Proteger a página de login do WordPress é crucial para manter seu site seguro!
O WordPress estabelece uma série de configurações padrões que acabam sendo comuns/iguais para diversas instalações. Invasores sempre testam as plataformas usadas pelas vítimas e assim acabam conhecendo toda a estrutura padrão do site que pretendem atacar. Levando isso em consideração, qualquer invasor ou até mesmo usuário sabe que o endereço padrão para a página de login do WordPress é a site.com.br/wp-admin.
Também é possível fazer o acesso utilizando site.com.br/wp-login.php.
Este artigo visa apresentar uma série de práticas que podem te ajudar a proteger a tela de acesso ao painel administrativo do WordPress. O ideal é que você combine duas ou três práticas para alcançar um nível de segurança ainda maior.
Proteção padrão da KingHost
Por padrão, impedimos o acesso de qualquer IP externo, isto é, qualquer IP que não seja brasileiro. Quando acessado de um IP externo a página exibirá um erro chamado Forbidden. Isso pode acontecer até mesmo quando você mora no Brasil mas, por alguma razão, sua operadora de Internet precisou alterar a rota de rede e desviou o tráfego para um IP externo.
Tenha cuidado com nomes de usuários
Fuja das configurações padrões! Muitos sistemas usam o usuário admin como administrador do site. Altere para qualquer outro nome de usuário que, de preferência, não lembre nada pessoal seu. Inclusive, nunca use dados pessoais como datas e nomes de pessoas próximas para definir usernames e senhas.
Utilize uma senha segura
É essencial utilizar uma senha robusta cheia de caracteres especiais, números e letras (maiúsculas e minúsculas). Portanto quanto mais extensa e sem sentido, melhor é a sua senha. Para testar o quão segura é a sua senha, acesse: https://howsecureismypassword.net/.
Utilize certificado SSL
SSL é a sigla para Secure Socket Layer.
Como resultado, ele criptografa as informações enviadas e recebidas através do site, dando segurança para a transferência dos dados. Assim, elas ficam privadas, protegendo você e os visitantes dos seus sites de ações maliciosas. Confira uma série de informações sobre certificado no post Seu site com certificado SSL (HTTPS).
Evite ataques brute force
Na grande maioria das aplicações, os administradores costumam utilizar senhas bem fracas e fáceis de serem quebradas. Por esse motivo o ataque por força bruta costuma ser um dos mais utilizados pois ele trabalha testando milhares de combinações de senhas. Um bom jeito de evitar esse tipo de ataque é instalar algum plugin que limite o número de tentativas de login.
Sugestão de plugin: Limit Login Attempts Reloaded*
Altere o endereço padrão da página de login
Lembra o que falei lá no início? Que tal despistar qualquer ação de algum agente malicioso fugindo da estrutura padrão do WordPress? Podemos utilizar um plugin para isso também.
Sugestão de plugin: WPS Hide Login*
* Há outras configurações de segurança que você pode fazer e há diversos ótimos plugins que podem te ajudar, os comentados acima são somente sugestões.
Para saber mais sobre como proteger seu site WordPress, clique aqui! 😀