X

Como Limitar Tentativas de Login no WordPress (Passo a Passo)

Last updated on by Alvin Collin
LinkedInPinShares22
Como limitar tentativas de login

Você se preocupa que hackers possam invadir seu site?

Por padrão, o WordPress permite que você tente um número ilimitado de nomes de usuário e senhas para fazer login no seu site.

Embora isso lhe proporcione uma melhor experiência de login, também dá aos hackers a chance de invadir seu site usando “ataques de força bruta”, onde eles fazem milhares de tentativas para adivinhar suas credenciais de login.

Neste post, mostraremos como limitar as tentativas de login no seu site para impedir que hackers o acessem.

Mas, primeiro, vamos esclarecer o que são ataques de força bruta e por que eles são um problema tão sério.

O que Exatamente é um Ataque de Força Bruta?

Muitas pessoas na internet definem nomes de usuário comuns e senhas fracas como suas credenciais de login. Elas selecionam credenciais fáceis de lembrar e que exigem o mínimo de esforço para digitar.

Para nomes de usuário, os mais comuns são ‘admin’ ou o nome real do usuário. E as senhas tendem a ser ‘123456’ ou ‘qwerty’.

Hackers estão bem cientes disso e programam bots para encontrar a página de login do seu site e, em seguida, tentar uma longa lista de credenciais comumente usadas e diferentes combinações delas.

Esses bots são capazes de tentar centenas de combinações em questão de segundos. E quando eles adivinham a combinação certa, invadem seu site e causam grandes danos.

A melhor maneira de prevenir esses ataques de força bruta é limitando as tentativas de login no seu site. Assim, quando um usuário insere credenciais incorretas, digamos 3 ou 5 vezes, ele é bloqueado.

Senha perdida no WordPress

Os usuários precisarão clicar na opção ‘Perdeu sua senha’ para recuperar sua senha.

Dito isso, limitar as tentativas de login não é suficiente quando se trata de bloquear hackers e outras ameaças.

Você precisa usar uma solução de segurança abrangente que protegerá seu site completamente contra tais ataques. Isso inclui proteção CAPTCHA, autenticação de 2 fatores, proteção de firewall e bloqueio de IP.

Com este melhor entendimento dos ataques de força bruta, vamos começar a proteger seu site.

Limitando Tentativas de Login no Seu Site WordPress

Se você deseja uma solução simples e gratuita para limitar as tentativas de login, confira o plugin Limit Login Attempts Reloaded. Você simplesmente precisa instalar o plugin em seu site e ele aplicará automaticamente a medida de segurança ao seu site.

Dito isso, há muito mais na segurança de sites e ataques de força bruta.

Uma solução de segurança mais abrangente para limitar as tentativas de login e proteger seu site é usando o Sucuri. É uma solução de segurança total que vem com todas as medidas de segurança que você precisa para proteger seu site.

Plugin de Remoção de Malware WordPress Sucuri

O Firewall de Aplicação Web Sucuri detecta navegadores falsos e bots maliciosos e, em seguida, os bloqueia automaticamente.

E ele tem um forte motor de correlação que interrompe as tentativas de força bruta sem afetar os usuários do seu site.

Veja como o Sucuri bloqueia ataques de força bruta em seu site:

  • Limite as tentativas de login – Os usuários terão um número máximo de tentativas para inserir as credenciais corretas antes de serem solicitados a redefinir sua senha.
  • Detecção de assinatura – O Sucuri verifica padrões conhecidos de hackers e malware e os bloqueia antes que cheguem ao seu site.
  • Bloqueio de bots e varreduras – Ele identifica e bloqueia ferramentas automatizadas e bots de força bruta que atacam seu site.
  • Autenticação de 2 Fatores – Você pode adicionar uma camada extra de segurança em seu site que exige que os usuários forneçam uma senha de uso único gerada em tempo real.
  • CAPTCHA e senhas – Ele permite que você adicione proteção CAPTCHA à sua página de login, para que os bots não consigam passar pela autenticação de login. Ou você pode até exigir que os usuários insiram uma senha estática.
  • Bloqueio geográfico – Se o firewall da Sucuri detectar que a maioria das tentativas de força bruta está vindo de uma localização específica, você pode bloquear visitantes dessas faixas de IP ou até mesmo bloquear um país inteiro de acessar seu site.
  • Lista de permissões – Você também pode bloquear todos os usuários da sua página de login e permitir o acesso apenas aos endereços IP da sua equipe confiável.

Agora, vamos configurar a Sucuri no seu site para implementar tentativas de login limitadas e outras medidas de proteção.

Passo 1: Instalar e Ativar Sucuri

A Sucuri tem um scanner de segurança gratuito disponível no repositório do WordPress.

Sucuri no WordPress org

Recomendamos instalar e ativar este plugin em seu site primeiro. Isso permitirá que você acesse e opere suas configurações de segurança diretamente do seu painel do WordPress.

Para ter acesso ao poderoso firewall que protegerá seu site contra ataques de força bruta, você precisará se inscrever na versão Pro.

Recomendamos usar o plano Pro, que custa US$ 299 por ano. Ele lhe dá acesso a todos os recursos que você precisará para bloquear não apenas ataques de força bruta, mas outros hacks como injeções de malware e ataques DDoS.

Assim que você se inscrever e criar uma conta na Sucuri, você poderá começar.

Passo 2: Ativar o Scanner de Segurança Sucuri

No seu painel do WordPress, navegue até a aba Sucuri » Dashboard.

Nesta página, você precisará inserir sua chave de API. Para fazer isso, clique no botão ‘Gerar Chave de API’.

