Como proteger seu site de ataques de força bruta do WordPress?
· Время на чтение: 13mínimo · por
·
Publicados
· Atualizada
Ouça este artigo
Ataque de força bruta ou (ataque de força bruta) WordPress suprimido mesmo antes do ataque ser bem-sucedido. Muitos administradores de sites veem seus recursos de servidor se esgotarem rapidamente, seus sites não respondem ou até travam completamente, resultando no banimento de usuários reais. O problema é que você pode se sentir impotente quando os bots de força bruta obstruem a página de login tentando acessar seu wp-admin.
Mas você não está desamparado. Se você está vendo várias tentativas de login com falha para o mesmo usuário, possivelmente de vários endereços IP, você veio ao lugar certo. Neste artigo, explicarei como é um ataque de força bruta no WordPress e como proteger seu site dele.
O conteúdo do artigo:
- O que é um ataque de força bruta do WordPress?
- Como proteger seu site de ataques de força bruta do WordPress?
- Impacto de um ataque de força bruta no WordPress
- Elimine os efeitos da iteração do WordPress
- Seu site é vulnerável a ataques de força bruta?
- Tipos de ataques de força bruta
- Outras práticas recomendadas de segurança
- Conclusão
O que é um ataque de força bruta do WordPress?
Ataque de força bruta WordPress são tentativas de obter acesso não autorizado ao seu wp-admin tentando diferentes combinações de nomes de usuário e senhas. Os hackers desenvolveram bots que bombardeiam continuamente a página de login com credenciais por tentativa e erro.
Os bots costumam tentar uma série de senhas de dicionário e, portanto, também são conhecidos como ataques de dicionário ou ataques de adivinhação de senha. Os ataques podem ser configurados para se originarem de diferentes endereços IP e, assim, contornar as medidas básicas de segurança. Existem outros tipos de ataques de força bruta, que discutirei mais adiante neste artigo.
O objetivo de um ataque de força bruta é obter acesso ao seu wp-admin e, em seguida, instalar malware em seu site.
Como proteger seu site de ataques de força bruta do WordPress?
É assustador experimentar um ataque de força bruta, especialmente porque parece que não há nada que você possa fazer para pará-lo. Além disso, os efeitos do ataque são imediatamente visíveis. A maioria dos sites tem recursos de servidor limitados que se esgotam rapidamente e, muitas vezes, o site atacado cai completamente.
Felizmente, há muito que você pode fazer para evitar ataques de força bruta no WordPress. Aqui está uma lista de etapas de força bruta do WordPress que bloquearão a maioria dos ataques e mitigarão os piores.
1. Limite o número de tentativas de login
A melhor maneira de parar um ataque de força bruta do WordPress é limitar o número de tentativas de login. Se a senha errada for inserida muitas vezes na página de login, a conta será bloqueada temporariamente. Isso bloqueia a eficácia do bot de força bruta, pois ele usa tentativa e erro para adivinhar as credenciais. Além disso, como o bot não pode tentar vários milhares de combinações, nenhuma solicitação é enviada ao servidor e nenhum recurso é gasto na atividade do bot.
Por padrão, o WordPress permite um número ilimitado de tentativas de login, por isso é principalmente suscetível a ataques de força bruta. Com plug-ins de segurança, você pode ativar automaticamente as restrições de proteção de login.
Na verdade, se um usuário esqueceu legalmente sua senha, ele pode resolver um captcha para contornar facilmente o bloqueio. Assim, limitar as tentativas de login evita que os bots de força bruta se infiltrem sem afetar negativamente os usuários reais.
2. Bloqueie bots ruins e indesejados
Os ataques de força bruta quase sempre são executados por bots. Bots são pequenos programas projetados para executar uma tarefa simples repetidamente, tornando-os ideais para ataques de força bruta. O bot tentará várias credenciais na página de login até encontrar uma correspondência.
Além disso, mais de 25% de todo o tráfego do site vem de bots, então existem muitos sistemas de segurança que protegem contra bots. No entanto, há uma distinção importante a ser feita aqui: nem todos os bots são ruins. Existem alguns bons, como outros rastreadores de mecanismos de pesquisa e bots de monitoramento de tempo de atividade.
Você deseja que eles possam acessar seu site, por isso é importante obter proteção contra bots que bloqueie de forma inteligente apenas bots ruins e indesejados. Existem muitos plugins anti-bot como All In One WP Security e Wordfence Security, mas por padrão eles bloqueiam todos os bots, incluindo o Googlebot.
