Última atualização em 20 de junho de 2024 por Jérôme Kerviel

Limitar as tentativas de login no WordPress é fundamental para aumentar a segurança do seu site. Aqui está um guia passo a passo sobre como fazer isso:

Embora o WordPress em si seja uma plataforma segura, isso não torna seu site imune a invasões. Um dos ataques mais comuns é o de hackers humanos ou bots que tentam forçar a entrada na sua página de login, tentando várias combinações de nome de usuário e senha até que algo funcione. Para evitar que eles tenham sucesso, você pode usar um plug-in do WordPress para limitar as tentativas de login.

Ao restringir o número de tentativas de um IP específico em um determinado período de tempo, você pode bloquear tentativas de acesso excessivas, aumentando a segurança.

Esta publicação o guiará na configuração desse recurso de segurança com um plug-in gratuito, discutindo suas vantagens e desvantagens. Vamos mergulhar de cabeça!

1. Use um plug-in de segurança

Uma das maneiras mais fáceis de limitar as tentativas de login é usar um plug-in de segurança. Plug-ins como WordfenceO iThemes Security, o iThemes Security ou o Limit Login Attempts Reloaded oferecem recursos robustos para proteger seu site.

Passos:

• Instale e ative o plug-in de sua escolha.
• Navegue até as configurações do plug-in.
• Configure os limites de tentativas de login de acordo com sua preferência (por exemplo, bloquear um IP após três tentativas fracassadas).

por exemplo, Instalar o "Limite de tentativas de login recarregado" plugin

Para a maioria dos usuários, um plug-in de limite de tentativas de login do WordPress é a melhor opção para restringir as tentativas de login. Há várias opções de qualidade, mas recomendamos o plug-in gratuito Limit Login Attempts Reloaded porque ele é:

• Ele oferece uma versão gratuita.
• Popular - ativo em mais de 2 milhões de sites, de acordo com WordPress.org.
• Bem avaliado - 98%.
• Fácil de usar.

Depois que o plug-in for ativado, você poderá abri-lo, e ele o levará ao painel do plug-in. É aqui que você tem uma visão geral abrangente, incluindo o número total de tentativas de login com falha das últimas 24 horas e um painel de configurações.

Etapa 2: Personalizar as configurações do plug-in

Em primeiro lugar, vá até o site "Configurações". É uma boa ideia começar selecionando a área "Conformidade com o GDPR" logo na parte superior. Isso exibirá uma mensagem de segurança na página de login do administrador do WordPress, mantendo as coisas transparentes. Além disso, considere ativar a opção "Notificação de bloqueio". Ao fazer isso, você será informado por e-mail sempre que alguém tentar e não conseguir fazer login muitas vezes, sendo que o limite para "muitas tentativas de login" fica inteiramente a seu critério.

Abaixo disso, o "Aplicativo localA seção " permite ajustar as regras relacionadas às tentativas de login, incluindo a configuração do número de tentativas permitidas antes do bloqueio, a duração do bloqueio de um usuário após várias tentativas fracassadas e a especificação da duração e do aumento dos bloqueios para infratores persistentes.

Se não tiver certeza de qual deve ser a configuração correta, você pode usar com segurança os números padrão.

Não há necessidade de ajustar os dados encontrados no "Origens de IP confiáveis", então vá em frente e clique em "Salvar configurações". Para testar se o plug-in funciona, basta acessar a página de login do seu site e inserir as informações de login incorretas. Será exibida uma mensagem informando que foram inseridas credenciais de login incorretas, bem como quantas tentativas ainda restam. Um e-mail também será enviado ao seu endereço de e-mail informando sobre as tentativas fracassadas. Obviamente, você também pode verificar as tentativas de login com falha em seu painel:

Quais são os benefícios de limitar as tentativas de login?

Nem todas as técnicas de segurança são adequadas para todos os sites, e essa tem vantagens e desvantagens em potencial. Vejamos os benefícios de limitar as tentativas de login:

• Isso evita que humanos e bots automatizados possam tentar centenas (ou milhares) de combinações de nome de usuário/senha até encontrarem a correta.
• Um bloqueio temporário geralmente é suficiente para impedir um ataque, pois o hacker ou bot passará para o próximo alvo provável.
• A maioria dos seus usuários legítimos precisará apenas de uma única tentativa de login, ou talvez de algumas tentativas se esquecerem ou digitarem incorretamente suas credenciais.

E quanto às desvantagens?

Implementação de um plugin do wordpress que limita as tentativas de login tem seus desafios. Considere as seguintes desvantagens:

• Adição de um plug-in ao seu site. Embora esse plug-in seja muito leve, isso pode afastar os proprietários de sites que desejam manter o número de plug-ins baixo (por motivos de segurança ou desempenho).
• Obviamente, a desvantagem é que, de vez em quando, um usuário genuíno pode ter dificuldade para fazer login e ser bloqueado.

