Os ataques de força bruta acontecem quando hackers tentam acessar os arquivos do seu site tentando constantemente novas senhas. Se tiverem sucesso, poderão roubar seus dados privados, adicionar malware ou até mesmo derrubar completamente seu site.
Felizmente, você pode facilmente evitar esses ataques de força bruta. Com a atualização das suas informações de login ou a habilitação da autenticação de dois fatores, você pode dificultar a entrada de hackers em seu site. Outro método eficaz é instalar um plug-in de proteção contra força bruta como o Jetpack.
Aqui nesse artigo, iremos te explicar o que são os ataques de força bruta e como você pode evitá-los.
O que é um ataque de força bruta?
Os ataques de força bruta acontecem quando hackers usam tentativa e erro para acessar seu site. Isso geralmente envolve adivinhar suas informações de login usando algum software automatizado. Essencialmente, os hackers tentarão muitas combinações diferentes de senhas e nomes de usuário até encontrarem a sua.
Outras formas de hacking geralmente exploram vulnerabilidades no seu site WordPress. Por exemplo, os hackers podem acessar seus dados por meio de software, plugins ou temas desatualizados. Mesmo uma versão antiga do PHP pode deixar seu site vulnerável.
Por outro lado, os ataques de força bruta dependem de credenciais de login fracas. Se você tiver uma senha facilmente adivinhada como “123456”, os hackers podem usar um software automatizado para entrar no seu site.
Ataques de força bruta são mais comuns do que você imagina. Na verdade, eles estão se tornando uma ameaça maior do que nunca. No final de 2021, a taxa de ataques de força bruta aumentou 160 por cento.
As principais consequências de um ataque de força bruta ao seu site são:
- Roubo de dados privados
- Adição de malwares ao seu site
- Diminuição da sua credibilidade e/ou classificações de pesquisa
- Remoção completa do conteúdo do seu site.
As consequências desses ataques podem ser de fato brutais, e embora as configurações padrão do WordPress não ofereçam proteção extra contra ataques desse tipo, existem algumas medidas que podem ser tomadas para evitar que isso aconteça.
Como evitar ataques de força bruta no WordPress
Agora que você já sabe o que são os ataques de força bruta, vamos discutir como proteger seu site WordPress contra eles.
Etapa 1: Atualize seu nome de usuário
Como os ataques de força bruta envolvem a adivinhação de informações de login, você pode proteger seu site WordPress atualizando suas credenciais. Primeiro, considere escolher um nome de usuário exclusivo.
Nas versões mais antigas do WordPress, o nome de usuário padrão era “admin”.
Agora, novos titulares de contas podem escolher seus nomes de usuário ao fazer login pela primeira vez. Mas pode ser necessário atualizar seu nome de usuário se tiver uma conta mais antiga.
Para ver qual é o seu nome de usuário atual, abra o painel do WordPress. Em seguida, navegue até Usuários → Perfil. Você encontrará seu nome de usuário na seção Nome.
Se você já possui um nome de usuário exclusivo, pule para as próximas etapas.
Mas se você vir admin como seu nome de usuário, o mais seguro é alterá-lo.
Infelizmente, você não poderá editar seu perfil diretamente no painel.
Uma das maneiras mais simples de alterar seu nome de usuário do WordPress é criar um novo usuário. Em seguida, você pode atribuir a ele um nome de usuário exclusivo e os mesmos privilégios administrativos. A única desvantagem desse método é que você terá que usar um novo endereço de e-mail.
Primeiro, vá para Usuários → Adicionar novo. Nesta página, crie um novo nome de usuário e insira seu endereço de e-mail. Certifique-se de definir a função do usuário como Administrador.
Uma dica interessante: Caso queira utilizar o mesmo endereço de e-mail, você pode simplesmente adicionar um sinal de mais com letras adicionais após o nome de usuário.
Por exemplo, se o seu endereço de e-mail normal for “[email protected]”, você pode usar “[email protected]”. O WordPress considerará este um novo endereço de e-mail, mas usará a mesma caixa de entrada.
Em seguida, você precisará sair do WordPress e usar o novo nome de usuário para fazer login novamente. Em seguida, vá para →Todos os usuários e em seguida clique em Excluir abaixo da função de usuário admin.
Durante o processo de exclusão, você precisará mover seu conteúdo para o novo nome de usuário. Para fazer isso, selecione →Atribuir todo o conteúdo a [novo nome de usuário]. Muita atenção nessa etapa, pois ela é uma etapa crítica, onde seu conteúdo poderá ser deletado.
Finalmente, clique em →Confirmar exclusão. Se quiser começar a usar o mesmo endereço de e-mail atribuído ao nome de usuário admin, você pode atualizá-lo agora.
