Impedir que bots de força bruta desperdicem recursos do WordPress

Um ataque de força bruta é a técnica menos sofisticada que os criminosos online usam para comprometer sites WordPress. Ele não tira proveito de erros de codificação obscuros ou de técnicas avançadas de engenharia social. Em vez disso, um invasor de força bruta simplesmente tenta várias combinações de nome de usuário e senha até encontrar uma que funcione. A execução pode ser mais ou menos sofisticada, com alguns invasores usando botnets para atacar milhares de sites WordPress simultaneamente, mas o cerne de um ataque de força bruta são as suposições informadas pelo que os invasores sabem sobre as credenciais comumente usadas.

Por mais pouco sofisticados que sejam os ataques de força bruta, eles podem ser devastadoramente eficazes se a segurança de um site não estiver à altura. Os ataques de força bruta aproveitam o erro do usuário – sites com senhas comuns fáceis de adivinhar, usadas em conjunto com nomes de usuário comuns ou padrão, podem cair em um ataque de força bruta em segundos.

Como os ataques de força bruta são bem-sucedidos contra usuários ingênuos do WordPress, eles são uma técnica comum. Sucuri, a empresa de segurança WordPress, publica informações atualizadas sobre a prevalência de ataques de força bruta contra os sites WordPress que protege. Existem dezenas de milhões de tentativas maliciosas de login todos os dias, e a Sucuri cobre uma pequena fração dos sites WordPress na web.

Mitigação básica de força bruta

Os ataques de força bruta dependem da capacidade do invasor de adivinhar as credenciais corretas. Isso é fácil para credenciais comuns e simples. É impossível fazer combinações complexas de nome de usuário e senha. A melhor maneira de reduzir a probabilidade de um ataque de força bruta bem-sucedido contra o seu site é garantir que todas as contas de usuário tenham senhas longas e complexas.

Também é aconselhável alterar o nome de usuário da senha de administrador padrão de “admin” para algo menos óbvio. Este plugin ajudará na mudança o nome de usuário do administrador.

Você também pode considerar usar um serviço de autenticação de dois fatores como Authy. O TFA reduz enormemente o impacto de ataques de força bruta, mesmo que seus usuários escolham credenciais fracas.

Mitigação avançada de força bruta

Com credenciais de login seguras e TFA, os ataques de força bruta são essencialmente atenuados como um problema de segurança, mas ainda são um incômodo. Cada vez que um bot de força bruta tenta fazer login em um site WordPress, uma proporção dos recursos desse site é usada. Nos casos mais graves, um ataque de força bruta pode fazer com que a RAM disponível de um site seja consumida, resultando no que é efetivamente um ataque de negação de serviço.

Ler:  6 maneiras de fortalecer sua loja WooCommerce

Para reduzir o impacto de tentativas de login malsucedidas, os proprietários de sites WordPress podem implementar qualquer uma das diversas técnicas descritas neste artigo. artigo do WordPress.org. Mas se você não está entusiasmado com a ideia de mexer nos arquivos do seu site WordPress, existem plug-ins que farão o trabalho para você.

Mochila a jato

Se você é usuário do Pacote de plug-ins Jetpack, você provavelmente já está coberto. O Jetpack inclui um componente sofisticado de mitigação de força bruta que colocará IPs maliciosos na lista negra e reduzirá os recursos que eles consomem.

Proteção de login de força bruta

Nem todo mundo é fã do Jetpack, e Proteção de login de força bruta é uma alternativa popular. Isso limitará o número de tentativas de login permitidas na página de login e na lista negra de IPs que parecem estar envolvidos em tentativas de login maliciosas.

Ataques de força bruta são um incômodo, mas não há razão para que um site WordPress devidamente protegido seja comprometido por essa técnica pouco sofisticada. Comece hoje mesmo com o melhor provedor de hospedagem WordPress gerenciado para as necessidades de segurança do seu site.

Novas publicações:

Recomendação