Ocultar WP Admin: Popular, incómodo e pouco eficaz

Tobias Schüring Última atualização em 20.10.2020
9 min.
couro de administração de wp
Última atualização em 20.10.2020

Quase todos sabem como alcançar a barreira de login na área administrativa em WordPress por padrão. Como mais de 34% de todos os sites funcionam com WordPress , é fácil para os hackers encontrar e atacar as áreas de login desses sites. É exactamente por isso que os hacks correspondentes, tais como os ataques Brute Force , estão entre os mais comuns os ataques mais frequentes aos sites WordPress . Uma simples medida de protecção parece ser a ocultação da área administrativa do WP. Hoje vou mostrar-vos como esta técnica é útil e como a podem implementar.

Brute Force Os ataques são provavelmente o tipo de ataque mais frequente nos sites WordPress . Só o provedor de segurança Wordfence mediu quase 1 bilhão de ataques desse tipo em 2017 em alguns meses deste ano - sem contar o número de casos não relatados. A fim de limitar o risco de segurança dos ataques de Brute Force , faz sentido, em princípio, restringir as tentativas de login após demasiadas tentativas falhadas. Além disso, muitos webmasters WordPress usam outro método: eles movem aárea de administração WP, para que ela não possa mais ser encontrada sob o sufixo wp-admin.

Muitos plugins de segurança, portanto, oferecem uma função correspondente. Quem também pode se atrever ao arquivo .htaccess. Mas esconder a área de administração do WP por si só não é uma medida de segurança muito boa. Mas pode ser uma adição útil.

Ocultar WP Admin: Qual é o objectivo?

Por trás da ideia de esconder a área administrativa do WP está o princípio de segurança através da obscuridade ("segurança através da obscuridade") - a ideia de que a segurança de um sistema é mais forte enquanto a sua funcionalidade permanecer secreta. Ou, em outras palavras, se o atacante não souber onde está a sua porta da frente, ele pode esgueirar-se pela sua casa, mas não pode invadi-la.

Segurança através da obscuridade - um tigre desdentado na prática

Esta abordagem é controversa entre os especialistas - e não sem razão. Neste caso, o facto da informação ser segura não significa que já não possa ser acedida de todo. Está lá - mas está escondido. Mas com as ferramentas certas, os hackers ainda podem encontrar a sua página de login, se quiserem.

E aí vem o verdadeiro problema com segurança através da obscuridade muitas vezes usado para esconder problemas que, em vez disso, devem ser totalmente eliminados. Se o seu nome de administrador for admin e sua senha é senha123!o hacker vai estar no seu backend em pouco tempo quando encontrar a sua página de login oculta.

Em resumo, uma área administrativa oculta não impede os atacantes de atacar, apenas aumenta o tempo que leva para realizar o ataque. Infelizmente, no entanto, é impossível esconder completamente o facto de que os seus projectos WordPress são sites WordPress . Portanto, esconder o administrador do WP não deve ser definitivamente a sua única medida de segurança. Quem quer que seja que o esteja a alvejar não poderá escapar.

O conceito segurança através da obscuridade é, portanto, idealmente uma das muitas camadas do seu conceito de segurança. Limit Login Attempts (LLA), uma senha forte incluindo autenticação de dois fatores e - se você finalmente usar um - uma segurança configurada de forma limpaPlugin são uma mistura sensata. Esconder a área administrativa é apenas a cereja no bolo.

Em alguns casos, esconder o administrador do WP ainda faz sentido

Agora existem realmente algumas situações onde pode fazer todo o sentido esconder o administrador do WP:

  • Esconder o administrador do WP tem um forte impacto sobre a percepção de segurança de um site WordPress . Especialmente se você estiver trabalhando em nome de um cliente, um WP-Admin oculto faz sentido para maximizar o senso de segurança do seu cliente.
  • Se os hackers lançarem um ataque Brute Force no seu site, o seu servidor web pode "superaquecer" simplesmente devido ao elevado número de pedidos. Se você mover a área administrativa, você vai pelo menos tirar o vento das velas dos ataques primitivos Brute Force desde o início.
  • Você pode surpreender positivamente alguns clientes escondendo a área administrativa, por exemplo, se você a mover sob /nome da empresa. Desta forma, você pode criar um pequeno mas agradável efeito de marca.

Como podem ver, estas medidas são de natureza mais cosmética. Mas mesmo uma maior segurança percebida pode, por vezes, ajudar. É por isso que vou mostrar-lhe abaixo como pode assegurar o seu administrador WP com e sem Plugins .

UsePlugins apenas para se esconder, isso faz sentido?

Grande segurançaPlugins também oferece a capacidade de esconder a área administrativa e a natureza exata do seu site, entre muitas outras características. Como eu disse antes, eu critico isto: a instalação de um Plugin volumoso só para mudar uma URL não vai resolver todos os seus problemas de uma só vez. Somente após um exame minucioso do tema você pode decidir quais medidas de segurança fazem sentido para o seu projeto.

