Para proteger sua conta ou site contra tentativas de login indesejadas, certifique-se de ter definido uma senha forte e ativado a autenticação em duas etapas. Você também pode proteger seu site contra ataques de força bruta, que este guia abordará.
Neste guia
Os ataques de força bruta são um método que os hackers usam para explorar vulnerabilidades de código em sites do WordPress. Os hackers usam grandes redes de computadores, conhecidas como botnets, para tentar acessar o seu site com milhares de combinações diferentes de nomes de usuário e senhas até encontrar a correta.
Há dois métodos principais de fazer login em um site do WordPress:
- wp-login é a página de login do WordPress localizada em
/wp-login.php. No WordPress.com, você pode fazer login com segurança aqui usando suas credenciais. - XMLRPC é um método usado por aplicativos externos para autenticar e interagir com o WordPress.
Ambos os métodos são vulneráveis a ataques de bots tentando obter acesso a sites. Pensando nisso, o nosso plugin do Jetpack protege os dois contra ataques de força bruta no WordPress.com. Em média, o Jetpack bloqueia mais de 5 mil ataques de força bruta no WordPress durante a existência de um site.
Não importa o tamanho do seu site, há sempre alguém ou algo tentando invadi-lo. Se forem bem-sucedidos, os ataques de força bruta poderão desacelerar ou impedir a resposta do seu site e dar aos hackers acesso não autorizado ao conteúdo e aos dados contidos nele.
A proteção contra ataques de força bruta no WordPress.com bloqueia tentativas de login indesejadas de ataques tradicionais e distribuídos, ajudando a manter seu site seguro desde o momento em que é criado.
Com a proteção contra ataques de força bruta, você pode:
- Bloquear automaticamente endereços de IP suspeitos antes que eles cheguem ao seu site
- Listar IPs confiáveis para evitar falso-positivos
- Ativar ou desativar a funcionalidade conforme necessário
O Jetpack usa dados de milhões de sites para detectar e deter ameaças. Por exemplo, se um bot não conseguir fazer login em um site, ele será bloqueado em outros sites antes mesmo de tentar o acesso.
Esta seção do guia destina-se a sites com o plano WordPress.com Negócios e Commerce. Se você tiver um plano Negócios, certifique-se de ativá-lo. Para sites gratuitos e sites com os planos Pessoal e Premium, faça upgrade do seu plano para acessar essa funcionalidade.
Sites hospedados no WordPress.com não podem desativar o plugin Jetpack, pois isso interromperia o acesso ao seu site e removeria as funcionalidades essenciais que ele fornece. O Jetpack é gerenciado automaticamente para que possamos garantir a melhor segurança e desempenho para seu site.
No entanto, você pode desativar funcionalidades específicas do Jetpack que podem estar causando um conflito. A proteção contra ataques de força bruta é ativada por padrão quando você cria seu site do WordPress.com.
Você pode desativar e reativar a funcionalidade com as seguintes etapas:
- Acesse o painel do seu site.
- Vá até Jetpack → Configurações.
- Clique na guia Segurança .
- Role para baixo até a seção Proteção contra ataques de força bruta e ative ou desative a funcionalidade:
Você pode criar uma lista de permissões de endereços de IP para evitar que sejam bloqueados. Isso é útil se você fez várias tentativas de login com falha ou se o Jetpack sinalizou atividades incomuns do seu IP atual.
Para adicionar um endereço de IP à lista de permissões do seu site:
- Acesse o painel do seu site.
- Vá até Jetpack → Configurações.
- Clique na guia Segurança .
- Role para baixo até a seção Endereços de IP sempre permitidos.
- Ative a configuração.
- Adicione os endereços de IP que você deseja à lista (separados por vírgula). Os endereços IPv4 e IPv6 são aceitos. Para especificar um intervalo, insira o menor e o maior valor separados por um traço. Exemplo:
12.12.12.1-12.12.12.100 - (Opcional) Clique no botão Adicionar à lista de permissões para incluir facilmente seu endereço de IP atual.
Suporte 