Colocar um site ou loja virtual online, exige por si só, que medidas de segurança e prevenção contra ataques sejam tomadas. Possuir um site funcional, cheio de conteúdo e imagens de qualidade pode “ir por água abaixo” se a segurança do servidor e da área de login não receberem o devido cuidado.
A segurança no WordPress é um assunto para o qual o CanalWP sempre busca chamar atenção, trazendo diferentes dicas e maneiras para garantir que o site não seja invadido e seus conteúdos perdidos. Por isso já te listamos algumas das Melhores Práticas para Garantir a Segurança do WordPress e também como manter backups atualizados do seu site – veja 10 Populares Backup Plugins para WordPress e Coisas Importantes a Fazer Depois de Instalar o WordPress.
Segurança no WordPress com Loginizer
Uma das táticas favoritas para invadir e derrubar sites é a força bruta. Por isso, trouxemos uma ferramenta já bastante utilizada em todo o mundo para evitar esse tipo de ataque. Você vai aprender uma das maneiras de conquistar mais segurança no WordPress com o Loginizer.
Loginizer
O Loginizer é um plugin para aumentar a segurança e proteger seu site WordPress. Para blindar seu site contra ataques de força bruta, essa ferramenta é excelente para ajudar nessa tarefa. Ele tem sido utilizado por mais de 400 mil usuários ativos e possui avaliação de 5 estrelas.
O plugin funciona bloqueando a possibilidade de login para um ou mais IPs, após ter sido realizada diversas tentativas sem sucesso de login. O Loginizer permite que você defina esse número máximo de tentativas e estabeleça um tempo limite para que o bloqueio permaneça ativo. É possível trabalhar com listas negras e brancas, criando regras para bloqueio ou liberação fixa por IP.
Para saber como adicionar o Loginizer em seu WordPress, veja o post Como Instalar e Ativar um Plugin no WordPress e siga os passos abaixo para configurá-lo corretamente.
Configurações
Imediatamente após instalar e ativar o plugin Loginizer as configurações para aumentar a segurança do seu WordPress podem ser iniciadas. Nos tópicos a seguir, trago um passo a passo das áreas que o plugin traz consigo.
Painel
A primeira página de configuração do plugin que você pode acessar é Loginizer Security > Painel. Nessa página nós conseguimos ter uma visão geral sobre como está a segurança dos diretórios e arquivos do nosso site.
Em File Permissions você encontra os principais arquivos e diretórios e ao lado de cada um, como estão as atuais regras de permissão. O Loginizer traz até sugestões de como deve ser a permissão para cada um deles.
Para saber um pouco mais sobre permissões de arquivos e diretórios, leia o post Como Usar FTP para Transferir e Modificar Arquivos no WordPress. Caso faça uso de hospedagem Windows, nem sempre podemos alterar as permissões por conta própria, sendo necessário entrar em contato com a equipe de suporte.
Brute Force
O segundo item de menu do Loginizer é o Brute Force, onde as configurações para impedir ataques por força bruta devem ser realizadas.
Logo no início da página temos o box Failed Login Attempts Logs, onde estarão listadas as tentativas de login nas últimas 24 horas. Como o plugin acaba de ser instalado e ativado, é normal a lista aparecer vazia.
Em Brute Force Settings finalmente chegamos às configurações das regras contra ataques por força bruta.
Na opção Max Retries defina o número máximo de vezes que um usuário pode tentar fazer login antes de aplicar o bloqueio para novas tentativas.
Em Lockout Time você deve estabelecer o tempo em minutos, para que uma nova tentativa de login possa ser realizada.
Por exemplo: 3 tentativas sem sucesso (Max Retries), o IP daquele usuário ficará bloqueado para novas tentativas de login por 10 minutos (Lockout Time).
Defina em Max Lockouts o número máximo de bloqueios que um usuário pode sofrer.
Extend Lockout é o tempo em horas, para que o bloqueio por Max Lockouts seja zerado.
Por exemplo: 5 bloqueios (Max Lockouts), o IP daquele usuário estará livre para fazer login apenas após 24 horas / 1 dia (Extend Lockout).
Em Reset Retries você pode definir em quantas horas as tentativas de login podem ser redefinidas.
Por fim, em Email Notification você pode configurar após quantos bloqueios por tentativas de login sem sucesso um e-mail de notificação deve ser enviado.
Clique em Save Settings para armazenar todas as configurações realizadas.
Os próximos boxes que o Loginizer oferece para aumentar a segurança do seu WordPress são Blacklist IP e Whitelist IP. Onde é possível definir um intervalo ou um IP específico para cada lista, a primeira é para bloqueio de IPs e a segunda para permitir IPs por padrão.
Assim, se o plugin está mostrando que um ou vários IPs estão realizando muitas tentativas de login e você sabe que são possíveis ataques por força bruta, basta copiar esses IPs e colar na Blacklist IP para bloqueá-los de forma permanente.
Site mais Seguro
Com o Loginizer ativado e configurado em seu site ou loja WordPress, o sistema de prevenção contra ataques por força bruta é estabelecido.
Assim, quando um usuário estiver no sistema de login e errar as informações de acesso, as informações sobre o número de tentativas já começa a ser exibido. Ultrapassando o número permitido, o bloqueio é ativado e após o tempo configurado ele pode realizar novas tentativas.
Conclusão
Aqui no blog você já viu algumas dicas sobre como reforçar a segurança da página de login WordPress, mas com um outro tipo de ferramenta. O plugin de hoje, o Loginizer, é mais uma excelente solução para blindar o seu site e loja WordPress contra ataques por força bruta, por isso é um forte aliado para aumentar a segurança.
Muito simples e fácil de configurar, o Loginizer não demora nem 5 minutos para estar ativo e funcional. Por isso, se você ainda não havia atentado para a segurança do seu site e do seu servidor, pode começar a mudar esse cenário adotando essa ferramenta como uma das formas de defesa contra indivíduos mal intencionados.
Se você gostou desse artigo considere compartilhar nas redes sociais. Siga-nos nas redes sociais para acompanhar mais artigos como esse. Se de alguma forma este artigo lhe foi útil deixa seu comentário abaixo para podermos saber a sua opinião.
Ferramentas WordPress Veja Mais Ferramentas
WP Rocket
MailChimp
Envira Gallery
Excelente artigo. Me ajudou a configura meu plugin.
Oi, Sendy… tô achando (de achismo mesmo) que meu plugin tá impedindo o rastreamento do Analytics, Sitemap, entim, mais o robozinho do Adsense. Caso possa ajudar esse pobre e velho geminiano, meu contato segue abaixo. E parabéns pela aula dada.
Meu site ta bem seguro, fiz tudo na unha, to vendo que o plugin facilita mesmo.
Olá Marta,
Obrigado por deixar sua opinião sobre o plugin.
Fico feliz que tenha lhe ajudado.
Abraço.