Com estas 7 medidas você deixa que os ataques do Brute Force fiquem no vazio.

Tobias Schüring Última atualização em 20.10.2020
8 min.
Com pelo menos 4 bilhões de ataques individuais este ano, os ataques Brute Force são provavelmente a maior ameaça aos sites WordPress .
Última atualização em 20.10.2020

Com vários bilhões de ataques individuais por ano, os ataques Brute Force são provavelmente a maior ameaça aos sites WordPress . Felizmente, este tipo de ataque também é muito desajeitado e fácil de enganar. Vamos mostrar-lhe quatro medidas simples e rápidas contra os ataques dos hackers. E também três mecanismos de protecção mais complexos.

Só em abril de 2017, o provedor de segurança Wordfence contou commais de um bilhão de ataques Brute Force em sites WordPress em todo o mundo. E isso é apenas uma aproximação - o número de casos não relatados é significativamente maior. Isto significa que os ataques, que automaticamente tentam adivinhar senhas e nomes de usuários, representam uma grande ameaça para os sites WordPress em todo o mundo. Mas não é só isso. Mais de 37,5 por cento dos 10 milhões de maiores sites actualmente geridos em WordPress . E isso significa que a questão dos mecanismos de proteção eficazes para WordPress também diz respeito à Internet como um todo.

Se você quer saber exatamente como funcionam os ataques do Brute Force e como eles são perigosos, confira nosso artigo de fundo sobre ataques do Brute Force .

Apesar do seu grande número, há uma boa notícia: há medidas de segurança sensatas contra ataques do Brute Force que você mesmo pode implementar sem muito esforço e, acima de tudo, sem conhecimentos de programação. E há medidas que requerem pelo menos um conhecimento básico do arquivo .htaccess.

Estas sete medidas são o tema do debate de hoje:

  1. Senhas fortes (muito importante!)
  2. Não use "admin" como nome de usuário
  3. Limitar o número de logins inválidos
  4. Autenticação de dois fatores
  5. Login multinível
  6. Colocação na lista negra
  7. Ocultar área de login (é controverso)

1. Use uma senha forte

Uma senha forte é extremamente importante como proteção contra ataques do Brute Force . Bots e botnets usam enormes bases de dados de senhas para os seus "jogos de adivinhação". Estes são testados sem rodeios. Quanto mais incomum e difícil sua senha, maior a probabilidade de que ela não apareça nela.

Quanto mais longa e difícil for a sua senha, mais tempo os bots vão demorar a descobrir se eles também tentarem adivinhar a senha sem uma lista.

Portanto, a sua senha deve conter várias combinações de caracteres do ...

  • 10 números diferentes (0 a 9)
  • 52 letras diferentes (de A a Z e de a a z)
  • 32 caracteres especiais diferentes ...

... e ter pelo menos 8 caracteres de comprimento.

O Passwort-Depot do gerenciador de senhas fornece alguns exemplos ilustrativos de cálculo. Aqui assume-se que um computador forte pode gerar dois mil milhões de palavras-passe por segundo. Em termos concretos, isto significa:

  • Uma senha composta de 5 caracteres (3 letras minúsculas, 2 números) tem 60 466 176 combinações possíveis e pode, portanto, ser quebrada em 0,03 segundos.
  • Uma senha com 8 caracteres (4 letras minúsculas, 2 caracteres especiais, 2 números) já tem 457 163 239 653 376 combinações possíveis. Aqui a calculadora precisa de cerca de dois dias e meio.
  • E uma senha composta de 12 caracteres (3 letras maiúsculas, 4 letras minúsculas, 3 caracteres especiais, 2 números) tem um surpreendente 475 920 314 814 253 376 475 136 combinações possíveis. Um único computador leva 7,5 milhões de anos para decifrar esta senha.

O códiceWordPress recomenda o Plugin Force Strong Passwords para a criação de tais senhas. Isto força os utilizadores a escolherem palavras-passe complexas de forma apropriada. Assim, este Plugin não torna os sites diretamente mais seguros, mas educa os usuários a usar senhas fortes. E especialmente se você estiver trabalhando em nome de um cliente, esta pequena medida pode ser muito prática.

Não precisa de se lembrar das palavras-passe!

Os gestores de senhas ajudam você a criar e gerenciar senhas seguras. Tudo que você tem que fazer é lembrar uma senha mestra (o mais complexa possível, é claro). O programa faz o resto por si. Os computadores Apple já têm um aplicativo chamado "Keychain Manager" instalado. Programas de gerenciamento de senhas baseados em nuvem, como 1Password, LastPass ou KeyPass, funcionam da mesma forma.

Para não teres de te lembrar de todas as tuas palavras-passe. Especialmente se você administra mais de um site e usa uma variedade de serviços, uma gestão profissional de senhas é uma benção.

2. não use o nome de usuário "admin

Como já mencionado: Brute Force ataques são basicamente tentativas de adivinhação. Portanto, você deve tornar o mais difícil possível para os hackers adivinharem o seu nome de usuário. Portanto, não utilize o nome de utilizador "admin" predefinido por WordPress - e portanto não utilize aquele que o sistema tem predefinido para si. Este nome de usuário também é, naturalmente, o padrão para todos os outros usuários WordPress .

