Protegendo o Wordpress contra Ataques de Força Bruta (Brute Force).

Proteger a página de login do WordPress é crucial para manter seu site seguro! Descubra deste artigo como solucionar de uma vez por todas esses problemas de ataques em seu wp-login.php!

Gustavo Luppi por Gustavo Luppi dia

Protegendo o Wordpress contra Ataques de Força Bruta (Brute Force).

Lista VIP Rapid Cloud

Entre para nossa lista VIP e receba vídeo aulas, artigos e tutoriais exclusivos e com prioridade

  QUERO ENTRAR

O WordPress estabelece uma série de configurações padrões que acabam sendo comuns/iguais para diversas instalações. Invasores sempre testam as plataformas usadas pelas vítimas e assim acabam conhecendo toda a estrutura padrão do site que pretendem atacar. Levando isso em consideração, qualquer invasor ou até mesmo usuário sabe que o endereço padrão para a página de login do WordPress que é a site.com.br/wp-admin. Também é possível fazer o acesso utilizando site.com.br/wp-login.php.

Recentemente tivermos relátos de vários clientes com problemas de performance em seus ambientes de hospedagem. Em nossa análise inicial, identificamos que se tratava de um ataque de brute force, também conhecido como força bruta. Este ataque faz milhares de tentativas na página de login do seu WordPress com objetivo de descobrir o padrão de sua senha, comprometendo toda sua plataforma. A falha já começa justamente pela página de login, que por padrão não possui nenhuma proteção de limite de tentativas ou qualquer captcha que valide o usuário real. O outro problema é que este ataque acaba por indisponibilizar o seu serviço, principalmente se for uma hospedagem compartilhada. O tempo que sua plataforma se manterá online vai depender da quantidade de recursos disponíveis para responder as requisições de login solicitadas pelo ataque.

Nós passamos uma semana toda buscando plugins, alternativas e soluções para acabar com este problema. Alguns plugins que mudam a URL de login do Wordpress pareciam resolver no começo, porem rapidamente o ataque era direcionado a nova URL. Nós chegamos a conclusão que precisaríamos utilizar uma camada antes que o ataque chegasse ao servidor, devido a quantidade de requisições recebida, independente da solução, o serviço continuaria a ficar indisponível. 

A solução basicamente é a utilização de uma CDN + Firewall + Captcha. Este conjunto garante que seu Wordpress estará totalmente protegido contra os bots de brute force. Eu sei que pode parecer complicado resolver este problema, mas não é! E eu vou te mostrar agora como fazer.

O primeiro passo é adicionar o seu site no CloudFlare, temos um artigo na base de conhecimento que mostra como fazer este proceidmento. Confira: https://ajuda.rapidcloud.com.br/apps-and-software/adicionar-site-ao-cloudflare Este artigo mostra como adicionar seu site ao CloudFlare diretamente pelo cPanel em nossos planos de hospedagem, mas você pode fazer isso diretamente no site do CloudFlare caso não tenha este recurso em sua hospedagem: www.cloudflare.com 

Neste ponto, precisamos que seu site esteja configurado no CloudFlare e totalmente propagado, caso contrário a solução não irá funcionar. Acesse sua conta no CloudFlare e clique no menu Firewall:

Protegendo o Wordpress conta Ataques de Força Fruta (Brute Force).

Nesta nova tela, clique no submenu Firewall Rules e em seguida Create a Firewall rule:

Protegendo o Wordpress conta Ataques de Força Fruta (Brute Force).

Configure a regra da seguinte forma e clique em Deploy para finalizar:

Protegendo o Wordpress conta Ataques de Força Fruta (Brute Force).

A regra basicamente irá verificar se a URI contem WP-ADMIN ou se a URI contem WP-LOGIN.PHP, se HOUVER ele irá solicitar o CHALLENGE que nada mais é do que um captcha avançado do CloudFlare.

Como a solicitação do captcha vem da CDN (CloudFlare) os recursos do seu ambiente de hospedagem serão poupados, e só chegará até ao wp-admin os usuários que passagem pelo captcha, ou seja, o ataque não irá conseguir passar.

Espero que este rápido artigo lhe poupe dias de dores de cabeça e problemas, além da perca de dinheiro com sua plataforma fora do ar! Se isso lhe ajudou, compartilhe com a comunidade para que mais devs saibam como é simples resolver este problema.

  • Compartilhe esse post
  • Compartilhar no Facebook00
  • Compartilhar no Google Plus00
  • Compartilhar no Twitter

Deixe seu comentário aqui:

X

Informe seus dados de acesso a Central do Cliente nos campos abaixo:

E-mail de Acesso: *
Senha: *
X

Entre para nossa Lista VIP e Receba conteúdos semanalmente

Entre para nossa Lista VIP e Receba conteúdos semanalmente

  Clique Aqui

Nossos Clientes

+ de 1000 projetos e cases de sucesso utilizam nossa infraestrutura

Upinside Treinamentos Windersson Nunes Ocana Digital Agency Neppo - Soluções em TI Padre Fábio de Melo Diário de Olimpia Ceteb Felipe Neto

Parceiros

Juntos somos mais fortes! Parceiros que somam para entregarmos a excelência

cPanel
Lite Speed
CloudLinux OS
OVH - Innovation For Freedom
Imunify 360
CloudFlare