Sucuri gerar chave de api

Isso abrirá um pop-up onde seu site WordPress e e-mail de administrador já estarão preenchidos. Você pode alterá-los se desejar.

Em seguida, marque as caixas para concordar com os termos de serviço e a política de privacidade. E selecione o botão ‘Enviar’ para gerar a chave de API.

Gerar chave de API na Sucuri

Você verá um pop-up dizendo que seu site foi registrado com sucesso. Você pode ir para o painel da Sucuri.

API bem-sucedida na Sucuri

Com isso, seu site terá um scanner de segurança ativo. Ele mostrará se seu site está limpo ou não, e se você está em alguma lista de bloqueio.

Passo 3: Ativar o Firewall de Segurança Sucuri

Para ativar o firewall da Sucuri, navegue até a aba Sucuri » Firewall (WAF) no seu painel do WordPress.

Aqui, você precisará inserir sua chave de API.

Chave de API do firewall Sucuri

Você pode encontrar esta chave em sua conta no site da Sucuri, na aba Configurações » API.

Aba de API Sucuri

Copie a chave, insira-a no seu painel do WordPress e salve suas configurações. E é isso! Seu firewall está ativado.

Etapa 4: Modificar Configurações de DNS

Agora você precisará direcionar seu tráfego para o firewall da Sucuri para que ele possa verificá-lo e filtrar os elementos ruins. Depois de fazer isso, ele roteará o tráfego para o seu servidor de hospedagem web.

Para configurar isso, vá para a aba Configurações » Geral no painel da Sucuri.

Primeiro, você verá a opção mais fácil, que é Integração Automática. Se você tiver os detalhes de login da sua hospedagem web, poderá usar esta opção.

Integração automática do firewall Sucuri

Você simplesmente precisa selecionar a hospedagem 'cPanel' ou 'Plesk'. A maioria dos provedores de hospedagem usa cPanel, mas você pode verificar com a equipe de suporte do seu provedor se não tiver certeza de qual usar.

Você precisará fornecer os detalhes de login da sua hospedagem e ela será integrada automaticamente.

Se isso não funcionar para você, na mesma página, você verá opções para usar os servidores DNS da Sucuri ou poderá configurar manualmente seus próprios servidores DNS.

Aponte um registro para Firewall

Siga as instruções fornecidas e atualize o endereço IP para o registro 'A' do seu site.

Se você não entender o que tudo isso significa, não se preocupe. Você pode entrar em contato com seu provedor de hospedagem web ou registrador de domínio e eles o guiarão. Ou você também pode abrir um ticket com a Sucuri, e a equipe deles o ajudará a alterar os registros DNS.

Uma vez concluído, seu tráfego será direcionado primeiro para o firewall da Sucuri e depois de volta para seus servidores de hospedagem WordPress.

As alterações no seu DNS podem levar até 48 horas para serem refletidas, mas geralmente acontecem em algumas horas.

Etapa 5: Monitorar Seu Site

O firewall da Sucuri protegerá seu site e bloqueará quaisquer ataques de hackers e bots maliciosos. E ele apresentará relatórios em seu painel, como ataques bloqueados, tráfego médio por hora e tráfego por país.

painel Sucuri

Você deve usar esses relatórios para monitorar a segurança do seu site e se manter atualizado sobre ataques falhos.

Etapa 6: Adicionar IPs de Usuários à Lista de Permitidos (Opcional)

Caso queira bloquear todos os IPs de acessar seu painel de administração e permitir apenas sua equipe ou usuários autorizados, você pode fazer isso na aba Controle de Acesso.

Lista branca Sucuri

Aqui, você pode adicionar todos os IPs que deseja permitir. Em seguida, mude para a aba Segurança.

Você verá uma opção para habilitar ‘Painel de administração restrito apenas a endereços IP permitidos’.

Lista branca do painel de administração Sucuri

Marque esta caixa e salve suas opções de segurança. Agora, apenas seus IPs permitidos podem acessar sua página de login.

E é isso! A Sucuri aplicará automaticamente a proteção de login ao seu site. E não apenas isso, seu site estará protegido contra todos os tipos de malware e ataques.

Esperamos que este post tenha sido útil. Se você quiser melhorar ainda mais a segurança do seu site, recomendamos a leitura de:

Estes posts podem ajudá-lo a tornar a segurança do seu site sólida como rocha, para que você possa manter os hackers afastados.

LinkedInPinShares22

Comentários   Deixe uma Resposta

Adicionar um comentário

Ficamos felizes que você escolheu deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

Checklist de Lançamento WordPress

O Checklist Definitivo para Lançamento de WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento do seu próximo site WordPress em um e-book prático.
Sim, envie-me o eBook Gratuito!
Copyright © 2015 - 2026 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTA EDITORIAL: As opiniões expressas aqui são exclusivas do autor, não das empresas de hospedagem, provedores de plugins, empresas de temas, Syed Balkhi ou da Fundação WordPress, e não foram revisadas, aprovadas ou endossadas por nenhuma dessas entidades.

AVISO LEGAL: Fazemos grandes esforços para manter dados confiáveis em todas as ofertas apresentadas. No entanto, esses dados são fornecidos sem garantia. Os usuários devem sempre verificar o site oficial do provedor para obter os termos e detalhes atuais. As ofertas de produtos que aparecem no site são das respectivas empresas de hospedagem, empresas de plugins e empresas de temas das quais a IsItWP recebe compensação. Essa compensação pode impactar como e onde os produtos aparecem neste site (incluindo, por exemplo, a ordem em que aparecem). Este site não inclui todos os produtos WordPress ou todas as ofertas de produtos disponíveis.