2. Configurar o arquivo .htaccess

Para aqueles que se sentem confortáveis com a codificação e têm acesso ao sistema de arquivos do servidor, modificar o .htaccess é uma maneira eficaz de limitar as tentativas de login e proteger seu Site do WordPress de ataques de força bruta. Os .htaccess é um poderoso arquivo arquivo de configuração usado pelo servidor da Web Apache para controlar várias configurações do servidor, inclusive as configurações de segurança. Aqui está um guia detalhado sobre como configurar seu .htaccess para limitar as tentativas de login:

Etapas para modificar o arquivo .htaccess:

1. Acesse os arquivos do seu site

• Usando o cliente FTP:
  • Faça o download e instale um cliente FTP (como o FileZilla).
  • Conecte-se ao servidor do seu site usando suas credenciais de FTP.
  • Navegue até o diretório raiz de sua instalação do WordPress, normalmente denominado public_html ou similar.
• Usando o painel de controle da hospedagem:
  • Faça login no painel de controle de sua hospedagem na Web (como o cPanel).
  • Use a ferramenta Gerenciador de arquivos para navegar até o diretório raiz de seu site WordPress.

2. Backup do arquivo .htaccess

Antes de fazer qualquer alteração, é fundamental criar um backup de seu .htaccess para garantir que você possa restaurá-lo se algo der errado.

• Faça o download do .htaccess em seu computador local usando seu cliente FTP ou o Gerenciador de arquivos do painel de controle de hospedagem.

3. Editar o arquivo .htaccess

Abra o .htaccess usando um editor de texto (como o Notepad++ ou o editor integrado no painel de controle da sua hospedagem).

4. Adicionar código para limitar as tentativas de login

Adicione o seguinte trecho de código ao arquivo .htaccess para limitar as tentativas de login:

<IfModule mod_rewrite.c>
RewriteEngine Em
RewriteBase /
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000$
RewriteCond %{REMOTE_ADDR} !^111\.222\.333\.444$
RewriteCond %{REMOTE_ADDR} !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

Explicação do código:

• RewriteEngine On: Habilita o mecanismo de reescrita em tempo de execução.
• RewriteBase /: Define o URL de base para reescritas por diretório.
• RewriteCond %{REQUEST_METHOD} POST: Aplica a regra somente a solicitações POST (que são usadas para tentativas de login).
• RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: Aplica a regra a solicitações de wp-login.php arquivo.
• RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Exclui endereços IP específicos da regra. Substituir 123.456.789.000 com os endereços IP reais que você deseja permitir o acesso. Adicione o máximo de RewriteCond linhas conforme necessário para cada IP permitido.
• RewriteRule ^(.*)$ - [F,L]: Nega o acesso (retorna um status 403 Forbidden) e impede que outras regras sejam processadas.

5. Salvar e fazer upload do arquivo

• Salvar as alterações no .htaccess arquivo.
• Faça o upload do arquivo modificado de volta para o servidor usando o cliente FTP ou salve-o diretamente se estiver usando o editor do painel de controle de hospedagem.

6. Teste as alterações

• Tente fazer login no seu site WordPress a partir de um endereço IP não permitido para garantir que a regra esteja funcionando corretamente. Você deve receber um erro 403 Forbidden.
• Verifique se você ainda pode fazer login a partir dos endereços IP permitidos.

Dicas adicionais:

• Coloque seu IP na lista de permissões: Certifique-se sempre de que seu endereço IP esteja na lista de permissões do .htaccess para evitar que você fique bloqueado.
• Endereços IP dinâmicos: Se o seu endereço IP muda com frequência, considere usar uma VPN com um IP estático ou um serviço como o DynDNS para manter o acesso.
• Atualizações regulares: Revisar e atualizar periodicamente o .htaccess para garantir que ele atenda à sua segurança necessidades e acomoda quaisquer alterações nos endereços IP.

Modificação do .htaccess O arquivo para limitar as tentativas de login é um método robusto e flexível para aumentar a segurança do seu site WordPress. Embora exija algum conhecimento técnico, o processo é simples e oferece uma camada adicional de proteção contra tentativas de acesso não autorizado. Lembre-se sempre de fazer backup de seu .htaccess antes de fazer alterações e faça um teste completo para garantir que o site permaneça acessível a usuários autorizados.

 

Conclusão

Mesmo que não seja estritamente necessário, optar por instalar um plug-in para limitar as tentativas de login é uma etapa inteligente e proativa para proteger seu site WordPress. É um pequeno investimento do seu tempo que compensa ao fortalecer seu site contra ataques de força bruta - uma tática favorita entre os hackers que têm como alvo a generosa base de usuários do WordPress.

Além disso, a modificação do .htaccess O uso de um arquivo para limitar as tentativas de login é um método robusto e flexível para aumentar a segurança do seu site. Embora essa abordagem exija algum conhecimento técnico, o processo é simples e oferece uma camada extra de proteção contra tentativas de acesso não autorizado. Lembre-se sempre de fazer backup de seu .htaccess antes de fazer alterações e faça testes minuciosos para garantir que o site permaneça acessível a usuários autorizados. A combinação de ambos os métodos, usando um plug-in e configurando o .htaccess pode oferecer segurança abrangente para seu site WordPress.