Se quiser alterar seu nome de usuário existente, você precisará fazer isso por meio do banco de dados do WordPress. Atenção: Fazer alterações no banco de dados pode ser perigoso, então é melhor fazer isso se você já tiver experiência nessa área.
Para alterar seu nome de usuário, siga as seguintes etapas:
→ Clique na ferramenta phpMyAdmin no CPanel do seu provedor de hospedagem (a localização exata pode variar de acordo com seu host).
→ Clique no banco de dados do seu site WordPress no painel esquerdo. Isso abrirá as tabelas do seu banco de dados.
→ Clique na tabela wp_users. O prefixo “wp_” é definido por padrão, mas seu host pode tê-lo alterado para outro. Por exemplo, a tabela pode ser chamada de “janb_users”.
→ Encontre o nome de usuário que você deseja alterar no lado direito (nesse caso, “Admin”) e clique em Editar.
→ No campo user_login , digite o novo nome de usuário que deseja definir.
→ Clique no botão Ir.
Pronto, agora você pode fazer login com o novo nome de usuário!
Etapa 2: Escolha uma senha forte
Outra forma de proteger seu site contra ataques de força bruta é usar uma senha forte. Como os hackers usam botnets (redes de robôs) para adivinhar senhas aleatoriamente, pode ser útil ter uma com uma sequência exclusiva de números e letras.
Estas são as características de uma senha forte:
- Tem entre 10 e 50 caracteres
- Mesclar letras maiúsculas e minúsculas
- Utilizar números e caracteres especiais
- Ser diferente das senhas usadas para outras contas ou sites
Para atualizar sua senha do WordPress, navegue até Usuários → Perfil. Em seguida, role para baixo até Gerenciamento de contas.
Em seguida, clique em Definir nova senha. Depois de fazer isso, o WordPress irá gerar automaticamente uma senha forte para você. Esta será uma credencial complexa e difícil de adivinhar. Você pode usar esta senha ou criar a sua própria. Conforme você digita, o WordPress indicará quão forte ou fraca é sua nova senha.
Para garantir que sua nova senha seja segura e aleatória, você pode usar um gerador de senha. Esta ferramenta pode criar automaticamente uma senha com letras maiúsculas e minúsculas, bem como números e símbolos.
Depois de colar sua nova senha na caixa de texto, vá até o final da página. Clique em Atualizar perfil para salvar suas alterações.
Para proteção máxima contra ataques de força bruta, considere alterar sua senha do WordPress a cada quatro meses.
Etapa 3: Adicionar autenticação de dois fatores
Quando você faz login no seu site WordPress com apenas uma senha, isso é chamado de autenticação em etapa única. Você também pode implementar a autenticação em duas etapas ou de dois fatores.
Com a autenticação em duas etapas, você fornecerá duas formas de verificação para fazer login no seu site. Nessa configuração, além de digitar a sua senha, você também deverá confirmar sua identidade via SMS ou outro dispositivo.
Existem muitos plugins que facilitam a adição da autenticação segura ao seu site, e o passo a passo vai depender do plugin escolhido, mas de forma geral essa configuração é bastante simples e intuitiva dentro dos plugins.
Etapa 4: Instalar um plugin de proteção contra ataques de força bruta
Depois de seguir algumas etapas básicas para proteger sua página de login, você também pode se beneficiar com a instalação de um plugin de proteção contra força bruta. A ferramenta certa pode bloquear automaticamente ataques de força bruta antes que eles afetem seu site.
Ao tentar escolher o melhor plugin para proteção contra força bruta, você deve manter alguns fatores em mente.
Existem alguns critérios para a escolha desse plugin, aqui estão alguns recursos básicos que você deve procurar em um plugin de proteção contra força bruta:
- Tentativas de login limitadas
- Autenticação de dois fatores
- Firewall
- Lista de bloqueio de endereços IP
Além disso, muitos plugins de proteção contra força bruta fornecem segurança geral para o seu site. Alguns deles não apenas evitam ataques de força bruta, mas também realizam verificações de malware, criam backups automáticos e verificam spam.
Em resumo, a segurança do seu site WordPress é uma prioridade crucial considerando o cenário digital atual. Os ataques de força bruta representam uma ameaça real, mas com essas quatro etapas importantes que mencionamos, você pode fortalecer significativamente a proteção do seu site. Essas são medidas eficazes para garantir a segurança online do seu site. Lembre-se de que a prevenção é sempre mais eficaz do que lidar com as consequências prejudiciais de um ataque bem-sucedido.
Portanto, invista algum tempo e esforço para fortalecer a segurança do seu site.
No nosso próximo artigo iremos trazer 4 das melhores opções de plugins de proteção para o seu site, não deixe de nos acompanhar.
