Jump to content

Segurança em WordPress

VTFerreira

By VTFerreira
in Segurança

 Share

Recommended Posts

VTFerreira

VTFerreira

Posted
Posted

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

0

Anger

Anger

Posted
Posted

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o país de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

0

Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.

Diogo Silva

Diogo Silva

Posted
Posted

Olá amigo.

Tenho o mesmo problema e usando o Sucuri proxy ele restringe somente ao IP ou faixa de IPs o acesso a pagina de login.

O mesmo pode ser feito diretamente no http server ou através de alguns Plugins do Wordpress, mas se você pegar um IP que está fora pode ser bem chato logar.

Em alternativa ou pode ser usando em conjunto (como eu uso) uma autenticação de suas etapas. Os mais famosos e gratuitos são o CLEF e Duo Security que aliás podem ser utilizados em conjunto transformando em um sistema de tripla autenticação(eles não entram em conflito por se tratarem de metodos diferentes de lock) e você usa o Smartphone Android ou iOS para autorizar o login seja online ou digitando o código que muda a cada minuto assim como os tokens de banco ou autenticação de duas etapas que o Google usa por exemplo.

 

Usando duas etapas(ou três) e restrição de IP ou faixa os ataques desse tipo serão reduzidos a zero.

 

 

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o pais de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

 

 

Esse de mudar o diretório e bem valido aliás, vou fazer isso no meu.
Ultimamente to meio bitolado com esses negócios de segurança. 

0
Marco Antonio

Marco Antonio

Posted
Posted

Recomendo ler estas dicas:

 

1- WordPress: desempenho e gerenciamento:  http://webinhost.com.br/blog/blog-dicas/wordpress-instalacao-segura-desempenho-e-gerenciamento-de-memoria

 

2- WordPress, tratando da Memoria :  http://webinhost.com.br/blog/blog-dicas/wordpress-tratando-da-memoria

 

3- Como Proteger melhor pasta “wp-admin” do Seu WordPress de Invasões:  http://webinhost.com.br/blog/blog-dicas/como-proteger-melhor-as-pastas-de-seu-wordpress-de-invasoes

 

4- Como instalar o ReCaptcha em seu WordPress :  http://webinhost.com.br/blog/tutoriais/como-instalar-o-recaptcha-em-seu-wordpress

1
VTFerreira

VTFerreira

Posted
  • Author
Posted (edited)

Ótimas dicas, agradeço a todos pela ajuda até agora. A maioria das dicas foram colocadas em prática (algumas já estavam), mas infelizmente o ataque continua, vindo de diferentes IP's de diferentes países, não apenas da Rússia, mas também da Ucrânia, EUA, dentre outros.

Proteger o diretório wp-admin com senha impede que o agressor entre na conta, mas ao falhar na senha do diretório o WordPress exibe a página login.php que ainda permite entrar com usuário e senha. Mesmo acertando a combinação, ainda assim a senha do diretório impede o acesso ao painel do WordPress.

 

Estou instalando o stealth page plugin, como indicado no blog da Webin. O plugin impede o uso de logins personalizados a partir de páginas do WordPress, mas é um pequeno incômodo perto do aumento da segurança.

Edited by VTFerreira
0
VTFerreira

VTFerreira

Posted
  • Author
Posted

Os ataques cessaram. É difícil dizer exatamente qual das ações teve mais efeito, mas recomendo o plugin do Stealth Login Page... que exige uma senha adicional e oferece um redirecionador em caso de falha do login.

Agradeço a todos.

0
diogovasconcellos

diogovasconcellos

Posted
Posted

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

 

Olá!

 

Experimente o plugin: iThemes Security.

Ele é free.

0

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept
-