3. bloquear a página de login após demasiadas tentativas falhadas

Brute Force Ataques testam milhares e milhares de combinações de nomes de usuário e senhas. Ao contrário, isto significa que geram milhares e milhares de tentativas de login para limitar.

O seu servidor vai notar que algo está a acontecer. Com um Plugin apropriado você pode definir que o acesso é bloqueado após um certo número de tentativas fracassadas, de modo que os hackers têm de colocar o seu ataque em espera. Você pode implementar esta proteção com um Plugin como Tentativas de Login com Limite de WP ou Tentativas de Login com Limite Recarregado.

Em RAIDBOXES , cada instalação WordPress tem a função de limitar as tentativas de login integradas por padrão. Se uma pessoa ou um bot tentar entrar no seu site demasiadas vezes com os dados de acesso errados, bloqueamos inicialmente o IP em questão durante 20 minutos. Se as tentativas de login com dados falsos continuarem, o IP será bloqueado até mesmo por 24 horas. Naturalmente, você também pode definir você mesmo o número de tentativas e o período de bloqueio.

Limit Login Tentativas e Co. têm uma data de expiração

Entretanto, há uma coisa importante a entender sobre isso Plugins : limitar as tentativas de login de um endereço IP tem uma falha séria. Ele não pode antecipar a mudança de um endereço IP. Isto significa que os ataques de botnet, por exemplo, só podem ser defendidos contra os maus resultados, se é que podem ser. Com a nova geração de endereços IP (endereços IPv6), um único atacante também pode mudar seu endereço IP em frações de segundo. Este facto aumenta o perigo representado pelos ataques de botnet.

E: Um grande número dos ataques do Brute Force não devem ser meros jogos de adivinhação. Como mostra o cálculo na seção sobre senhas seguras, mesmo uma botnet com um milhão de dispositivos não consegue adivinhar senhas seguras. É por isso que muitos hackers trabalham com listas de senhas. Isto reduz o número de tentativas de login para as combinações possíveis da respectiva biblioteca de senhas.

Embora a limitação das tentativas de login por IPainda faça sentido, a importância deste mecanismo de segurança irá diminuir rapidamente no futuro. O único mecanismo de protecção verdadeiramente seguro contra ataques com IPs em mudança é a autenticação de dois factores.

4. autenticação de dois fatores

A idéia por trás do conceito de autenticação de dois fatores é exigir uma segunda confirmação, além da senha, ao fazer o login. Este é normalmente outro código alfanumérico. O que há de especial nisso é que ele é transmitido fora do processo de login real - por exemplo, através de um gerador de código ou de um telefone celular. E apenas o proprietário deste dispositivo é capaz de entrar no sistema.

Com a aplicação Google Authenticator e o correspondente Plugin , a autenticação ampliada pode ser implementada com relativa facilidade para WordPress . Utilizados frequentemente são, por exemplo, o Plugins Google Authenticator de Hendrik Schack ou o Google Authenticator de miniOrange.

Para instalar a proteção de segurança adicional, baixe o aplicativo Google para o seu smartphone e instale o Plugin em WordPress . Um código QR é agora gerado aqui, que você escaneia com o aplicativo. Alternativamente, você pode criar a conta manualmente. Agora a sua conta de utilizador WordPress e o aplicativo estão ligados no seu telemóvel.

O aplicativo agora gera um novo código de segurança a cada 30 segundos. Todo usuário para o qual a autenticação de dois fatores está ativada agora verá a linha "Google Authenticator Code" ao lado de "Username" e "Password" na área de login. Então, para entrar, ele precisa do smartphone no qual os códigos são gerados. Grandes plugins de segurança como o Wordfence oferecem um mecanismo semelhante em alguns casos.

O processo de dupla autenticação pode parecer complexo, mas de um ponto de vista de segurança é uma boa salvaguarda contra ataques do Brute Force . Especialmente tendo em conta a mudança de endereços IPv4 para IPv6, já mencionada.

Senhas fortes, mudança de nome de usuário, Plugins como Tentativas de Login Limitado e autenticação de dois fatores são medidas que você pode implementar facilmente, rapidamente e sem conhecimentos de programação. E o mais importante, autenticação adicional e senhas verdadeiramente fortes também protegem efetivamente contra ataques do Brute Force .

Mas se quiseres, podes fazer ainda mais. Você pode proteger sua área de administração WP com uma senha adicional, criar uma lista negra ou lista branca, ou até mesmo esconder sua área de administração WP. No entanto, todas estas medidas tendem a não oferecer mais segurança, mas sim a ser entendidas como opções ou alternativas.

5. proteção adicional por senha

Se você executar seu site WordPress em um servidor Apache, você tem a possibilidade de introduzir um procedimento de login multinível sem Plugin . Isto porque cada instalação WordPress em um servidor Apache contém um arquivo chamado .htaccess. Neste arquivo você pode armazenar o código para uma autenticação HTTP adicional para adicionar outra proteção de senha à página de login. O servidor requer uma senha para deixar os visitantes passarem até a tela de login.

