Clicky

Jump to content
  • Sign Up
Sign in to follow this  
VTFerreira

Segurança em WordPress

Recommended Posts

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Share this post


Link to post
Share on other sites

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o país de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)


Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.

Share this post


Link to post
Share on other sites

Olá amigo.

Tenho o mesmo problema e usando o Sucuri proxy ele restringe somente ao IP ou faixa de IPs o acesso a pagina de login.

O mesmo pode ser feito diretamente no http server ou através de alguns Plugins do Wordpress, mas se você pegar um IP que está fora pode ser bem chato logar.

Em alternativa ou pode ser usando em conjunto (como eu uso) uma autenticação de suas etapas. Os mais famosos e gratuitos são o CLEF e Duo Security que aliás podem ser utilizados em conjunto transformando em um sistema de tripla autenticação(eles não entram em conflito por se tratarem de metodos diferentes de lock) e você usa o Smartphone Android ou iOS para autorizar o login seja online ou digitando o código que muda a cada minuto assim como os tokens de banco ou autenticação de duas etapas que o Google usa por exemplo.

 

Usando duas etapas(ou três) e restrição de IP ou faixa os ataques desse tipo serão reduzidos a zero.

 

 

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o pais de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

 

 

Esse de mudar o diretório e bem valido aliás, vou fazer isso no meu.
Ultimamente to meio bitolado com esses negócios de segurança. 

Share this post


Link to post
Share on other sites

Recomendo ler estas dicas:

 

1- WordPress: desempenho e gerenciamento:  http://webinhost.com.br/blog/blog-dicas/wordpress-instalacao-segura-desempenho-e-gerenciamento-de-memoria

 

2- WordPress, tratando da Memoria :  http://webinhost.com.br/blog/blog-dicas/wordpress-tratando-da-memoria

 

3- Como Proteger melhor pasta “wp-admin” do Seu WordPress de Invasões:  http://webinhost.com.br/blog/blog-dicas/como-proteger-melhor-as-pastas-de-seu-wordpress-de-invasoes

 

4- Como instalar o ReCaptcha em seu WordPress :  http://webinhost.com.br/blog/tutoriais/como-instalar-o-recaptcha-em-seu-wordpress

  • Like 1

 Webin Serviços de internet Ltda.

 Revendas em Servidores USA e BR com CloudLinux, WHMCS grátis, Construtor de sites, DNS Personalizados...

 WebinHost (Hospedagem) l  WebinRevenda (Revendas) l  GrupoWebin

Share this post


Link to post
Share on other sites

Ótimas dicas, agradeço a todos pela ajuda até agora. A maioria das dicas foram colocadas em prática (algumas já estavam), mas infelizmente o ataque continua, vindo de diferentes IP's de diferentes países, não apenas da Rússia, mas também da Ucrânia, EUA, dentre outros.

Proteger o diretório wp-admin com senha impede que o agressor entre na conta, mas ao falhar na senha do diretório o WordPress exibe a página login.php que ainda permite entrar com usuário e senha. Mesmo acertando a combinação, ainda assim a senha do diretório impede o acesso ao painel do WordPress.

 

Estou instalando o stealth page plugin, como indicado no blog da Webin. O plugin impede o uso de logins personalizados a partir de páginas do WordPress, mas é um pequeno incômodo perto do aumento da segurança.

Edited by VTFerreira

Share this post


Link to post
Share on other sites

Os ataques cessaram. É difícil dizer exatamente qual das ações teve mais efeito, mas recomendo o plugin do Stealth Login Page... que exige uma senha adicional e oferece um redirecionador em caso de falha do login.

Agradeço a todos.

Share this post


Link to post
Share on other sites

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

 

Olá!

 

Experimente o plugin: iThemes Security.

Ele é free.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...