#365Posts – Protegendo o WordPress de ataques de força bruta

Conheça um plugin que pode defender o seu blog contra ataques de força bruta, o mais estúpido e mais eficiente método de invasão de blogs WordPress (e qualquer outro tipo de site).

14 de junho de 2013 • Por Janio Sarmento, em #365Posts, Internet, Tecnologia

É inegável o crescimento que o WordPress tem tido nos últimos anos como plataforma de publicação. Muitos sites institucionais com aparência ótima, que nada lembram os blogs “tradicionais” (como este aqui), muitos “aplicativos” (como comunidades, redes socias, comércio eletrônico, classificados, e outros), ou outros, têm sua inteligência básica movida a WordPress.

Para um script kid experimentado não é difícil descobrir se um site foi escrito em cima do WordPress ou não, assim como não é nada difícil encontrar sites movidos a WordPress Internet afora. E conhecendo minimamente a plataforma é fácil para qualquer um com QI ligeiramente acima da temperatura ambiente fazer ataques de força bruta para tentar invadir um site.

Ataques de força bruta são aqueles em que o vilão utiliza algum mecanismo — automatizado ou não — para fazer tentativas de acesso ao site “chutando” combinações de usuário e senha. Pode parecer pouco inteligente, e é. Mas há milhares e milhares de donos de sites que são ainda menos inteligentes e usam senhas fáceis de descobrir para usuários padrão do WordPress, e o resultado é que centenas de sites são “hackeados” diariamente.

Particularmente, gosto de duas medidas para defender meus sites deste tipo de ataques: trocar a URL de login e de administração do WordPress (se os pilantras não sabem onde encontrar o formulário de login, eles não têm um foco para o ataque de força bruta); e utilização de senhas fortes, aleatórias.

A ocultação das URLs padrão do WordPress pode ser obtida facilmente com o plugin Better WP Security (para uma resenha bastante completa, muito mais do que eu teria saco para escrever, acesse este post da Via Hospedagem: Segurança WordPress: protegendo a casa com o Better WP Security). Sem link direto para o plugin porque você pode instalar diretamente pelo instalador de plugins do WordPress, sem riscos de errar na instalação.

O simples fato de ocultar as URLs já é suficiente para debelar pelo menos 90% dos ataques de força bruta.

Em alguns casos, entretanto, não é possível instalar o plugin, ou suas opções de configuração se tornam esotéricas demais para usuários menos técnicos.

Aí entra um outro plugin, o BruteProtect. Ele funciona parecido com o Akismet, o mais famoso antispam do universo WordPress: você instala e ativa o plugin, obtém uma chave gratuita para acesso à API e esquece que o plugin existe. Quanto mais gente usando o plugin, mais eficiente ele vai se tornando, porque vai “aprendendo” a partir de dados reais a identificar o comportamento de botnets, e outros tipos de ataques. E como o processamento é feito nos servidores deles, e não no seu WordPress, o plugin acaba sendo muito leve, e pelo que pude observar até agora compatível com qualquer tamanho de hospedagem.

Só não recomendo aos fracos de coração, que poderão descobrir que seus blogs são alvos constantes de ataques de força bruta. Nos vinte minutos que levei para escrever este post meu blog sofreu apenas um ataque barrado pelo BruteProtect, mas tenho certeza que em outros horários, e em blogs mais populares, este número pode ser da casa de milhares por hora.

Painel_‹_O_Blogue_do_Janio_—_WordPress

Descobri no WPP Tavern: WPTavern: BruteProtect – Protecting Against Brute Force Attacks

Compartilhe

1 comentário

  • Como ocultar o wp-login.php do WordPress • 18/01/2015

    […] são os mais comuns contra todo tipo de site, o que inclui o popular WordPress. Já falei aqui sobre uma das muitas maneiras de fazer esta proteção (e no texto há um link para um outro post […]

    Responder

Deixe seu comentário!