X

Como Parar Ataques de Força Bruta em um Site WordPress?

Last updated on by Editorial Team
LinkedInPinShares12
como parar ataques de força bruta

Você quer parar e prevenir ataques de força bruta em seu site?

Em um ataque de força bruta, hackers simplesmente tentam milhares de combinações de nome de usuário e senha até encontrarem a correta.

Uma vez que eles invadem seu site, eles podem fazer todo tipo de coisa, como adicionar anúncios maliciosos, fraudar seus usuários e até mesmo derrubar seu site.

Este tutorial mostrará como parar e prevenir ataques de força bruta para que os hackers não tenham chance de invadir seu site.

Mas antes de passarmos às etapas, vamos esclarecer o que é um ataque de força bruta para que você tenha uma melhor compreensão durante o tutorial.

O que é um Ataque de Força Bruta?

Quando dizemos que hackers tentam diferentes combinações de senhas em seu site para fazer login, você pode estar imaginando uma pessoa real sentada em um computador digitando senhas, certo?

Hackers são muito mais avançados do que isso. Eles programam bots para escanear a internet e encontrar sites rodando em WordPress. Em seguida, eles visam a página de login, que geralmente é www.example.com/wp-admin.

exemplo de senha wordpress

Uma vez que estão na página de login, esses bots executam um enorme banco de dados de nomes de usuário e senhas comumente usados.

  • Nomes de usuário comuns incluem "admin" ou o nome da pessoa que é dona do site.
  • Senhas comuns incluem password1234, 12345678 e qwerty1.

Esses bots de hackers são capazes de executar milhares de tentativas de login por minuto. E eles continuam tentando repetidamente até acertarem ou esgotarem seu banco de dados. Daí o nome "força bruta" do ataque.

Agora você pode estar pensando que tudo o que precisa fazer é definir uma senha muito forte e o problema está resolvido. Mas isso não é suficiente.

Milhares de tentativas de login podem deixar seu site lento e até mesmo fazê-lo travar. Isso pode interromper a experiência do seu usuário, o que significa que os visitantes deixarão seu site, pois ele não carregará rápido o suficiente.

Uma maneira melhor de proteger seu site seria impedir que o hacker faça essas tentativas. É isso que mostraremos como fazer a seguir. Vamos começar.

Como Impedir Ataques de Força Bruta no WordPress

Abaixo, detalharemos 6 passos importantes que você precisa tomar para proteger seu site contra hackers. Focaremos na prevenção de ataques de força bruta, mas lembre-se que estes passos também ajudarão a impedir outros ataques de malware.

Você estará construindo um sistema de segurança robusto que garante que hackers não tenham como danificar seu site por dentro ou por fora.

Aqui está uma lista dos 6 passos que cobriremos:

  1. Instale um Plugin de Firewall
  2. Limite as Tentativas de Login
  3. Restrinja o Acesso à Página de Login
  4. Expirar Senhas Regularmente
  5. Adicione Autenticação de 2 Fatores
  6. Adicione Autenticação HTTP

Passo 1: Instale um Plugin de Firewall

Um firewall serve como sua primeira linha de defesa. Ele analisará cada visitante que chega ao seu site e bloqueará bots maliciosos. Isso significa que apenas tráfego bom terá permissão para visualizar seu site.

Existem dois tipos de firewalls de site que você pode usar.

  • Firewall de Aplicação Web: Estes firewalls ficam na frente do seu site WordPress para escanear o tráfego que entra. Eles são bastante eficazes, mas não oferecem proteção em nível de servidor. Isso significa que hackers ainda podem atacar seu servidor e danificar seu site.
  • Firewall de Site em Nível de DNS: Este firewall oferece melhor proteção contra hackers porque fica posicionado na frente do seu servidor. Assim, ele verificará todo o tráfego antes que ele chegue ao seu servidor principal de site.

Recomendamos fortemente investir em um firewall de DNS para proteger seu site. A Sucuri possui um dos melhores firewalls de DNS do mercado.

