Importante: Suporte: como entrar em contato ou pedir ajuda »

WordPress: como se proteger de Ataques de Força Bruta (ou Brute Force Attack)

| 09 de Maio de 2014

Venho falando há alguns dias para alguns clientes sobre os Brute Force Attacks, ou ataques de força bruta, que têm acontecido de forma descontrolada mundo afora e um dos alvos é o próprio sistema WordPress. Por ser talvez o CMS mais usado no mundo, de pequenos blogs até grandes portais, esta ferramenta atrai com certeza o maior número de robôs que tentam a todo custo uma invasão.

Como funcionar o Ataque de Força Bruta?

Um ataque de força bruta nada mais é que um bot ou uma rede de bots (robôs) que tentam pelo método “tentativa e erro” acertar a sua senha. Conseguindo o acesso ele captura a sua senha e volta mais tarde através de uma invasão, de certa forma pela porta da frente do seu site.

brute-force-attack-tela

Este é um relatório de logs do servidor durante um ataque de força bruta. Cada linha desta tela representa um bot/botnet tentando acertar a senha de um WordPress.

Da parte dos provedores de hospedagem há recursos e ferramentas disponíveis para que se atenuem estas tentativas, geralmente bloqueando os IPs que tentam e erram mais de uma vez esta senha. Mas com a quantidade de computadores infectados e conexões ativas e sempre estabelecidas disponíveis para ajudar nos ataques, fica quase que impossível que algumas tentativas sejam feitas.

E neste caso que entram as senhas fracas, quanto menos fortes são as senhas criadas para acesso ao seu site e mais fáceis são os nomes de usuários, mais rapidamente alguém vai conseguir infectá-lo.

Mas como prevenir-se de Ataques de Força Bruta?

Antes de mais nada, quando tratamos de Segurança da Informação estamos sempre falando de hábitos que dia após dia vão melhorando a segurança de um site e dificultando o acesso do invasor. Alguns destes hábitos eficazes pra diminuir uma invasão são:

  1. manter sempre os softwares atualizados (WordPress, Joomla, Magento etc.) em suas últimas versões, bem como seus templates e plugins.
  2. criar e trocar com frequência senhas fortes, que contenham pelo menos 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais (!@#$%ˆ&*), e não colocando palavras conhecidas ou fáceis de serem descobertas, melhor ainda que sejam totalmente aleatórias.
  3. manter seu computador (principalmente se nele rodar o sistema operacional Windows em qualquer versão) limpo e longe de vírus, com verificações frequentes com bons antivírus (aquele antivírus gratuito nem sempre resolve).
  4. nunca, jamais e sob qualquer hipótese salvar senhas no seu computador ou pedir para que o navegador/browser salve para futuros acessos.

Outra dica bastante importante é aliar estes hábitos ao plugin iThemes Security (antigo Better Security), que juntos podem operar verdadeiros milagres no quesito segurança.  Nós já falamos aqui sobre o Better Security e como levamos segurança a sério, mas existe uma outra coisa importante a se fazer pra livrar-se dos ataques de força bruta.

Mudando o endereço de login do WordPress

Quando você muda o endereço de login do WordPress, “tiramos o nosso da reta”. Ou seja, os ataques automatizados dos robôs passam a fazer pouca influência no nosso WordPress e aí terminamos de fechar a porta da frente dos nossos blogs.

Após instalado o plugin iThemes Security pelo próprio instalador de plugins do WordPress, você clica no menu Security.

brute-force-attack-plugin1

Vai abrir esta janela. Na sequência em Settings.

brute-force-attack-plugin2

Nesta página você vai ter todas as principais configurações de segurança do plugin, mas pode usar o menu Go To para ir até onde precisa de fato, que é selecionando o ítem Hide Login Area.

brute-force-attack-plugin3

A tela pulará até a opção Enable the hide backend feature que deverá ser HABILITADA. Logo abaixo você preenche o novo nome da URL que dará acesso ao dashboard do seu WordPress, que antes era o famoso wp-admin (www.seudominio.com/wp-admin). Você pode escolher qualquer nome, mas sugiro que seja em português e que seja diferente dos padrões.

Feito isso você clica em Save All Changes, e muito provavelmente será necessário um novo login neste momento. E lembre-se de acessá-lo pelo novo endereço selecionado.

A partir de agora o bom e velho “wp-admin” resultará em um erro 404. E você saiu da rota de colisão com os brute-force attack. Fácil, né?

Deixe seu comentário: