Início#365Posts

#365Posts – Protegendo o WordPress de ataques de força bruta

É inegável o crescimento que o WordPress tem tido nos últimos anos como plataforma de publicação. Muitos sites institucionais com aparência ótima, que nada lembram os blogs “tradicionais” (como este aqui), muitos “aplicativos” (como comunidades, redes socias, comércio eletrônico, classificados, e outros), ou outros, têm sua inteligência básica movida a WordPress.

Para um script kid experimentado não é difícil descobrir se um site foi escrito em cima do WordPress ou não, assim como não é nada difícil encontrar sites movidos a WordPress Internet afora. E conhecendo minimamente a plataforma é fácil para qualquer um com QI ligeiramente acima da temperatura ambiente fazer ataques de força bruta para tentar invadir um site.

Ataques de força bruta são aqueles em que o vilão utiliza algum mecanismo — automatizado ou não — para fazer tentativas de acesso ao site “chutando” combinações de usuário e senha. Pode parecer pouco inteligente, e é. Mas há milhares e milhares de donos de sites que são ainda menos inteligentes e usam senhas fáceis de descobrir para usuários padrão do WordPress, e o resultado é que centenas de sites são “hackeados” diariamente.

Particularmente, gosto de duas medidas para defender meus sites deste tipo de ataques: trocar a URL de login e de administração do WordPress (se os pilantras não sabem onde encontrar o formulário de login, eles não têm um foco para o ataque de força bruta); e utilização de senhas fortes, aleatórias.

A ocultação das URLs padrão do WordPress pode ser obtida facilmente com o plugin Better WP Security (para uma resenha bastante completa, muito mais do que eu teria saco para escrever, acesse este post da Via Hospedagem: Segurança WordPress: protegendo a casa com o Better WP Security). Sem link direto para o plugin porque você pode instalar diretamente pelo instalador de plugins do WordPress, sem riscos de errar na instalação.

O simples fato de ocultar as URLs já é suficiente para debelar pelo menos 90% dos ataques de força bruta.

Em alguns casos, entretanto, não é possível instalar o plugin, ou suas opções de configuração se tornam esotéricas demais para usuários menos técnicos.

Aí entra um outro plugin, o BruteProtect. Ele funciona parecido com o Akismet, o mais famoso antispam do universo WordPress: você instala e ativa o plugin, obtém uma chave gratuita para acesso à API e esquece que o plugin existe. Quanto mais gente usando o plugin, mais eficiente ele vai se tornando, porque vai “aprendendo” a partir de dados reais a identificar o comportamento de botnets, e outros tipos de ataques. E como o processamento é feito nos servidores deles, e não no seu WordPress, o plugin acaba sendo muito leve, e pelo que pude observar até agora compatível com qualquer tamanho de hospedagem.

Só não recomendo aos fracos de coração, que poderão descobrir que seus blogs são alvos constantes de ataques de força bruta. Nos vinte minutos que levei para escrever este post meu blog sofreu apenas um ataque barrado pelo BruteProtect, mas tenho certeza que em outros horários, e em blogs mais populares, este número pode ser da casa de milhares por hora.

Painel_‹_O_Blogue_do_Janio_—_WordPress

Descobri no WP Tavern: WPTavern: BruteProtect – Protecting Against Brute Force Attacks

Newsletter

Gostou deste conteúdo? Informe seu email e receba gratuitamente todos os novos posts na sua caixa de entrada (será necessário confirmar a inscrição em seguida, verifique sua caixa postal).

Leia também
Deixe seu comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.