Sucuri

A Sucuri vem com recursos integrados para bloquear ataques de força bruta sem afetar os usuários do seu site.

Ele também bloqueia ferramentas automatizadas usadas para escanear seu site. Isso ajuda a manter seu site fora do radar de qualquer atacante.

Em seguida, ele monitora constantemente seu site, então, se algum bot malicioso chegar ao seu site, eles serão bloqueados automaticamente.

Se você quiser saber mais detalhes, leia nossa Análise da Sucuri.

Etapa 2: Limitar Tentativas de Login

Se você quiser bloquear especificamente ataques de força bruta, uma das melhores maneiras de fazer isso é limitando o número de tentativas que um usuário tem para fazer login.

Assim, por exemplo, você pode conceder a eles um máximo de 3 tentativas para inserir o nome de usuário e a senha corretos. Se eles não conseguirem acertar, podem usar a opção 'Esqueceu sua senha' e recuperar suas credenciais.

Senha perdida no WordPress

Qualquer usuário ou bot que tentar realizar um ataque de força bruta em seu site desistirá após 3 tentativas e passará para o próximo alvo.

Você pode adicionar um plugin de limite de tentativas de login ao seu site WordPress para adicionar esse recurso. Se você estiver usando um plugin de segurança como a Sucuri, já terá o limite de tentativas de login adicionado automaticamente ao seu site.

Etapa 2: Restringir Acesso à Página de Login

Outra ótima maneira de proteger seu site contra ataques de força bruta é conceder acesso à URL da página de login apenas a pessoas de sua confiança.

Todo dispositivo que usa a internet possui um endereço IP único. Você pode usar um plugin de segurança para bloquear universalmente todos os endereços IP de acessar a página de login e permitir apenas aqueles que você deseja.

Desta forma, apenas usuários autorizados podem abrir a página de login. Este método é chamado de lista de permissões (allowlisting) e é muito eficaz para manter hackers afastados.

Se você estiver usando o Sucuri, na aba Controle de Acesso do seu painel, você pode adicionar endereços IP na lista de permissões.

Lista branca Sucuri

Em seguida, mude para a aba Segurança.

Você verá uma opção para habilitar ‘Painel de administração restrito apenas a endereços IP na lista de permissões’.

lista branca em sucuri

Ao marcar esta caixa, a Sucuri permitirá automaticamente que apenas seus usuários confiáveis acessem a página de login.

Passo 4: Expirar Senhas Regularmente

Nem é preciso dizer que a melhor maneira de proteger qualquer conta ou site na internet é usando nomes de usuário e senhas fortes.

Além disso, você também precisa trocar sua senha regularmente. Se suspeitar de um ataque, você precisa trocá-la imediatamente.

Agora, se você tem vários usuários com acesso ao wp-admin, eles podem não se lembrar de trocar suas senhas regularmente.

Para superar isso, você pode definir lembretes e forçá-los a redefinir suas senhas em intervalos.

exemplo de expiração de senha

Você pode usar um plugin como Expire User Passwords para ajudar a expirar senhas periodicamente, forçando o usuário a mudar sua senha antes que ele possa fazer login novamente.

Passo 5: Adicionar Autenticação de 2 Fatores

Você muito provavelmente já viu ou tem autenticação de 2 fatores em seus aplicativos, especialmente e-mail.

Além de inserir sua senha, você precisa fornecer um código de uso único que é enviado para seu telefone celular ou e-mail.

codigo-2fa-sucuri

Você pode receber este código como um SMS ou através de um aplicativo autenticador.

Isso significa que um usuário terá que se verificar em tempo real, tornando extremamente difícil para hackers obterem acesso.

Mesmo que eles consigam quebrar sua senha, eles também precisarão do código em tempo real.

Todos os plugins de segurança populares como Sucuri e MalCare permitem que você habilite a autenticação de 2 fatores dentro do painel.

