Como proteger o WordPress contra ataques força bruta (brute force)?
Os ataques de força bruta acontecem quando hackers tentam acessar os arquivos do seu site tentando constantemente novas senhas. Se tiverem sucesso, poderão roubar seus dados privados, adicionar malware ou até mesmo derrubar completamente seu site. Felizmente, você pode facilmente evitar esses ataques de força bruta. Com a atualização das suas informações de login ou a habilitação da autenticação de dois fatores, você pode dificultar a entrada de hackers em seu site. Outro método eficaz é instalar um plug-in de proteção contra força bruta como o Jetpack. Aqui nesse artigo, iremos te explicar o que são os ataques de força bruta e como você pode evitá-los. O que é um ataque de força bruta? Os ataques de força bruta acontecem quando hackers usam tentativa e erro para acessar seu site. Isso geralmente envolve adivinhar suas informações de login usando algum software automatizado. Essencialmente, os hackers tentarão muitas combinações diferentes de senhas e nomes de usuário até encontrarem a sua. Outras formas de hacking geralmente exploram vulnerabilidades no seu site WordPress. Por exemplo, os hackers podem acessar seus dados por meio de software, plugins ou temas desatualizados. Mesmo uma versão antiga do PHP pode deixar seu site vulnerável. Por outro lado, os ataques de força bruta dependem de credenciais de login fracas. Se você tiver uma senha facilmente adivinhada como “123456”, os hackers podem usar um software automatizado para entrar no seu site. Ataques de força bruta são mais comuns do que você imagina. Na verdade, eles estão se tornando uma ameaça maior do que nunca. No final de 2021, a taxa de ataques de força bruta aumentou 160 por cento. As principais consequências de um ataque de força bruta ao seu site são: As consequências desses ataques podem ser de fato brutais, e embora as configurações padrão do WordPress não ofereçam proteção extra contra ataques desse tipo, existem algumas medidas que podem ser tomadas para evitar que isso aconteça. Como evitar ataques de força bruta no WordPress Agora que você já sabe o que são os ataques de força bruta, vamos discutir como proteger seu site WordPress contra eles. Etapa 1: Atualize seu nome de usuário Como os ataques de força bruta envolvem a adivinhação de informações de login, você pode proteger seu site WordPress atualizando suas credenciais. Primeiro, considere escolher um nome de usuário exclusivo. Nas versões mais antigas do WordPress, o nome de usuário padrão era “admin”. Agora, novos titulares de contas podem escolher seus nomes de usuário ao fazer login pela primeira vez. Mas pode ser necessário atualizar seu nome de usuário se tiver uma conta mais antiga. Para ver qual é o seu nome de usuário atual, abra o painel do WordPress. Em seguida, navegue até Usuários → Perfil. Você encontrará seu nome de usuário na seção Nome. Se você já possui um nome de usuário exclusivo, pule para as próximas etapas. Mas se você vir admin como seu nome de usuário, o mais seguro é alterá-lo. Infelizmente, você não poderá editar seu perfil diretamente no painel. Uma das maneiras mais simples de alterar seu nome de usuário do WordPress é criar um novo usuário. Em seguida, você pode atribuir a ele um nome de usuário exclusivo e os mesmos privilégios administrativos. A única desvantagem desse método é que você terá que usar um novo endereço de e-mail. Primeiro, vá para Usuários → Adicionar novo. Nesta página, crie um novo nome de usuário e insira seu endereço de e-mail. Certifique-se de definir a função do usuário como Administrador. Uma dica interessante: Caso queira utilizar o mesmo endereço de e-mail, você pode simplesmente adicionar um sinal de mais com letras adicionais após o nome de usuário. Por exemplo, se o seu endereço de e-mail normal for “[email protected]”, você pode usar “[email protected]”. O WordPress considerará este um novo endereço de e-mail, mas usará a mesma caixa de entrada. Em seguida, você precisará sair do WordPress e usar o novo nome de usuário para fazer login novamente. Em seguida, vá para →Todos os usuários e em seguida clique em Excluir abaixo da função de usuário admin. Durante o processo de exclusão, você precisará mover seu conteúdo para o novo nome de usuário. Para fazer isso, selecione →Atribuir todo o conteúdo a [novo nome de usuário]. Muita atenção nessa etapa, pois ela é uma etapa crítica, onde seu conteúdo poderá ser deletado. Finalmente, clique em →Confirmar exclusão. Se quiser começar a usar o mesmo endereço de e-mail atribuído ao nome de usuário admin, você pode atualizá-lo agora. Se quiser alterar seu nome de usuário existente, você precisará fazer isso por meio do banco de dados do WordPress. Atenção: Fazer alterações no banco de dados pode ser perigoso, então é melhor fazer isso se você já tiver experiência nessa área. Para alterar seu nome de usuário, siga as seguintes etapas: → Clique na ferramenta phpMyAdmin no CPanel do seu provedor de hospedagem (a localização exata pode variar de acordo com seu host). → Clique no banco de dados do seu site WordPress no painel esquerdo. Isso abrirá as tabelas do seu banco de dados. → Clique na tabela wp_users. O prefixo “wp_” é definido por padrão, mas seu host pode tê-lo alterado para outro. Por exemplo, a tabela pode ser chamada de “janb_users”. → Encontre o nome de usuário que você deseja alterar no lado direito (nesse caso, “Admin”) e clique em Editar. → No campo user_login , digite o novo nome de usuário que deseja definir. → Clique no botão Ir. Pronto, agora você pode fazer login com o novo nome de usuário! Etapa 2: Escolha uma senha forte Outra forma de proteger seu site contra ataques de força bruta é usar uma senha forte. Como os hackers usam botnets (redes de robôs) para adivinhar senhas aleatoriamente, pode ser útil ter uma com uma sequência exclusiva de números e letras. Estas são as características de uma senha forte: Para atualizar sua senha do WordPress, navegue até Usuários → Perfil. Em seguida, role para baixo até Gerenciamento de contas. Em