# Proteger o wp-login
AuthUserFile ~/.htpasswd
 AuthName "Acesso privado
 AuthType Básico
 requer mysecretuser do usuário

Com este comando, uma consulta de senha é gerada antes mesmo que a área wp-admin possa ser acessada. Aqui você digita um nome de usuário e senha adicionais para acessar a área de login. No entanto, os dados para o usuário adicional devem ser definidos no arquivo .htpasswd. Para isso, o nome de usuário e a senha devem ser adicionados ao arquivo de forma criptografada. O códiceWordPress explica basicamente como este processo funciona.

6. Lista negra e lista branca

Por falar em .htaccess: Você pode implementar outra proteção poderosa com este arquivo. Algumas linhas de código garantem que apenas determinados IPs tenham acesso ao painel de controle WordPress ou a diretórios individuais.

Para fazer isso, você armazena um .htaccess adicional com o seguinte código no diretório apropriado - de preferência wp-admin:

# Bloquear acesso a wp-admin. 
 negar a ordem, permitir
 permitir a partir de x.x.x.x.x
 negar de todos

x.x.x.x.x deve, naturalmente, ser substituído pelos IPs que devem ter acesso à página. O exemplo mostra uma lista branca, ou seja, uma lista de IPs que são permitidos a acessar a página. Isto significa que a página de login é bloqueada para todos os outros IPs. A propósito, a ordem dos comandos - "permitir" seguido de "negar" - é extremamente importante, pois eles são executados em ordem. Se "negar de todos" vier primeiro, você também será confrontado com portas fechadas.

Uma lista negra implementaria o mecanismo exactamente oposto: Ele determinaria quais IPs não são permitidos a acessar a página. É claro que também existem soluções de plugin para ambos. Por exemplo, os conhecidos plugins de segurança, como o All In One WP Security, Wordfence ou Sucuri, cada um oferece uma lista negra ou uma função de lista branca. No entanto, deve ser notado que estes três Plugins podem, naturalmente, fazer muito mais do que apenas criar blaklists, ou whitelists. Portanto, você não deve instalá-los exclusivamente para estas funções. Uma alternativa popular seria Plugin Loginizer, que atualmente conta com mais de 500.000 instalações ativas.

7. ocultar a área de login

Brute Force Os ataques atacam a sua página de login. Uma maneira muito simples de evitar estes ataques é impedir que os atacantes acessem sua página de login em primeiro lugar. Para este fim, alguns webmasters escondem a máscara de login. A área de login é então apenas acessível através de um URL secreto.

Esta medida segue o princípio (controverso) da segurança através da obscuridade e não é, por si só, uma medida de segurança significativa. Nós em RAIDBOXES não somos grandes amigos deste princípio. Se você implementar as medidas acima, você já garantiu sua área de login muito bem e não precisa movê-la adicionalmente. No entanto, esta medida pode contribuir para a percepção da segurança, que pode ser especialmente importante para a percepção dos seus clientes.

Se você quiser esconder sua área wp-admin, você pode usar um dos grandes plugins de segurança (que oferecem muitos mais recursos). Ou você pode tentar um destes populares Plugins :

Como dissemos: Na nossa opinião, esconder o wp-admin não é uma medida sensata - pelo menos para não proteger o seu site dos ataques do Brute Force . Se você escolheu uma senha forte e implementou um procedimento sensato de exclusão de IP ou autenticação de dois fatores, então você já reduziu significativamente o risco de um ataque bem sucedido Brute Force .

Conclusão

Com uma quota de mercado actual de mais de 32%, WordPress é de longe o maior CMS a nível mundial. É pouco provável que isto mude no futuro. A probabilidade de se tornar o alvo de um ataque Brute Force é, portanto, puramente matemática, extremamente alta. Você tem que estar ciente disso. Felizmente, você também pode se proteger deles muito facilmente. Porque algumas medidas, ou seja, senhas seguras e autenticação de dois fatores, podem ser implementadas em poucos momentos e completamente sem conhecimento de programação.

E mesmo as medidas supostamente mais difíceis, como a criação de uma lista negra ou lista branca, uma proteção adicional de senha ou mecanismo de bloqueio para a área de login podem ser implementadas com Plugins . Portanto, se você apenas seguir os primeiros três ou quatro pontos deste post, você já está bem protegido contra ataques do Brute Force . É claro que você pode sempre fazer mais, ou seja, criar proteção adicional por senha ou criar listas negras ou listas brancas. Mas nesses casos, você deve avaliar se os mecanismos de segurança adicionais valem realmente a pena, especialmente no que diz respeito ao esforço da administração.

Como administrador do sistema, Tobias zela pela nossa infraestrutura e faz os ajustes necessários para otimizar o desempenho dos nossos servidores. Devido ao seu esforço incansável, ele pode ser frequentemente encontrado na Slack, a nossa "sala de chat da empresa".

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.