Assim, você não precisará tocar em nenhum código para adicionar essa medida ao seu site.

Etapa 6: Adicionar Autenticação HTTP

A etapa final que você pode tomar para proteger seu site contra ataques de força bruta é adicionar uma página de login à sua página de login.

Parece um pouco exagerado, mas isso funciona como uma camada extra de proteção e é uma maneira infalível de impedir que hackers entrem em seu site por meio de ataques de força bruta.

A autenticação HTTP funciona ocultando sua página de login e exibindo uma página em branco com uma caixa de login.

Assim que você inserir suas credenciais HTTP, sua página de login do WordPress aparecerá.

autenticação http

Você pode adicionar essa medida dentro do cPanel da sua hospedagem. Se você nunca usou o cPanel antes, não se preocupe. Mostraremos como fazer isso em algumas etapas simples.

Faça login na sua conta de hospedagem web, acesse o cPanel e encontre ‘Privacidade do Diretório’.

Privacidade do diretório

Dentro, na lista de pastas, localize a pasta wp-admin e edite-a.

editar privacidade do wpadmin

Na próxima página, primeiro, ative a opção ‘Proteger este diretório com senha’. Agora o cPanel pedirá para você adicionar um nome de usuário e senha.

adicionar senha ao diretório

Certifique-se de salvar suas configurações antes de sair desta página. Agora seu diretório de administração do WordPress está protegido por senha.

Ao abrir sua página wp-admin, você verá um prompt de login para inserir o nome de usuário e a senha que você acabou de criar.

Caso você encontre um erro 404 ou muitas mensagens de redirecionamento, você precisará adicionar a seguinte linha ao seu arquivo .htaccess do WordPress.

ErrorDocument 401 default

Com isso, seu site estará protegido contra ataques de força bruta.

Também recomendamos fazer um backup do seu site regularmente. Quando as coisas dão errado, seja um hack ou apenas um erro humano, você pode restaurar rapidamente seu site e colocá-lo de volta ao normal. Isso permite minimizar os danos ao seu site e à experiência do usuário.

Você pode usar o UpdraftPlus para agendar backups automatizados que são armazenados com segurança.

Para mais opções de backup, veja nossa seleção dos Melhores Plugins de Backup para WordPress.

Esperamos que você tenha achado este post sobre prevenção de ataques de força bruta útil. E agora que seu site está seguro, você pode se concentrar em expandir seu site e obter mais tráfego. Aqui estão alguns recursos que selecionamos para você:

Estas postagens ajudarão você a melhorar o tráfego, o engajamento e a experiência do usuário. A última postagem fornecerá os melhores plugins e ferramentas para otimizar fluxos de trabalho e expandir seus negócios exponencialmente.

LinkedInPinShares12

Comentários   Deixe uma Resposta

Adicionar um comentário

Ficamos felizes que você escolheu deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

Checklist de Lançamento WordPress

O Checklist Definitivo para Lançamento de WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento do seu próximo site WordPress em um e-book prático.
Sim, envie-me o eBook Gratuito!
Copyright © 2015 - 2026 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTA EDITORIAL: As opiniões expressas aqui são exclusivas do autor, não das empresas de hospedagem, provedores de plugins, empresas de temas, Syed Balkhi ou da Fundação WordPress, e não foram revisadas, aprovadas ou endossadas por nenhuma dessas entidades.

AVISO LEGAL: Fazemos grandes esforços para manter dados confiáveis em todas as ofertas apresentadas. No entanto, esses dados são fornecidos sem garantia. Os usuários devem sempre verificar o site oficial do provedor para obter os termos e detalhes atuais. As ofertas de produtos que aparecem no site são das respectivas empresas de hospedagem, empresas de plugins e empresas de temas das quais a IsItWP recebe compensação. Essa compensação pode impactar como e onde os produtos aparecem neste site (incluindo, por exemplo, a ordem em que aparecem). Este site não inclui todos os produtos WordPress ou todas as ofertas de produtos disponíveis.