vulnerabilidade WordPress.

Sinais de que seu site está sob ataque

Logs de acesso enchendo de tentativas em wp-login.php são o sinal mais direto. Se o servidor entrega 50, 100, 500 requisições por hora para essa URL, há ataque ativo. Hospedagens decentes mostram isso no painel; quem usa cPanel acha em “Estatísticas → Visitantes” ou no raw access log.

Aumento súbito de uso de CPU sem aumento proporcional de tráfego legítimo é outro alerta. Brute force pesado consome processamento mesmo quando não tem sucesso, porque cada tentativa exige PHP, banco e checagem de senha. Sites que começam a engasgar do nada, especialmente em horários estranhos, costumam estar sob ataque.

E-mails de notificação de novas tentativas de login ou de senhas resetadas que ninguém pediu também denunciam atividade suspeita. Plugins de segurança bem configurados disparam alerta quando passa do limite normal de tentativas para um usuário.

Quando o ataque tem sucesso, os sinais mudam de natureza: usuários administradores que ninguém criou, plugins desconhecidos ativos, posts ou páginas modificados, redirecionamentos para sites estranhos. Nesse ponto a contenção precisa ser imediata: tirar o site do ar, restaurar backup limpo, trocar todas as senhas e auditar plugin por plugin.

Para sites em produção que precisam de defesa contínua sem manutenção manual, a FULL Services entrega o AIOS (All In One Security) já licenciado e configurado dentro da stack profissional, com firewall, limite de tentativas, 2FA, proteção de wp-login.php e bloqueio de xmlrpc.php ativos por padrão. É a forma de neutralizar brute force antes que vire incidente, sem o cliente precisar configurar plugin de segurança peça por peça.