Com estas 7 medidas você pode fazer com que os Brute Forceataques não dêem em nada.

8 min.
Com pelo menos 4 bilhões de ataques individuais este ano, os Brute Forceataques são provavelmente a maior ameaça aos WordPress locais.
Última atualização em 10/07/2020

Com vários bilhões de ataques individuais por ano, os Brute Force ataques são provavelmente a maior ameaça aos WordPress locais. Felizmente, este tipo de ataque também é muito desajeitado e facilmente enganado. Vamos mostrar-lhe quatro medidas simples e rápidas contra ataques de hackers. E também três mecanismos de protecção mais complexos.

Só em Abril de 2017, o fornecedor de segurança Wordfence mais de um bilhão Brute Forcede ataques em WordPress -páginas contadas em todo o mundo. E este é apenas um valor aproximado - o número de casos não relatados é significativamente maior. Os ataques que tentam adivinhar automaticamente senhas e nomes de usuários representam assim um grande perigo para WordPress -páginas em todo o mundo. Mas não é só isso. Porque sobre 37,5 por cento dos 10 milhões de maiores sites actualmente geridos sob WordPress . E isso significa que a questão dos mecanismos de protecção eficazes para WordPress também afeta a Internet como um todo.

Se quer saber exactamente como funcionam os Brute Forceataques e como são perigosos, dê uma vista de olhos ao nosso Artigo de fundo sobre o tema Brute Forcedos ataques .

Apesar do seu grande número, há uma boa notícia: existem medidas de segurança úteis contra Brute Forceataques que você mesmo pode implementar sem muito esforço e, acima de tudo, sem conhecimentos de programação. E há medidas que requerem pelo menos algum conhecimento básico do arquivo .htaccess.

Estas são as sete medidas que estamos a discutir hoje:

  1. Senhas fortes (muito importante!)
  2. Não use "admin" como nome de usuário
  3. Número limite de logins inválidos
  4. Autenticação de Dois Fatores
  5. Login multinível
  6. Colocação na lista negra
  7. Ocultar área de login (é controverso)

1. Use uma senha forte

A senha forte é extremamente importante como protecção contra Brute Forceataques. Bots e botnets usam enormes bases de dados de senhas para os seus "jogos de adivinhação". Estes são tentados sem rodeios. Quanto mais incomum e difícil for a sua senha, mais provável é que ela não apareça neles.

Quanto mais longa e difícil for a sua senha, mais tempo levará para que os bots a descodifiquem se também tentarem adivinhar a senha sem uma lista.

Sua senha deve, portanto, conter várias combinações de caracteres do ...

  • 10 números diferentes (0 a 9)
  • 52 letras diferentes (de A a Z e de a a z)
  • 32 caracteres especiais diferentes ...

... e ter pelo menos 8 caracteres de comprimento.

O Password Manager Password Depot fornece alguns exemplos claros disso Cálculos de amostra Pronto. Assume-se aqui que um computador forte pode gerar dois mil milhões de palavras-passe por segundo. Em termos concretos:

  • Uma senha de 5 caracteres (3 letras minúsculas, 2 números) tem 60 466 176 combinações possíveis e pode ser quebrada em 0,03 segundos.
  • Uma senha com 8 caracteres (4 letras minúsculas, 2 caracteres especiais, 2 números) já tem 457 163 239 653 376 combinações possíveis. Aqui a calculadora precisa de cerca de dois dias e meio.
  • E uma senha de 12 caracteres (3 letras maiúsculas, 4 letras minúsculas, 3 caracteres especiais, 2 números) tem nada menos que 475 920 314 814 253 376 475 136 combinações possíveis. Um único computador leva 7,5 milhões de anos para decifrar esta senha.

Em WordPress -Codex para a criação de tais senhas a Plugin Forçar senhas fortes recomendado. Isto força os utilizadores a escolherem palavras-passe complexas. Embora isso Pluginnão torne o site diretamente mais seguro, ele educa os usuários a usar senhas fortes. E especialmente se você trabalha para um cliente, esta pequena ajuda pode ser muito prática.

Não precisa de se lembrar das palavras-passe!

Os gestores de senhas ajudam você a criar e gerenciar senhas seguras. Tudo o que você tem que fazer é lembrar uma senha mestra (claro que também a mais complexa). O programa faz o resto por si. Os computadores Apple já têm uma aplicação correspondente chamada "Keychain Management" instalada. Programas de gerenciamento de senhas baseados na nuvem como 1Password, LastPass ou KeyPass funcionam da mesma forma.

Por isso não tens de te lembrar de todas as tuas palavras-passe. Especialmente se você mantém mais de um site e usa uma variedade de serviços, a gestão profissional de senhas é uma bênção.

FREE DEV Programa RAIDBOXES

2. não use o nome de usuário "admin".

Como já mencionado: os Brute Forceataques são basicamente tentativas de adivinhação. Então você deve tornar o mais difícil possível para os hackers adivinharem o seu nome de usuário. Portanto, não use o de WordPress nome de usuário padrão "admin" - e, portanto, não use o que o sistema tem predefinido para você. Porque este nome de usuário também é válido para todos os outros WordPress -utilizador por defeito.