3. Instale um firewall de aplicativo da web
A proteção de login é proteção contra ataques de força bruta, enquanto o firewall é proteção contra todos os tipos de ataques; inclusive força bruta.
Os firewalls usam regras para bloquear o tráfego malicioso e fazem muito para proteger seu site. Além disso, os firewalls mitigam um dos problemas mais sérios dos ataques de força bruta – sobrecarga excessiva nos recursos do servidor – bloqueando solicitações inválidas repetidas.
Os ataques de força bruta geralmente são configurados para atacar de vários endereços IP e, portanto, podem ignorar a maioria dos firewalls. No entanto, com um firewall, seu site se torna parte da proteção global de propriedade intelectual. O firewall aprende quais endereços IP são maliciosos com base no comportamento registrado em mais de 153.470 sites e bloqueia ativamente o tráfego deles. Essas medidas reduzem muito a quantidade de tráfego ruim para o seu site antes mesmo que o bot possa hackear a página de login do seu site.
4. Adicionar autenticação de dois fatores ao WordPress
Nomes de usuário e senhas podem ser adivinhados, então a autenticação de dois fatores – ou mesmo a autenticação multifator – surgiu como uma forma de ter elementos dinâmicos para autenticação do usuário. Com a autenticação de dois fatores, um token de login em tempo real, como um código OTP ou QR, é transferido para o dispositivo do usuário. Ele tem uma vida útil limitada, geralmente em torno de 10 a 15 minutos, e só pode autenticar o usuário para essa sessão.
Um token adicional é difícil de hackear além do login e senha. Portanto, adiciona outra camada de segurança à página de login. Você pode instalar um plug-in como o WP 2FA para adicionar facilmente a autenticação de dois fatores ao seu site.
5. Use senhas fortes e únicas
A maior falha de segurança é o próprio usuário e, consequentemente, as senhas por ele definidas. As senhas são a maior vulnerabilidade em qualquer sistema de segurança devido à (compreensível) tendência humana de definir senhas fáceis de lembrar e reutilizá-las para contas diferentes. Na verdade, esses são dois problemas de senha separados e diferentes.
- Primeiro, nunca reutilize senhas para contas diferentes. Muitos bots de força bruta usam senhas roubadas devido ao vazamento de dados para atacar páginas de login.
- Em segundo lugar, como você entende, uma senha como "senha" é muito fácil de adivinhar. Use no mínimo 12 caracteres sem sentido ou, melhor ainda, use uma frase secreta como senha.
Eu recomendo usar um gerenciador de senhas como LastPass ou 1Password para evitar a reutilização de senhas e criar senhas fortes conforme necessário. Se você suspeitar que uma conta foi comprometida, pode forçar a redefinição de todas as senhas.
6. Desative o XML-RPC no WordPress
Um arquivo XML-RPC é outra maneira de autenticar usuários. Em outras palavras, é uma maneira alternativa de acessar seu painel de administração, portanto, também é suscetível a ataques de força bruta. Este é um arquivo amplamente obsoleto que não é usado ativamente por muitos plugins ou temas. Ele ainda está incluído no WordPress para compatibilidade com versões anteriores e, portanto, é relativamente seguro desativá-lo.
7. Verifique e exclua regularmente contas de usuário não utilizadas
As contas inativas costumam ser alvo de hackers porque há uma chance de os usuários não perceberem se suas contas foram invadidas. Além disso, as contas inativas têm as mesmas senhas por longos períodos de tempo, facilitando a força bruta.
Portanto, verifique regularmente as contas de usuário e exclua aquelas que não são usadas ativamente. Para ganhar pontos extras, certifique-se de que cada conta tenha os direitos mínimos de usuário necessários para gerenciar sua conta. Por exemplo, é imprudente tornar todos administradores.
8. Considere o bloqueio geográfico no WordPress
Se você vir muito tráfego de bots de um lugar, poderá bloquear todo o país. No entanto, aconselho cautela ao usar o bloqueio geográfico. Isso só é útil se você não espera nenhum usuário legítimo do local.
Além disso, lembre-se de que isso pode manter bons bots fora dessa região. Por exemplo, o Googlebot pode ser executado em qualquer um de seus servidores no mundo e você definitivamente deseja que o Googlebot acesse seu site.
