we are developers

iMaster Developers

iMaster DevelopersPowered by:

Back-End

17 out, 2012

Aumentando a segurança do login em WordPress

Diogo Espinha

Tem 4 artigos publicados com 1600 visualizações desde 2012

Diogo Espinha
Publicidade

A segurança do WordPress pode ser aumentada de várias maneiras, e apesar dos desenvolvedores da plataforma desenvolverem e melhorarem a segurança da plataforma, existem sempre métodos adicionais que você poderá aplicar para aumentar ainda mais a segurança. Antes da versão 3.0 do WordPress, o nome de usuário pré-definido era admin, e isto abria portas a os hackers que sabeoubessem o usuário, pudessem passar logo para a parte onde tentavam descobrir a password. Depois de versão 3.0, isto foi eliminado e foi dada a possibilidade de ser escolhido um nome de usuário diferente, evitando assim que o nome de usuário fosse sempre o mesmo. Neste artigo, vamos-lhe conhecer alguns métodos que poderá aplicar nos seus websites em WordPress para que aumente a sua segurança, fazendo com que os ataques de hackers sejam afastados. Não perca mais tempo e aumente a segurança do login em WordPress com estas dicas!

1. Inserir password no acesso ao WP-LOGIN.PHP

O local onde se faz o login para chegar ao painel de administração da sua instalação será aquele que provavelmente será o primeiro alvo de quem pretende atacar e entrar no seu website, então, um dos métodos que podemos desde logo aplicar para tornar essas tentativas mais complicadas, é proteger o acesso ao wp-login.php com uma password. Neste caso, vamos utilizar o plugin AskApache Password Protect, que permite-lhe definir uma password para a página de login da sua instalação. Depois de instalar este plugin, o processo não é tão simples, pois este plugin tem a particularidade de adicionar essa segurança sem tocar no seu banco de dados. Antes de começar qualquer tipo de operação e alteração, sugerimos que faça um backup integral do seu website, pois um dos problemas associados que poderão acontecer quando se trabalha com o .htaccess é você perder o acesso ao painel de administração.

Depois de instalar e ativar o plugin, dirija-se a Opções -> AA Pass Pro. O primeiro passo é ler os parágrafos iniciais da página onde o autor do plugin mostra alguns dos perigos da utilização do plugin, bem como novidades e outras informações de relevância. Mais abaixo terá alguns campos já preenchidos com os diretórios para o ficheiro .htaccess e no final da página tem um botão para iniciar os testes do plugin à sua instalação WordPress. Clique no botão e serão feitos os testes, e depois de concluídos, dirija-se novamente ao fim da página e clique em Continue to Setup.

Nesta tela, você irá começar a configurar o plugin e inserir a segurança pretendida na sua página de login. Insira os dados de usuário de acordo com a sua preferência e clique em save settings. Depois de clicar em save settings, você será levado para uma nova tela onde terá à disposição todos os tipos de segurança que poderá inserir na sua instalação apenas com a utilização deste plugin. A primeira opção é inserir a password no ficheiro wp-login.php, e para o fazer basta clicar em Ativar e será ativa esta funcionalidade. O processo para os restantes itens disponíveis para inserir segurança é basicamente o mesmo, sendo a partir deste ponto a utilização deste plugin bastante intuitiva.

2. Inserir a autenticação Google 2-STEP

O Google recomenda a utilização da autenticação 2-step para todos os orgulhosos proprietários de uma conta Google, mas esta autenticação pode ser aplicada a qualquer aplicativo web através da utilização da API do 2-step. Para a utilização desta funcionalidade, que apenas irá funcionar com smartphones, como o iPhone, dispositivos móveis Android e Blackberry, o primeiro passo á fazer o download e instalação do 2-step; para isso dirija-se à Google Play Store e faça o download do Google Authenticator para o seu dispositivo.

Depois de baixado e instalado o aplicativo, execute-o e siga os seguintes passos:

  1. Instale o plugin 2-step no WordPress. Para isso, dirija-se aos plugins e pesquise por Google Authenticator. Instale o plugin e de seguida dirija-se a Utilizadores -> Seu Perfil. Aí encontrará um conjunto de campos que têm de ser preenchidos com informações para que seja feita a ligação;
  2. No seu dispositivo, abra o aplicativo e clique em adicionar uma conta. Neste caso, vamos fazer o processo manual e inserir o e-mail da conta Google. No campo valor-chave, introduza a chave presente na página do ponto anterior;
  3. De seguida, clique em Adicionar e será levado para uma tela onde terá um código. Este é o código que terá de ser inserido na página de login.

Depois de inserir o usuário e a password, insira o código presente no aplicativo no seu dispositivo e só com o código correto será possível fazer o login na plataforma.

3. Definir um limite máximo de tentativas de login

Um dos métodos utilizados pelos hackers para tentarem entrar no seu website é a sucessão de múltiplas tentativas de login com diferentes usuários e passwords. É possível determinar um número máximo de tentativas de login por parte dos usuários, de forma a que a sua conta seja bloqueada por um determinado tempo quando esgotar o número máximo de tentativas. Este método pode ser introduzido pela utilização de um plugin denominado Limit Login Attempts. Depois de instalar o plugin, dirija-se à sua página de configurações:

 

Aqui, defina de acordo com as suas preferências o número máximo de tentativas de login, o tempo que a conta será bloqueada, quantos bloqueios seguidos são permitidos até fazer um bloqueio mais extenso da conta e defina qual o tempo em que será feito o reset do bloqueio da conta. Outra funcionalidade útil deste plugin é a possibilidade de ser notificado por e-mail quando uma conta for bloqueada, fazendo o log do ip e enviando-lhe um e-mail para notificar o sucedido. Este plugin é de utilização bastante simples e intuitiva, tendo uma página de configurações bastante simples com poucas opções, fazendo com que qualquer usuário WordPress possa configurá-lo e aumentar a segurança da sua instalação.

4. Forçar password fortes para usuários

A utilização de passwords genéricas por parte dos usuários é um ponto que pode ser explorado por quem tem más intenções. Muito frequentemente são utilizadas passwords como o nome de família, nome dos animais de estimação, ou outras palavras que são termos genéricos. Isto deve ser evitado a todo o custo, e para que seja feito por todos os usuários é possível força-los a fazê-lo utilizando o plugin Enforce Strong Password. Para instalar o plugin, dirija-se à página de plugins da sua instalação WordPress e pesquise por Enforce Strong Password. Depois de instalado, a página de configurações do plugin limita-se á definição do nível de segurança das passwords, podendo optar por 4 níveis:

Depois de definir o nível de segurança pretendido, dirija-se ao painel de usuário para testar o plugin:

 

Depois de termos tentando alterar a password e inserido uma password fraca, recebemos uma notifficação do plugin que nos dá conta que devemos inserir uma password mais forte. Caso a sua password não tenha os requisitos mínimos de segurança, a mesma não será alterada.

Estes são quatro métodos que você poderá aplicar nas suas instalações WordPress para aumentar a segurança das mesmas, fazendo não só com que os hackers vejam alguns dos seus métodos barrados como também força a que os usuários utilizem passwords fortes que não comprometam a segurança do website em si.

Abraço!

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Diogo Espinha
Saiba mais

Diogo Espinha

edit4 Artigo(s)

É workaholic e totalmente viciado em computadores, Internet e esporte motorizado. É um curioso da programação em PHP, CSS e HTML5 e não dispensa a companhia do seu Mac OSX 86 Snow Leopard!