3. bloquear' a página de login após demasiadas tentativas falhadas

Brute Force Os ataques testam milhares e milhares de combinações de nomes de utilizador e palavras-passe. Ao contrário, isto significa que você gera milhares e milhares de tentativas de login para limitar.

Então o seu servidor está bem ciente de que algo está a acontecer. Com um Plugin você pode especificar que o acesso é bloqueado após um certo número de tentativas falhadas, por isso os hackers têm de colocar o seu ataque em espera. Você pode ativar essa proteção, por exemplo, através de um Plugin como Tentativas de Login Limite WP ou Tentativas de Limite de Login Recarregado implemento.

Cada WordPress instalação RAIDBOXES tem a função de limitar as tentativas de login, integrado como padrão. Se uma pessoa ou um bot tentar entrar no seu site demasiadas vezes com os dados de acesso errados, primeiro bloqueamos o respectivo IP durante 20 minutos. Se as tentativas de login continuarem com dados errados, o IP será bloqueado até mesmo por 24 horas. Naturalmente, você também pode definir o número de tentativas e o período de tempo para o qual o IP é bloqueado.

Limit Login Tentativas e Co. têm uma data de expiração

No entanto, há uma coisa importante a entender sobre issoPlugins: a limitação das tentativas de login de um endereço IP tem uma séria fraqueza. Ele não pode antecipar a mudança de um endereço IP. Isto significa que ataques com botnets, por exemplo, só podem ser evitados com um esforço justo ou não podem ser evitados de todo. Além disso, com a nova geração de endereços IP (os endereços IPv6), um único atacante pode mudar seu endereço IP em uma fração de segundo. Este facto aumenta o perigo representado pelos ataques de botnet.

E: Um grande número dos Brute Forceataques não devem ser meros jogos de adivinhação. Como mostra o cálculo na seção sobre senhas seguras, mesmo uma botnet com um milhão de dispositivos não consegue adivinhar senhas seguras. É por isso que muitos hackers trabalham com listas de senhas. Isto reduz o número de tentativas de login para as combinações possíveis da respectiva biblioteca de senhas.

Embora a limitação das tentativas de login por IP ainda faça sentido, a importância deste mecanismo de segurança irá diminuir rapidamente no futuro. O único mecanismo de protecção realmente seguro contra ataques com IPs em mudança é a autenticação de dois factores.

4. autenticação de dois fatores

A idéia por trás do conceito de autenticação de dois fatores é exigir uma segunda confirmação, além da senha, ao fazer o login. Este é normalmente outro código alfanumérico. O que há de especial é que é transmitido fora do procedimento de login real - por exemplo, através de um gerador de código ou de um telemóvel. E só o proprietário deste dispositivo é finalmente capaz de fazer o login.

Com o Google App Google Authenticator e um correspondentePlugin, a autenticação avançada pode ser WordPress implementada com relativa facilidade. Frequentemente utilizados são, por exemplo, os Plugins Autenticador Google por Hendrik Schack ou Autenticador Google da miniOrange.

Para adicionar a proteção de segurança extra, baixe o aplicativo do Google para o seu smartphone e instale-o Pluginem WordPress . Aqui é gerado um código QR, que você escaneia com o aplicativo. Alternativamente, você pode criar a conta manualmente. Agora o seu WordPress - conta de usuário e o aplicativo em seu telefone.

O aplicativo agora gera um novo código de segurança a cada 30 segundos. Cada utilizador para quem a autenticação de dois factores é activada vê agora a linha "Google Authenticator Code", para além de "Username" e "Password" na área de login. Para fazer login, eles precisam do smartphone no qual os códigos são gerados. Grandes plugins de segurança como, por exemplo, Wordfenceoferecem em parte um mecanismo semelhante.

O processo de dupla autenticação pode parecer complexo, mas do ponto de vista da segurança é uma óptima protecção contra Brute Forceataques. Especialmente em vista da mudança de endereços IPv4 para IPv6 mencionada anteriormente.

Senhas fortes, alterações de nome de usuário, tais Pluginscomo tentativas de Login Limitado e autenticação de dois fatores são medidas que você pode implementar facilmente, rapidamente e sem conhecimentos de programação. E acima de tudo, a autenticação adicional e senhas realmente fortes também protegem efetivamente contra Brute Forceataques.

Mas se quiseres, podes fazer mais. Você pode proteger sua área de administração WP com uma senha adicional, criar uma lista preta ou branca, ou criar sua Ocultar área administrativa do WP. No entanto, todas estas medidas tendem a não oferecer mais segurança, mas devem ser vistas como opções ou alternativas.

5. proteção adicional por senha

Se você usar o seu WordPress -página em um servidor Apache, você tem a opção de executar um procedimento de login multinível sem Pluginter que implementar um procedimento de login multinível. Porque cada WordPress -instalação em um servidor Apache contém um arquivo chamado .htaccess. Neste arquivo você pode adicionar código para autenticação HTTP adicional para adicionar proteção por senha à página de login. O servidor já requer uma senha para que os visitantes possam acessar a página de login.