9. Desative a navegação no diretório
Por padrão, a maioria das principais pastas e arquivos do WordPress são acessíveis publicamente por meio do navegador. Por exemplo, você pode inserir yourwebsite.ru/wp-includes na barra de endereços do navegador e todo o conteúdo da pasta ficará imediatamente visível.
Embora a navegação no diretório não seja uma vulnerabilidade em si, ela pode revelar informações sobre um site que, por sua vez, pode ser usada para explorar vulnerabilidades.
A pasta /wp-content contém plugins e temas, e se um hacker puder ver quais estão instalados e seus números de versão, eles podem encontrar e explorar vulnerabilidades. Este é um tipo menos popular de ataque de força bruta chamado ataque de força bruta. Portanto, como medida de precaução, faz sentido desativar totalmente a navegação no diretório.
Soluções que você pode aprender em outro lugar, mas não devem implementar em seu site
Há muitos conselhos de segurança bem-intencionados, mas muito ruins, por aí. Então, além dessa lista do que fazer, vou listar também o que não fazer.
- Proteja o diretório wp-admin com uma senha: não faça isso de jeito nenhum. Aparece em quase todos os artigos sobre prevenção de força bruta. A senha que protege o diretório wp-admin quebrará o AJAX para usuários não registrados, restringindo o acesso ao arquivo admin-ajax.php. AJAX é freqüentemente usado para suportar os aspectos dinâmicos de sites. Digamos que você tenha uma barra de pesquisa em seu site. Se um visitante o usar para pesquisar produtos, apenas os resultados da pesquisa serão recarregados, não o site inteiro. Isso economiza muitos recursos e acelera e melhora muito a experiência do usuário nos sites. Você também verá muitas soluções alternativas para excluir o arquivo admin-ajax.php, mas elas nem sempre funcionam sem problemas. O ponto principal é que o esforço que as soluções alternativas implicam não reflete um nível de segurança proporcional. Portanto, este é um grande passo para um pequeno benefício extra.
- mudança de url de login wp: essa dica costuma ser encontrada em artigos sobre como fortalecer a segurança do WordPress. No entanto, desaconselho alterar o URL de login, pois é quase impossível recuperá-lo se for perdido. (a menos, é claro, que você tenha anotado, em um pedaço de papel guardado em um cofre)
- Evite usar admin como nome de usuário: como os bots de força bruta tentam efetivamente adivinhar combinações de nome de usuário/senha, faz sentido evitar nomes de usuário óbvios como admin. O WordPress não permite que você altere os nomes de usuário no painel de controle, portanto, você precisará instalar um plug-in para fazer isso. No entanto, essa medida tem valor limitado e aconselho você a não gastar muito tempo e esforço nela. Existem outras maneiras de recuperar nomes de usuários de certos tipos de sites, como sites de associação. O esforço necessário para ter nomes de usuário exclusivos para os membros, aplicar a política e lidar com as consequências inevitáveis de as pessoas esquecerem seus nomes de usuário exclusivos não vale o benefício limitado.
Impacto de um ataque de força bruta no WordPress
Existem duas maneiras de pensar sobre as consequências de um ataque de força bruta. Primeiro, o que acontece durante o ataque e, segundo, o que acontece se o ataque for bem-sucedido.
Normalmente, a primeira pergunta não surge com frequência em ataques porque há pouco ou nenhum impacto no site enquanto ele está sendo atacado. As consequências tornam-se aparentes após um ataque bem-sucedido. No entanto, isso não se aplica a ataques de força bruta.
O que acontece quando seu site é forçado?
Você verá um impacto imediato nos recursos do servidor. Como o ataque está bombardeando sua página de login com solicitações, o servidor deve responder a cada uma delas. Portanto, você verá todas as consequências de aumentar o uso do servidor em seu site: site mais lento, alguns usuários não conseguem fazer login, tempo de inatividade, indisponibilidade e assim por diante. Os hosts da Web também são rápidos em limitar o uso do servidor, pois isso afetará seu desempenho, especialmente se você estiver usando hospedagem compartilhada.
O que acontece se um ataque de força bruta for bem-sucedido?
Se o ataque for bem-sucedido, você pode esperar malware ou algum tipo de corrupção. Existem vários motivos pelos quais os hackers desejam acessar seu site, e nenhum deles é bom.
Se isso não for suficiente, seu site pode se tornar parte de um botnet e ser usado para atacar outros sites sem o seu consentimento. Isso pode ter sérias consequências, pois outros sistemas de segurança marcam seu site como malicioso se ele fizer parte de uma botnet.
