Segurança para WordPress
Uma maneira de descobrir qualquer senha é a conhecida força bruta. O método faz milhões (ou até mesmo bilhões) de tentativas por segundo até descobrir a senha que bate com determinado sistema que será acessado, neste caso o WordPress.
Imagine uma porta, e 1000 chaves, uma das chaves abre a porta, para descobrir qual é a chave você deve tentar todas as possibilidades, dessa forma funciona o brute force.
Ataques de força bruta tem o trabalho de calcular todas as combinações possíveis que poderiam fazer uma senha e testando para ver se é a senha correta. Dependendo do comprimento da senha atual, a quantidade de tempo em média para encontrar a senha correta aumenta exponencialmente.
Isto significa que, geralmente, senhas curtas podem ser descobertas muito rapidamente, mas senhas mais longas podem levar décadas.
Existe vários ataques de força bruta contra o WordPress (wp-login.php), vindos de uma grande quantidade de endereços IP de Computadores, Servidores e IOT comprometidos espalhados por todo o mundo.
Cerca de 90.000 servidores, computadores e IOT invadidos tentam sem parar, diariamente adivinhar o nome de usuário e senhas para entrar no painel de admin do WordPress. Muitas vezes, isso pode causas lentidão no seu site, pois geralmente são executadas várias combinações de senha sem parar. Dependendo da complexidade da sua senha pode demorar 1 dia, ou até 1 ano.
Esse problema não é apenas para Brasil Cloud, na verdade afeta vários provedores.
Os servidores de hospedagem de sites da Brasil Cloud oferecem o mod_security, porém usar apenas ele não é eficaz.
Algumas recomendações para garantir a segurança e aumentar a velocidade do seu site WordPress:
Lista de vulnerabilidades de Segurança do WordPress
Fique sempre de olho nas vulnerabilidades do WordPress usando o site abaixo:
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
Mesmo com o melhor servidor de hospedagem, caso o WordPress ou qualquer plugin do mesmo tenha uma falha ou vulnerabilidade, o serviço de hospedagem não será capaz de proteger seu site.
Use uma senha forte
Total de pelo menos 8 caracteres.
Mistura de letras maiúsculas e minúsculas.
Números, pontuação ou outros caracteres não-alfanuméricos.
Mude o usuário WordPress admin
Ao instalar o WordPress por padrão o usuário administrador tem o nome de usuário de admin.
Os ataques botnet têm como alvo este nome de usuário padrão, portanto, mesmo tendo um nome de usuário do administrador de admin123, pode reduzir as possibilidades de o ataque descobrir sua senha.
Atualizar tudo, Sempre
Para se proteger de qualquer conhecidas façanhas para WordPress, você deve atualizar tudo relacionado ao WordPress com frequência (o wordpress, plugins, themes, etc).
Não Utilizar nenhum plugin pago baixado em sites de pirataria.
Não utilizar nenhum plugin que não tenha atualizações dos últimos 3 meses, pois dessa forma ele já não esta sendo atualizado pelo criador (abandonado).
Como proteger o diretório Admin do WordPress (wp-admin) contra Botnet e Brute-Force
Você provavelmente está pensando que o diretório wp-admin esta protegido por senha. Já que é necessário fazer o login, certo? Bem, isso é verdade, mas é bom adicionar uma camada extra de autenticação
Acesse seu cPanel. Clique no ícone “Privacidade do diretório” ou “Password Protect“.
Será exibido todas as pastas da sua conta. Clique no ícone para abrir uma pasta. Clique no nome para selecionar uma pasta.
Logo abaixo você deve cadastrar o usuário e senha:
Como corrigir o problema com wp-ajax.php
Abra o arquivo .htaccess localizado no seu /wp-admin.
No arquivo .htaccess, cole o seguinte código:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Compartilhe:
