Devido a sua popularidade, o WordPress é um dos softwares mais visados para tentativas de ataques e invasões por hackers. As ações são muitas realizadas por programas automatizados (robôs) com o objetivo de descobrir a senha de acesso a área administrativa da ferramenta via “tentativa e erro”. A ação dos “robôs” costuma deixar o site sobrecarregado, provocando lentidão de acessos. Além disso, há o risco de segurança: se a senha do administrador for fraca, o robô pode conseguir quebrá-la e dar acesso administrativo ao invasor, resultando em vazamento ou perda de dados.

Recomendações

Para evitar problemas desse tipo, fazemos as seguintes recomendações:

  • Sempre use uma senha forte para acesso à administração do site. A senha deve conter no mínimo 12 caracteres, misturando números, letras maiúsculas/minúsculas e símbolos.
  • Faça uso de plugins de segurança do WordPress, como:
    • WPS Hide Login: substitui a URL da tela de login para um novo padrão que fica escondido dos robôs que tentam invadir o WordPress.
    • WP 2FA: implanta a autenticação de dois fatores, criando uma camada extra de proteção para o login administrativo.
    • WP fail2ban: permite criar filtros para banir endereços IPs de usuários (ou programas) que violem regras de segurança, como: excesso de falhas de login, spam de comentários e pingbacks.
    • Stop User Enumeration: feito para detectar e evitar que hackers verifiquem seu site em busca de nomes de login de usuário.
    • reCaptcha: valida os dados do formulário, garantindo que seja preenchido por uma pessoa e não por um programa.
  • Configure o servidor web para limitar o acesso aos scripts das pastas wp-login e wp-admin aos IPs usados pelo administrador do site (ou IPs da VPN).
  • Remova ou renomeie o arquivo readme.html criado por padrão na instalação do WordPress contendo links e informações que permitem identificar a versão instalada do WordPress.
  • Use um painel como o Plesk ou o CloudPanel que facilita a instalação do WordPress e a instalação regular de correções de segurança do sistema operacional Linux.
  • Mantenha os componentes do WordPress, como temas e plugins, nas versões mais recentes liberadas pela comunidade.
  • Escolha um provedor de cloud bem estabelecido e que ofereça suporte à segurança da informação, como a CentralServer.

Veja este artigo para saber como proteger o WordPress contra a listagem externa de logins de usuário.

Para conhecer as práticas de segurança que nós recomendamos para você proteger seus recursos na internet, veja as orientações deste artigo da nossa Wiki.

AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.