Quando se trata de Plugins , no entanto, você tem basicamente duas opções:

  • slim Plugins, projetado apenas para esconder a área de login
  • Plugins, que inclui a ocultação da área de login, mas pode fazer muito mais

A segurança abrangentePlugins é mais volumosa devido à sua funcionalidade alargada. Portanto, eles só fazem sentido se você souber o que quer alcançar com eles: por exemplo, bloquear IPs específicos, usar o Web Application Firewall (WAF) ou se beneficiar dos relatórios de Plugins . A questão de como a segurança é realmente útilPlugins também é respondida neste artigo.

Instalar um grande Plugin só para esconder a área administrativa é exagero. Sua velocidade de carregamento sofre e você tem pouco valor agregado no final do dia. E também não é um substituto para lidar com características de segurança.

Esconder a área administrativa com um Plugin só é aconselhável, portanto, se você puder usá-lo sem grandes perdas de desempenho ou funcionais - como uma espécie de prazer em ter. Para instalar um grande Plugin como o iThemes Security ou Wordfence só por isso, eu não recomendaria.

Em vez disso, aqui estão algumas alternativas mais elegantes para esconder a sua área administrativa:

WPS Ocultar Login

wps esconder login
Por exemplo, o administrador do WP pode ser escondido com o WPS Hide Login Plugin .

Este gratuito Plugin faz exatamente um coisa: Muda os dois URLs /wp-admin e /wp-login.php para endereços que você especificar. Isto acrescenta um obstáculo para os hackers e torna o seu site um pouco mais seguro. Com mais de 400.000 instalações activas e uma classificação média de 4,9 estrelas (com mais de 1.100 revisões!), Plugin já deu provas na prática.

Proteja a sua Administração

proteger a sua administração
Opcionalmente, isto também funciona com o site Plugin Proteja o seu administrador.

O Plugin é, apesar de algumas características adicionais, um dos mais finos do mercado e permite especificar uma URL personalizada para /wp-admin e /wp-login.php. Qualquer pessoa que tente acessar essas duas páginas irá pousar em sua página inicial. 40.000 utilizadores têm actualmente este Plugin instalado, e a classificação média é de 3,8 estrelas. Um upgrade pago desbloqueia alguns recursos adicionais, como um contador de tentativas de login.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
Cerber Security Plugin também protege o administrador do WP.

Entre outras coisas, este Plugin esconde /wp-login.php e exibe uma mensagem de erro 404. No entanto, ele pode fazer muito mais - por isso vale a pena dar uma olhada detalhada na ferramenta. A classificação é actualmente de 4,9 estrelas e existem cerca de 100.000 utilizadores activos. O Plugin é gratuito.

WP Hide & Security Enhancer

wp hide security enhancer
Uma outra alternativa é o WP Hide Security Enhancer, um pouco mais volumoso Plugin .
 

Este gratuito Plugin esconde o facto de o seu website funcionar com WordPress . Se isto faz ou não sentido em princípio ainda está por ver (com uma ferramenta como BuiltWith, isto pode ser rapidamente trazido à luz novamente), mas ao mesmo tempo muda as URLs /wp-admin e /wp-login.php para qualquer outra URL. Mais de 50.000 webmasters utilizam actualmente Plugin , a classificação média é de 4,3 estrelas.

Não tenhas medo de mau código: Seguro com o .htaccess

Se você quiser esconder o fato de que seu site é uma instalação WordPress , você pode fazer isso através de alguns dos arquivos Plugins que acabei de listar. Ou, você pode mexer diretamente no arquivo .htaccess. É um dos arquivos mais importantes das instalações WordPress rodando em servidores Apache (nota: RAIDBOXES sites não rodam em servidores Apache, portanto o .htaccess não tem influência sobre o servidor web). O .htaccess define, por exemplo, quais arquivos e diretórios do seu site são visíveis e quem tem acesso a quê.

Com pequenas alterações neste arquivo, você pode dar ao seu site uma camada extra de segurança. Especificamente, você adiciona trechos de código individuais que restringem o acesso ao wp-config.php ou bloqueiam certos IPs. Eu recomendo que você sempre faça um backup deste arquivo antes de fazer qualquer alteração - se algo der errado, você pode então reverter rápida e facilmente para o estado original. E com .htaccess, mesmo um pequeno erro no código pode ser suficiente para aleijar o seu site.

Variante 1: Permitir apenas certos IPs

Em princípio, qualquer diretório pode ser protegido com um .htaccess - neste caso, você quer proteger especificamente a área administrativa. Portanto, você carrega um novo .htaccess no diretório wp-admin. Se você especificar no diretório principal do WordPress que apenas certos IPs têm acesso, você exclui todos os outros do seu site inteiro, em vez de apenas da área administrativa.

No diretório .htaccess do diretório admin você agora tem a possibilidade de bloquear o acesso de IPs específicos a este diretório. Se você mesmo usa um IP estático, é recomendado excluir todos os IPs, exceto o seu próprio. Desta forma, só você terá acesso à área administrativa.