Elimine os efeitos da iteração do WordPress
Se um ataque de força bruta foi bem-sucedido, você deve presumir o pior: seu site foi comprometido. Portanto, sua primeira prioridade é proteger seu site. Aqui estão os principais passos que você deve seguir para limitar os danos:
- Forçar o logout de todos os usuários e alterar todas as senhas;
- Analise seu site em busca de malware imediatamente.
Depois de garantir que seu site esteja livre de malware, siga as etapas de prevenção listadas acima.
Seu site é vulnerável a ataques de força bruta?
Sim, todos os sistemas são vulneráveis a ataques de força bruta. Devido à forma como funcionam, os ataques de força bruta podem ser lançados contra qualquer sistema com uma página de login. Sites WordPress não são diferentes. A popularidade do WordPress o torna um alvo para hackers.
- Primeiro, porque a maior parte da internet é desenvolvida com WordPress.
- Em segundo lugar, porque alguns aspectos do WordPress são bem conhecidos.
Em um exemplo particularmente relevante para ataques de força bruta, o WordPress não restringe tentativas de login inválidas. Você pode corrigir isso com o recurso de restrição de login com plugins de segurança.
Além disso, muitos proprietários de sites tendem a usar nomes de usuário e senhas fáceis de lembrar. Os mais comuns incluem admin como nome de usuário e password1234 ou 12345678 como senha. Esses fatores tornam seu site vulnerável a ataques de força bruta.
Tipos de ataques de força bruta
Os ataques de força bruta são diferentes de outros tipos de ameaças e ataques, como ataques de engenharia social ou ataques XSS. Ataques de engenharia social, como phishing, manipulam as pessoas para que compartilhem suas credenciais, representando uma pessoa confiável, enquanto ataques XSS exploram vulnerabilidades em um site. Os ataques de força bruta dependem de credenciais fracas ou roubadas para serem bem-sucedidos.
Você verá diversas variedades de ataques de força bruta na natureza. Todos seguem o mesmo padrão de tentativa e erro, mas as credenciais que tentam ou o mecanismo que usam podem ser diferentes. Aqui estão alguns dos tipos mais comuns de ataques de força bruta:
- Ataques simples: ataques simples de força bruta usam a lógica para adivinhar as credenciais com base no conhecimento do usuário, como nomes de animais de estimação ou aniversários obtidos, por exemplo, em sites de redes sociais.
- Preenchendo as credenciais: esse tipo de ataque explora dados hackeados com base na suposição de que os usuários tendem a usar os mesmos nomes de usuário e senhas em vários sistemas.
- ataque de dicionário: como o nome sugere, esses bots usam arquivos de dicionário para senhas. Pode ser um dicionário real ou especialmente criado para adivinhar uma senha.
- Ataques de mesa de arco-íris: semelhante a um ataque de dicionário, uma tabela de arco-íris é um tipo especial de lista de dicionário. Em vez de uma lista de senhas, a Rainbow Table contém uma lista de senhas com hash.
- Pulverização de senha: Este tipo de ataque é logicamente um ataque de força bruta. Em ataques típicos de força bruta, o alvo é um nome de usuário específico e o jogo de adivinhação é jogado com uma senha. Por outro lado, na pulverização de senhas, uma lista de senhas é verificada em vários nomes de usuário para encontrar uma possível correspondência. Este é um ataque mais distribuído do que direcionado.
Como administrador do site, talvez você não precise saber as diferenças entre os diferentes tipos de ataques de força bruta. No entanto, esses termos são frequentemente usados de forma intercambiável, por isso é útil ter uma compreensão dos mecanismos subjacentes.
Outras práticas recomendadas de segurança
Prevenir ataques de força bruta no WordPress é um grande objetivo, mas é apenas parte da segurança do site. Aqui estão algumas dicas importantes para ajudar a proteger seu site contra malware:
- Instale um plug-in de segurança com um bom scanner e limpador de malware;
- Mantenha tudo atualizado (tema, plugins, wp);
- Use backups diários.
Conclusão
Os ataques de força bruta podem derrubar um site, mesmo que não sejam bem-sucedidos. A melhor maneira de lidar com essa ameaça em potencial é instalar um firewall com proteção integrada contra bots.
Mesmo que um ataque de força bruta seja bem-sucedido, o firewall o ajudará a detectar rapidamente o malware e removê-lo. Como acontece com todas as infecções, a ação rápida limitará bastante os danos.
Lendo este artigo:
Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP
