Clicky

Ir para conteúdo

VTFerreira

Segurança em WordPress

Posts Recomendados

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o país de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)


Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá amigo.

Tenho o mesmo problema e usando o Sucuri proxy ele restringe somente ao IP ou faixa de IPs o acesso a pagina de login.

O mesmo pode ser feito diretamente no http server ou através de alguns Plugins do Wordpress, mas se você pegar um IP que está fora pode ser bem chato logar.

Em alternativa ou pode ser usando em conjunto (como eu uso) uma autenticação de suas etapas. Os mais famosos e gratuitos são o CLEF e Duo Security que aliás podem ser utilizados em conjunto transformando em um sistema de tripla autenticação(eles não entram em conflito por se tratarem de metodos diferentes de lock) e você usa o Smartphone Android ou iOS para autorizar o login seja online ou digitando o código que muda a cada minuto assim como os tokens de banco ou autenticação de duas etapas que o Google usa por exemplo.

 

Usando duas etapas(ou três) e restrição de IP ou faixa os ataques desse tipo serão reduzidos a zero.

 

 

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o pais de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

 

 

Esse de mudar o diretório e bem valido aliás, vou fazer isso no meu.
Ultimamente to meio bitolado com esses negócios de segurança. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Recomendo ler estas dicas:

 

1- WordPress: desempenho e gerenciamento:  http://webinhost.com.br/blog/blog-dicas/wordpress-instalacao-segura-desempenho-e-gerenciamento-de-memoria

 

2- WordPress, tratando da Memoria :  http://webinhost.com.br/blog/blog-dicas/wordpress-tratando-da-memoria

 

3- Como Proteger melhor pasta “wp-admin” do Seu WordPress de Invasões:  http://webinhost.com.br/blog/blog-dicas/como-proteger-melhor-as-pastas-de-seu-wordpress-de-invasoes

 

4- Como instalar o ReCaptcha em seu WordPress :  http://webinhost.com.br/blog/tutoriais/como-instalar-o-recaptcha-em-seu-wordpress

  • Gostei! 1

 Webin Serviços de internet Ltda.

 Revendas em Servidores USA e BR com CloudLinux, WHMCS grátis, Construtor de sites, DNS Personalizados...

 WebinHost (Hospedagem) l  WebinRevenda (Revendas) l  GrupoWebin

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ótimas dicas, agradeço a todos pela ajuda até agora. A maioria das dicas foram colocadas em prática (algumas já estavam), mas infelizmente o ataque continua, vindo de diferentes IP's de diferentes países, não apenas da Rússia, mas também da Ucrânia, EUA, dentre outros.

Proteger o diretório wp-admin com senha impede que o agressor entre na conta, mas ao falhar na senha do diretório o WordPress exibe a página login.php que ainda permite entrar com usuário e senha. Mesmo acertando a combinação, ainda assim a senha do diretório impede o acesso ao painel do WordPress.

 

Estou instalando o stealth page plugin, como indicado no blog da Webin. O plugin impede o uso de logins personalizados a partir de páginas do WordPress, mas é um pequeno incômodo perto do aumento da segurança.

Editado por VTFerreira

Compartilhar este post


Link para o post
Compartilhar em outros sites

Os ataques cessaram. É difícil dizer exatamente qual das ações teve mais efeito, mas recomendo o plugin do Stealth Login Page... que exige uma senha adicional e oferece um redirecionador em caso de falha do login.

Agradeço a todos.

Compartilhar este post


Link para o post
Compartilhar em outros sites

A seu dispor @VTFerreira


 Webin Serviços de internet Ltda.

 Revendas em Servidores USA e BR com CloudLinux, WHMCS grátis, Construtor de sites, DNS Personalizados...

 WebinHost (Hospedagem) l  WebinRevenda (Revendas) l  GrupoWebin

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...