WordPress: como se proteger de Ataques de Força Bruta (ou Brute Force Attack)

Venho falando há alguns dias para alguns clientes sobre os Brute Force Attacks, ou ataques de força bruta, que têm acontecido de forma descontrolada mundo afora e um dos alvos é o próprio sistema WordPress. Por ser talvez o CMS mais usado no mundo, de pequenos blogs até grandes portais, esta ferramenta atrai com certeza o maior número de robôs que tentam a todo custo uma invasão.

Como funcionar o Ataque de Força Bruta?

Um ataque de força bruta nada mais é que um bot ou uma rede de bots (robôs) que tentam pelo método “tentativa e erro” acertar a sua senha. Conseguindo o acesso ele captura a sua senha e volta mais tarde através de uma invasão, de certa forma pela porta da frente do seu site.

Da parte dos provedores de hospedagem há recursos e ferramentas disponíveis para que se atenuem estas tentativas, geralmente bloqueando os IPs que tentam e erram mais de uma vez esta senha. Mas com a quantidade de computadores infectados e conexões ativas e sempre estabelecidas disponíveis para ajudar nos ataques, fica quase que impossível que algumas tentativas sejam feitas.

E neste caso que entram as senhas fracas, quanto menos fortes são as senhas criadas para acesso ao seu site e mais fáceis são os nomes de usuários, mais rapidamente alguém vai conseguir infectá-lo.

Mas como prevenir-se de Ataques de Força Bruta?

Antes de mais nada, quando tratamos de Segurança da Informação estamos sempre falando de hábitos que dia após dia vão melhorando a segurança de um site e dificultando o acesso do invasor. Alguns destes hábitos eficazes pra diminuir uma invasão são:

1. manter sempre os softwares atualizados (WordPress, Joomla, Magento etc.) em suas últimas versões, bem como seus templates e plugins.
2. criar e trocar com frequência senhas fortes, que contenham pelo menos 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais (!@#$%ˆ&*), e não colocando palavras conhecidas ou fáceis de serem descobertas, melhor ainda que sejam totalmente aleatórias.
3. manter seu computador (principalmente se nele rodar o sistema operacional Windows em qualquer versão) limpo e longe de vírus, com verificações frequentes com bons antivírus (aquele antivírus gratuito nem sempre resolve).
4. nunca, jamais e sob qualquer hipótese salvar senhas no seu computador ou pedir para que o navegador/browser salve para futuros acessos.

Outra dica bastante importante é aliar estes hábitos ao plugin iThemes Security (antigo Better Security), que juntos podem operar verdadeiros milagres no quesito segurança.  Nós já falamos aqui sobre o Better Security e como levamos segurança a sério, mas existe uma outra coisa importante a se fazer pra livrar-se dos ataques de força bruta.

Mudando o endereço de login do WordPress

Quando você muda o endereço de login do WordPress, “tiramos o nosso da reta”. Ou seja, os ataques automatizados dos robôs passam a fazer pouca influência no nosso WordPress e aí terminamos de fechar a porta da frente dos nossos blogs.

Após instalado o plugin iThemes Security pelo próprio instalador de plugins do WordPress, você clica no menu Security.

Vai abrir esta janela. Na sequência em Settings.

Nesta página você vai ter todas as principais configurações de segurança do plugin, mas pode usar o menu Go To para ir até onde precisa de fato, que é selecionando o ítem Hide Login Area.

A tela pulará até a opção Enable the hide backend feature que deverá ser HABILITADA. Logo abaixo você preenche o novo nome da URL que dará acesso ao dashboard do seu WordPress, que antes era o famoso wp-admin (www.seudominio.com/wp-admin). Você pode escolher qualquer nome, mas sugiro que seja em português e que seja diferente dos padrões.

Feito isso você clica em Save All Changes, e muito provavelmente será necessário um novo login neste momento. E lembre-se de acessá-lo pelo novo endereço selecionado.

A partir de agora o bom e velho “wp-admin” resultará em um erro 404. E você saiu da rota de colisão com os brute-force attack. Fácil, né?