A propósito, você pode fazer o mesmo para excluir os IPs da página wp-login.php. Os IPs não autorizados podem, por exemplo, ser redireccionados para uma página 404 (ou outra página à sua escolha) e não chegam mais à tela de login. Isto pode ser feito através da inserção do código apropriado.

  • O códiceWordPress descreve como você pode proteger diretórios individuais da sua instalação WordPress .
  • Os colegas do WP-Beginner mostram-lhe em detalhe como proteger o WP-Admin via .htaccess
  • O plugin maker wpmudev mostra em um guia abrangente como você pode usar o .htaccess para proteger seus sites

Variante 2: Configurar a proteção por senha (ou autenticação de dois fatores)

Outra possibilidade muito utilizada para proteger a área administrativa com o .htaccess é a criação de uma autenticação HTTP adicional. O servidor então já requer os dados de acesso correspondentes para chegar até mesmo à sua página de login WordPress .

Isto significa um pouco mais de esforço para você ao fazer o login, mas muitos atacantes jogam a toalha nesta altura. Brute Force Os ataques são bloqueados antes mesmo de terem começado. No entanto, mesmo esta proteção não é completamente infalível, já que muitos ataques correm através da interface XMLrpc. Os hackers podem executar ataqueBrute Force s DDoS e através desta interface, que é implementada por padrão. Os ataques são semelhantes aos do site wp-admin, mas aqui centenas de combinações de logins e senhas podem ser solicitadas simultaneamente. Portanto, deve ser dito neste ponto que a proteção mais sensata não é um login adicional, mas uma autenticação de dois fatores.

No entanto, a fim de implementar uma proteção adicional por senha, você precisa de outro arquivo além do .htaccess, ou seja, o chamado .htpasswd. Ele contém os dados de acesso que você precisa para autenticação. Para criá-lo, você pode usar ferramentas online apropriadas. Eles encriptam a senha desejada (por exemplo Günterdergroße86) de acordo com o formato MD5 (Günterdergroße86 então se parece com isto: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 é um dos cinco formatos de senha com os quais o servidor Apache pode trabalhar. No final, porém, você só precisa lembrar a senha não criptografada - o servidor se encarrega do resto automaticamente.

O .htpasswd criado desta forma é colocado no mesmo nível que o .htaccess, normalmente o nível superior do diretório WordPress .

No .htaccess você agora define que a autenticação HTTP deve ocorrer ao acessar wp-login.php e criar um link para o .htpasswd através de um snippet de código. Desta forma, o servidor pode acessar as credenciais especificadas anteriormente no outro arquivo. Como isto funciona é explicado aqui, por exemplo.

O .htaccess especifica então que a autorização é necessária para acessar /wp-login.php, e onde o servidor encontrará as credenciais apropriadas (nomeadamente no .htpasswd). Além disso, você proíbe o acesso ao .htaccess, ao .htpasswd e ao wp-config.php para garantir que ninguém além de você possa reconfigurar sua instalação.

Parece-te tudo bastante incómodo? Pois é. Além disso, esta proteção adicional de senha pode comprometer a compatibilidade do site Plugins . É por isso que eu recomendaria sempre a autenticação de dois factores. Isto é rapidamente configurado via Plugin e também oferece ainda mais proteção contra intrusões não autorizadas. Isto acontece porque os códigos de autenticação são transmitidos através de um sistema externo.

Conclusão: Esconder a WP-Admin pode ser muito trabalho - e traz um benefício bastante cosmético

Idealmente, você protege a sua área de administração WP da maneira mais aerodinâmica possível. Você só deve instalar um grande plugin de segurança se você também configurar e usar suas outras funções de forma sensata. Portanto, se você só está preocupado em esconder o administrador do WP, nosso conselho é que vá o mais enxuto possível Plugin. Qualquer outra coisa seria um exagero.

Como medida de segurança própria, esconder o administrador do WP é de qualquer forma negligenciavelmente eficaz. Em princípio, também se aplica o seguinte: Não Plugin substitui uma senha forte e o conhecimento das vulnerabilidades de segurança mais importantes WordPress . E cada novo Plugin traz consigo o risco de trazer vulnerabilidades de segurança no código. Por isso é importante considerar cuidadosamente qual e quantos você instala.

A protecção a 100% não existe para nenhum website. Na nossa opinião, esconder a área wp-admin não aumenta realmente a segurança. Mas pode contribuir enormemente para a segurança percebida. Especialmente se você está trabalhando em nome de um cliente, você não deve subestimar o poder da percepção do cliente. No entanto, definitivamente não é suficiente como única medida de segurança ou medida central de segurança. No entanto, se o URL modificado for projetado como uma das muitas camadas do seu sistema de segurança, ele pode ser uma adição útil ao seu conceito de segurança.

Como administrador do sistema, Tobias zela pela nossa infraestrutura e faz os ajustes necessários para otimizar o desempenho dos nossos servidores. Devido ao seu esforço incansável, ele pode ser frequentemente encontrado na Slack, a nossa "sala de chat da empresa".

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.