Segundo relatos de grandes provedores de infraestrutura e hospedagem, como o HostGator e o CloudFlare, está acontecendo um enorme ataque a sites movidos a WordPress em toda a Internet. A técnica conhecida como Brute Force Attack, utiliza o método de “tentativa e erro” para tentar descobrir senhas simplesmente “chutando-as” (óbvio, com a utilização de enormes dicionários e muitos computadores, isso fica muito mais fácil e rápido).
Foi divulgado o número de 90.000 IPs trabalhando para tentar invadir as áreas administrativas de sites em WordPress. Da maneira mais simples, o sistema tenta acessar a área wp-admin e efetuar o login com o usuário “admin” que é setado por padrão em toda nova instalação do CMS.
Como são requisições comuns de login e de forma distribuída, fica impraticável fazer o controle manual das tentativas e bloqueá-las, no entanto, algumas precauções podem ser tomadas para evitar grandes tragédias.
Como proteger seu WordPress
Se o seu usuário administrador do seu site/blog é “admin“, você está fazendo isso errado. Como um login padrão, todo e qualquer ataque de brute force vai tentar esse login. Mesmo que sua senha seja forte (em sua opinião), se o atacante já sabe seu login, a metade do esforço já tem retorno. Mude imediatamente seu login.
Use senhas fortes. Não importa o quanto o nome da sua professora do jardim de infância seja um segredo mantido por poucos, ele pode estar no dicionário de ataque. Então, o melhor a fazer é setar uma senha grande, que misture letras (maiúsculas e minúsculas), números e caracteres especiais. Dizem que uma senha com até 11 caracteres pode ser quebrada facilmente, então, adicione um ou dois ;-).
Proteja a sua área administrativa. Se você acessa o seu site apenas de um IP, seja ele fixo ou raramente mude, você pode fechar o seu admin para outros IPs diferentes do seu. Pode também restringir o acesso por horário (evitar que seja invadido durante seu sono, é uma boa). Mas cuidado para não ficar preso do lado de fora, vai dar mais trabalho depois.
Bloqueie tentativas erradas de senha. Você sabe sua senha, certo? É muito difícil errar, ok? Então, bloqueie quem tentar fazer login em sua conta e errar a senha por, digamos, 3 vezes consecutivas. Novamente, cuidado pra não bloquear você mesmo. Certifique-se de que o bloqueio pode ser desfeito de alguma maneira fácil depois.
Dica de plugin de segurança
O plugin que eu mais indico para segurança é o WP Better Security. Primeiro porque ele é bem abrangente no quesito segurança, com várias opções que automatizam as tarefas mais punk, como mudar o wordpress de pasta, por exemplo. Segundo porque ele é atualizado com frequência e até o momento não teve vulnerabilidades expostas, como outros plugins que já ouvi falar.
Ainda utilizando um plugin, cuidado ao configurá-lo e leia bem as dicas que ele mesmo dá durante o processo. Você pode segurar tanto o blog, que ninguém consiga acessá-lo.
Ok, preciso de ajuda profissional
Você não tem conhecimento técnico algum e tem medo de ficar fuçando em plugins? Você precisa de ajuda profissional. Nós da Tecnocracia.Net podemos te ajudar. Entre em contato direto de nosso site, com seu pedido de socorro.
Abraço e boa sorte
