Segurança em WordPress

[VTFerreira]

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

[Anger]

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o país de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

[Diogo Silva]

Olá amigo.

Tenho o mesmo problema e usando o Sucuri proxy ele restringe somente ao IP ou faixa de IPs o acesso a pagina de login.

O mesmo pode ser feito diretamente no http server ou através de alguns Plugins do Wordpress, mas se você pegar um IP que está fora pode ser bem chato logar.

Em alternativa ou pode ser usando em conjunto (como eu uso) uma autenticação de suas etapas. Os mais famosos e gratuitos são o CLEF e Duo Security que aliás podem ser utilizados em conjunto transformando em um sistema de tripla autenticação(eles não entram em conflito por se tratarem de metodos diferentes de lock) e você usa o Smartphone Android ou iOS para autorizar o login seja online ou digitando o código que muda a cada minuto assim como os tokens de banco ou autenticação de duas etapas que o Google usa por exemplo.

 

Usando duas etapas(ou três) e restrição de IP ou faixa os ataques desse tipo serão reduzidos a zero.

 

 

Recomendo tu utilizar alguns meios importantes..

Primeiro : Troque o link de acesso à administração wordpress. 

Segundo : Ative os diretórios com senha. O que já fica com 4 barreiras:

*  Identificar o link de acesso à administração;

*  Usuário e senha para acessar o diretório;

*  Usuário e senha do Wordpress;

*  E seus meios já colocados;

 

Pode também, se o seu cliente não se importar, identificar o pais de ataque e bloquear o acesso deste país. (Russia é uma que está sempre incomodando)

 

 

Esse de mudar o diretório e bem valido aliás, vou fazer isso no meu.
Ultimamente to meio bitolado com esses negócios de segurança. 

[Marco Antonio]

Recomendo ler estas dicas:

 

1- WordPress: desempenho e gerenciamento:  http://webinhost.com.br/blog/blog-dicas/wordpress-instalacao-segura-desempenho-e-gerenciamento-de-memoria

 

2- WordPress, tratando da Memoria :  http://webinhost.com.br/blog/blog-dicas/wordpress-tratando-da-memoria

 

3- Como Proteger melhor pasta “wp-admin” do Seu WordPress de Invasões:  http://webinhost.com.br/blog/blog-dicas/como-proteger-melhor-as-pastas-de-seu-wordpress-de-invasoes

 

4- Como instalar o ReCaptcha em seu WordPress :  http://webinhost.com.br/blog/tutoriais/como-instalar-o-recaptcha-em-seu-wordpress

[VTFerreira]

Ótimas dicas, agradeço a todos pela ajuda até agora. A maioria das dicas foram colocadas em prática (algumas já estavam), mas infelizmente o ataque continua, vindo de diferentes IP's de diferentes países, não apenas da Rússia, mas também da Ucrânia, EUA, dentre outros.

Proteger o diretório wp-admin com senha impede que o agressor entre na conta, mas ao falhar na senha do diretório o WordPress exibe a página login.php que ainda permite entrar com usuário e senha. Mesmo acertando a combinação, ainda assim a senha do diretório impede o acesso ao painel do WordPress.

 

Estou instalando o stealth page plugin, como indicado no blog da Webin. O plugin impede o uso de logins personalizados a partir de páginas do WordPress, mas é um pequeno incômodo perto do aumento da segurança.

Editado Janeiro 15, 2015 por VTFerreira

[VTFerreira]

Os ataques cessaram. É difícil dizer exatamente qual das ações teve mais efeito, mas recomendo o plugin do Stealth Login Page... que exige uma senha adicional e oferece um redirecionador em caso de falha do login.

Agradeço a todos.

[Marco Antonio]

A seu dispor @VTFerreira

[AngelCosta]

Sucuri.net

[Pedro Sodre]

Sucuri.net

 

Já me deu trabalho esse Sucuri, lembra? haha

 

Me parece muito bom ele.

[diogovasconcellos]

Olá colegas. Nestes últimos dias um site WordPress de um cliente meu vem sofrendo muitos ataques de força bruta (tentam adivinhar nome de usuário e senha aleatoriamente).

 

O WordPress, plugins e Tema estão atualizados. Como plugin de segurança padrão uso o WordFence, onde a cada 2 tentativas com nome de usuário certo e senha errada o IP fica bloqueado por 6 horas. Em caso de nome de usuário errado o bloqueio é imediato e de 24 horas. Todas as senhas são muito fortes e não existe usuário "admin" ou similares. Os ataques são das mais variadas origens, e a cada IP permanentemente bloqueado surgem mais dois.

 

Estas medidas de segurança provaram ser eficazes nos últimos meses, mas após fazer a migração do site para outra revenda, os ataques se multiplicaram. Eles parecem ter encontrado alguma brecha para saber alguns dos nomes de usuário - um inclusive que nunca foi usado.

 

Algum colega poderia sugerir uma solução mais duradoura, que não inclua tirar o site do ar nem transferir de revenda?

 

Olá!

 

Experimente o plugin: iThemes Security.

Ele é free.