# Proteger o wp-login
AuthUserFile ~/.htpasswd
 AuthName "Acesso privado".
 AuthType Básico
 requer mysecretuser do usuário

Com este comando, um pedido de senha é criado antes mesmo que a área wp-admin possa ser acessada. Aqui você digita um nome de usuário e senha adicionais para acessar a área de login. Os dados para o usuário adicional devem ser definidos no arquivo .htpasswd. Para este fim, o nome de usuário e a senha devem ser inseridos no arquivo de forma criptografada. O WordPress -Codex explica como este processo basicamente funciona.

ebook: Meça o desempenho do seu site como um profissional

6. Lista negra e lista branca

Por falar em .htaccess: Com este arquivo, você pode implementar mais uma poderosa proteção Algumas linhas de código garantem que apenas determinados IPs tenham acesso ao painel WordPress de controle ou a diretórios individuais.

Para fazer isso, você tem que adicionar um .htaccess adicional com o seguinte código no diretório apropriado - de preferência wp-admin:

# Bloquear acesso a wp-admin.
 negar a ordem, permitir
 permitir a partir de x.x.x.x.x
 negar de todos

x.x.x.x.x.x você tem que substituir pelos IPs que devem ter acesso ao site, é claro. O exemplo mostra uma lista branca, uma lista de IPs que são permitidos a acessar a página. Assim, a página de login é bloqueada para todos os outros IPs. A propósito, a ordem dos comandos - "permitir" seguido de "negar" - é extremamente importante porque eles são executados em ordem. Se "negar de todos" vier primeiro, você também estará na frente de portas trancadas.

Uma lista negra implementaria o mecanismo exactamente oposto: Ele determinaria quais IPs não são permitidos a acessar o site. É claro que existem soluções de plugin para ambos. Por exemplo, os conhecidos plug-ins de segurança, tais como Segurança All In One WP, Wordfence ou Sucuricada um com uma função de lista negra ou lista branca. No entanto, deve ser notado Pluginsque estes três podem fazer muito mais do que criar listas negras ou listas brancas. Portanto, você não deve instalá-los exclusivamente para estas funções. Uma alternativa popular aqui seria o Plugin Loginizerque actualmente tem mais de 500.000 instalações activas.

7. esconder a área de registo

Brute Force Os ataques atacam a sua página de login. Uma forma muito simples de evitar estes ataques é impedir que os atacantes entrem sequer na sua página de login. Para este efeito, alguns webmasters escondem a página de login. A área de login é então apenas acessível através de um URL secreto.

Esta medida segue o princípio (controverso) Segurança através da Obscuridade e não é, por si só, uma medida de segurança significativa. Nós não RAIDBOXES somos grandes amigos deste princípio. Porque se você implementar as medidas acima mencionadas, você já garantiu sua área de login muito bem e não precisa movê-la adicionalmente. No entanto, esta medida pode contribuir para a percepção da segurança, que pode ser especialmente importante para a percepção dos seus clientes.

Se você quiser área de ocultar wp-admin você pode usar um dos grandes plugins de segurança (que, como eu disse, oferecem muitos mais recursos). Ou podes experimentar um destes popularesPlugins:

Como dito anteriormente: Na nossa opinião, esconder o administrador do wp não é uma medida sensata - pelo menos para não proteger o seu site de Brute Force ataques. Se você escolheu uma senha forte e implementou um método sensato de exclusão de IP ou autenticação de dois fatores, então você tem o risco de um Brute Force Ataque já significativamente reduzido.

Conclusão

Com uma quota de mercado actual de mais de 32%, é WordPress de longe o maior CMS a nível mundial. Isto provavelmente não vai mudar no futuro. O Probabilidade de se tornar o alvo de um Brute Forceataque é, portanto, puramente matematicamente, extremamente elevado. Você deve estar ciente disso. Felizmente, você também pode se proteger deles muito facilmente. Porque algumas medidas, ou seja, senhas seguras e autenticação de dois fatores, podem ser implementadas em poucos momentos e completamente sem conhecimento de programação.

E você também Pluginspode implementar as medidas supostamente mais difíceis, tais como listas negras ou brancas, uma proteção adicional de senha ou mecanismo de bloqueio para a área de login. Portanto, se você considerar apenas os primeiros três ou quatro pontos deste posto, você já está bem protegido contra Brute Forceataques. Claro que você pode sempre fazer mais, ou seja, criar uma proteção adicional por senha ou estabelecer listas negras ou brancas. Mas em tais casos você deve considerar se os mecanismos de segurança adicionais valem realmente a pena, especialmente no que diz respeito ao esforço da administração.

Como administrador de sistemas, Tobias vigia a nossa infra-estrutura e encontra todas as formas possíveis para optimizar o desempenho dos nossos servidores. Devido aos seus incansáveis esforços, ele é frequentemente Slack encontrado à noite.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .