Home Tutoriais CMS Aumentando a segurança do WordPress contra ataques forçados


Nos últimos dias a comunidade WordPress tem vindo a ser flagelada com ataques constantes. Muitos blogueiros perderam acesso aos seus blogs, ou simplesmente ficaram com eles inacessíveis, fruto dos ataques de que foram alvo e que envolveram milhares de máquinas. Alguns sites de tecnologia noticiaram a situação, mas entretanto muitos usuários de blogs WordPress ficaram atemorizados com a situação e rapidamente procuraram soluções para o seu problema. Os colegas do iThemes também falaram sobre o assunto e explicaram um pouco da situação que se vive neste momento, a forma como os ataques estão sendo reproduzidos, e o que é possível fazer para dar a volta ao problema.

De uma forma geral, estes ataques têm como objetivo usuários que usem a plataforma WordPress e tenham como login no painel administrativo o username “Admin” que é por norma o padrão do WordPress, embora nos dias de hoje já seja possível ter outros nomes de login além do vulgar “Admin” que era commumente usado por todos os blogs na área. Existem várias formas de resolver o problema, incluindo a instalação de alguns plugins, a mudança de username, a utilização de passwords mais fortes, entre outras vantagens. Vejamos de seguida algumas das coisas que você poderá fazer para aumentar a segurança do seu WordPress contra ataques deste tipo e/ou futuros ataques que venham a ser efetuados contra o seu próprio site/blog.

 

1. LOGIN LOCKDOWN

O plugin Login Lockdown é uma das formas mais simples de aumentar drasticamente a segurança do seu blog WordPress. Basicamente o que ele faz é limitar o número de tentativas de login falhadas a um blog WordPress, e a partir desse momento, banir ou simplesmente bloquear esse endereço de IP por forma a que não tenha mais possibilidades de voltar a tentar realizar login no seu WordPress. Logicamente, este plugin atua não só para Bots e outros sistemas que tentam desferir ataques ao seu blog, como também para si, que caso erre consecutivamente o login no seu painel administrativo, poderá dar origem a um bloqueio do endereço de IP, não lhe permitindo dessa forma voltar a realizar login no seu blog, até que o mesmo seja removido.

2. ALTERAR O USERNAME DO WP

Conforme referimos anteriormente, este ataque tem como objetivo usuários que utilizam o username “Admin” por padrão nos seus blogs. Isto significa que é extremamente recomendável que você altere o seu nome de usuário para evitar estar exposto ao tipo de ataque em questão. A alteração do nome de usuário de “Admin” para um outro qualquer pode ser feita de várias formas, incluindo acedendo ao banco de dados e editando a tabela de usuários. No entanto, a forma mais simples de o fazer, é criando um novo usuário com previlégios de administrador, e migrar todo o conteúdo de um usuário para o outro. Vejamos:

  • Crie um novo usuário com privilégios de “administrador”. Terá de escolher a Role Administrador, usar um novo endereço de email, diferente do que já tem cadastrado com o seu usuário atual, uma vez que cada usuário deverá ter um endereço de email único.
  • Faça Log out.
  • Faça login com o novo usuário.
  • Elimine o usuário “Admin” que usava anteriormente.
  • Quando o sistema lhe perguntar o que deverá fazer aos posts e links do usuário “admin”, seleccione a opção “Atribuir todos os posts e links a”, escolhendo o novo usuário com papel de administrador que criámos no primeiro passo, e clique “Confirmar eliminação”.
  • Assim que o usuário for removido com sucesso, já poderá voltar a mudar o seu endereço de email para o que tinha anteriormente no usuário agora apagado.

3. USE UMA PASSWORD MAIS FORTE

Outro aspecto importante passa pela utilização de uma password mais forte. A grande maioria dos usuários com pouco conhecimento tendem a usar passwords muito fáceis de serem descobertas, vulnerabilidade essa que é por norma utilizada pelos Bots que desferem ataques a máquinas com WordPress instalado, portanto, evite sempre utilizar passwords do seguinte tipo:

  • admin
  • admin123
  • 123456
  • 123123
  • 123456789
  • password
  • 1234
  • 1234567
  • 12345
  • pass
  • abc123
  • 12345678
  • 1111
  • teste
  • dragon
  • demo

A grande maioria dos Bots utiliza este tipo de passwords para tentar entrar nos blogs com WordPress, usando o referido login “Admin” em paralelo com uma destas passwords. Existem vários serviços na internet que lhe permitem guardar todas as passwords que você utiliza em serviços online, incluindo os seus blogs, e usar somente uma chave-mestra para ter acesso à sua conta. Isso permite-lhe usar passwords mais fortes em todos os serviços que utiliza online, uma vez que a única chave que você precisa realmente saber é a sua chave-mestra de acesso à sua conta do serviço de protecção de passwords. Vejamos alguns dos serviços que poderá utilizar e que são recomendados pelos principais sites de segurança e tecnologia do Mundo:

4. ANTECIPE OS SEUS BACKUPS

Outro aspecto importante são os Backups do seu blog. Faça backups com regularidade, e tendo em consideração os ataques recentes, o ideal é que você antecipe os seus Backups e comece já a trabalhar no sentido de realizar cópias de segurança de todos os seus blogs. Já aqui explicámoscomo fazer backups do WordPress para o Google Drive, como fazer backups do WordPress para o Dropbox e também falámos do serviço Vaultpress que é um serviço profissional de backups criado pela Automattic. Recomendamos também que leia o nosso artigo com alguns plugins de segurança recomendados para WordPress, onde poderá encontrar algumas extensões para melhorar a segurança do seu blog.

Outro aspecto importante passa pela utilização de sistemas como o Cloudflare, que lhe permitem espalhar o conteúdo do seu blog por diversos servidores na Europa e Américas, tornando o seu blog mais rápido e ao mesmo tempo menos vulnerável a este tipo de situações. A Cloudflare tem inclusive um plugin para WordPress. A própria Cloudflare trata de gerenciar as tentativas de entrada forçada no seu sistema, e inclusivamente publicou um artigo onde explica como lidar com esta situação de ataques forçados que está sendo desferida aos blogs WordPress no geral.

Fonte: http://www.escolawp.com/2013/04/aumentando-a-seguranca-do-seu-wordpress-contra-ataques-forcados/

   

Leave a Reply

This blog is kept spam free by WP-SpamFree.