Já ouviu falar de ladrões tentando entrar em uma casa trancada testando várias chaves diferentes? É basicamente assim que funciona um ataque de força bruta em sites WordPress. Os atacantes visam usuários com senhas de administrador fracas para forçar o acesso. Se você está se perguntando como chegamos a esse ponto, vamos explicar. Há algumas versões, o WordPress usava um nome de usuário padrão chamado 'admin' para seus usuários. Os atacantes exploram essas contas testando diferentes senhas associadas ao mesmo nome de usuário e conseguindo acesso a tudo que lhes dê permissão.
Como prevenir ataques de força bruta contra o WordPress?
- O primeiro passo a ser tomado seria alterar seu nome de usuário, caso ainda esteja usando 'admin', e adotar um nome mais exclusivo. Isso elimina a possibilidade de você estar na categoria vulnerável que os atacantes tentam identificar automaticamente. Além disso, essa é a medida mais eficaz que você pode tomar para se proteger contra esse tipo de ataque.
- Não use senhas fracas! Claro, '123456' é fácil de lembrar, mas também lembra a ideia de entregar as chaves de casa para um ladrão conhecido. Se você não consegue pensar em algo difícil, use geradores de senhas para criar uma senha forte e difícil de adivinhar. O WordPress também facilita a visualização da força das suas senhas com um medidor que aparece quando você está criando uma.
- Mantenha o WordPress e o software do seu computador atualizados e certifique-se de ativar a autenticação de dois fatores se estiver usando o WP.com. Isso o alertará se uma tentativa de acesso estiver vindo de um dispositivo/região diferente do seu.
- Se você perceber que suas páginas administrativas estão difíceis de acessar e lentas, entre em contato com seu provedor de hospedagem. Eles poderão orientá-lo da melhor forma.
- Utilize uma ferramenta adicional ou um plugin que limite o número de tentativas de login. Se o seu site não exige que várias pessoas façam login, você pode até adicionar plugins que bloqueiem qualquer tentativa (exceto a sua) de acesso ao painel de administração do WordPress (wp-admin).
- Se você já foi vítima de ataques como esses e percebeu um padrão nos endereços IP ou regiões de onde os ataques se originam, pode adicionar uma camada extra de proteção. Isso pode ser feito criando uma "lista de bloqueio" com os endereços IP que estão tentando acessar seu site a partir dessas regiões. Infelizmente, ao fazer isso, você também bloqueará alguns usuários legítimos que desejam acessar seu site.
