0 Compartilhamentos 667 Views 1 Comments

Protegendo a área administrativa do WordPress de ataques “brute force”

28 de julho de 2014

Ataques “brute force” (força bruta) geralmente têm por objetivo descobrir dados de login (usuário e senha). Descobrir e utilizá-los, claro. Dados de um website, de um sistema, etc. Mas o que são tais ataques? Trocando em miúdos, são ataques que, literalmente, forçam a entrada, “tentam a sorte”.

Um atacante pode tentar realizar tal ataque sem usar ferramenta alguma, digitando combinações de “usuário” e “senha” manualmente, mas aí, as chances de sucesso serão reduzidas drasticamente, sem contar que o tempo para tal, dependendo da senha a ser descoberta, bem como de sua força, poderá ser enorme. O processo, assim, pode até mesmo se tornar impossível.

socoMas é claro que os atacantes não fazem desta forma. Geralmente, eles utilizam ferramentas para ataques brute force, ferramentas que são capazes de inserir combinações de “usuário” e “senha” em formulários de login com uma frequência altíssima (dezenas, centenas, milhares de vezes por minuto). Estas ferramentas de ataque trabalham na base da tentativa e erro, e quanto mais fraca for a senha utilizada (evite datas de nascimento, sequências como 123456, abcdefg, etc), mais rápido elas acertarão.

Na internet, para os mal intencionados, existem até mesmo listas contendo milhares de combinações, as quais podem então ser utilizadas em conjunto com estas ferramentas de ataque. Acertada a combinação, o acesso está garantido, e aí, os estragos podem ser imensos.

Ataques brute force contra o WordPress

O WordPress é uma plataforma bastante utilizada em websites e blogs no mundo todo. Milhões de sites utilizam o CMS, e devido à sua enorme popularidade, ele é bastante visado por atacantes. Já aconteceram inclusive ataques em massa direcionados a sites que utilizam a plataforma: imagine a quantidade de blogs e sites que podem ter sido comprometidos?

No WordPress, um ataque brute force pode ser direcionado à página de login (www.enderecodosite.tld/wp-login.php). Todos sabem, pelo menos os usuários e os atacantes, que é através desta página que o administrador realiza login. É através dela que ele entra no site a fim de gerenciá-lo, escrever e publicar posts, instalar plugins, etc. Portanto, o “wp-login.php” é o alvo.

Protegendo o WordPress com o plugin Rename wp-login.php

Existem uma série de maneiras de proteger sua instalação do WP de tal tipo de ataque. De impedir o acesso de pessoas mal intencionadas à esta “porta”. Se o atacante se perder, se ele não conseguir nem ao menos visualizar a porta, então ele não conseguirá realizar o ataque, não é?

Aí pode entrar em cena o plugin “Rename wp-login.php”, o qual é bastante amigável e extremamente simples de ser instalado e configurado. Caso você tenha alguma dúvida a respeito da instalação de plugins no WordPress, dê uma lida neste artigo a respeito do plugin “P3 (Plugin Performance Profiler)” – aí existem detalhes da instalação através da própria interface de administração do WordPress.

Bem, o plugin “Rename wp-login.php” permite que você renomeie a “porta de entrada” do WP. Que você altere o endereço de login (www.enderecodosite.tld/wp-login.php), mudando “wp-login.php” para um outro nome qualquer de sua escolha, fazendo assim com que o seu site ou blog fique fora do radar dos atacantes.

Após instalar e ativar o plugin, vá até “Settings ==> Permalinks”, ou “Configurações ==> Links permanentes”, e localize a seção “Rename wp-login.php”. Em “Login url”, logo após o endereço do seu site, existe um campo onde você pode digitar o que desejar.

O novo endereço para acessar sua área de administrativa.

Rename wp-login.phpPor exemplo:

  • www.enderecodosite.tld/xbh3424p
  • www.enderecodosite.tld/cdft42lol
  • www.enderecodosite.tld/asd87ujkkk

E assim por diante. Preencha o campo e clique no botão “Save changes”. Note que nos exemplos acima “xbh3424p”, “cdft42lol” e “asd87ujkkk” são os substitutos do “antigo” wp-login.php. Assim, é muito mais difícil se tornar alvo de ataques brute force direcionados à página de login padrão do WordPress.

Vale lembrar que mesmo quando este tipo de ataque não obtém sucesso, ou seja, quando as senhas não são descobertas, o processo de tentativa e erro realizado com enorme frequência pode elevar o load no servidor, resultando em problemas que podem chegar a fazer com que o(s) site(s) saia(m) do ar.

Finalizando, não se esqueça: coloque a nova URL de login em seus favoritos e utilize sempre senhas fortes, compostas por letras maiúsculas, minúsculas e caracteres especiais.

Clique aqui para baixar o plugin Rename wp-login.php

Carregando...

Você pode se interessar

Por que eu decidi não migrar para o Windows 11 agora
Artigos
44 visualizações
Artigos
44 visualizações

Por que eu decidi não migrar para o Windows 11 agora

Carlos L. A. da Silva - 19 de outubro de 2021

O novo sistema operacional da Microsoft está entre nós, mas talvez não seja uma boa ideia pular de cabeça.

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
192 visualizações
Artigos
192 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
374 visualizações
Artigos
374 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

One Response

Deixe um Comentário

Your email address will not be published.

Mais publicações

A cibersegurança por trás das vacinas
Artigos
471 visualizações
471 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021
Top 25 comandos do Git
Artigos
608 visualizações
608 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
659 visualizações
659 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021