Ultimamente a comunidade WordPress tem sido flagelada com ataques constantes. Muitos blogueiros perderam acesso aos seus blogs, ou simplesmente ficaram com eles inacessíveis, fruto dos ataques dos quais foram alvo e que envolveram milhares de máquinas. A situação foi noticiada por vários veículos, mas muitos usuários de blogs WordPress ficaram atemorizados com a situação e rapidamente procuraram soluções para o seu problema. Os colegas do iThemes também falaram sobre o assunto e explicaram um pouco da situação que se vive neste momento, a forma como os ataques estão sendo reproduzidos, e o que é possível fazer para dar a volta ao problema.
De uma forma geral, estes ataques têm como objetivo usuários que usem a plataforma WordPress e tenham como login no painel administrativo o username “Admin”, que é o padrão do WordPress, embora nos dias de hoje já seja possível ter outros nomes de login além do vulgar “Admin” que era comumente usado por todos os blogs na área. Existem várias formas de resolver o problema, incluindo a instalação de alguns plugins, a mudança de username, a utilização de passwords mais fortes, entre outras vantagens. Vejamos algumas das coisas que você poderá fazer para aumentar a segurança do seu WordPress contra ataques deste tipo e/ou futuros ataques que venham a ser efetuados contra o seu próprio site/blog.
1. Login Lockdown
O plugin Login Lockdown é uma das formas mais simples de aumentar drasticamente a segurança do seu blog WordPress. Basicamente o que ele faz é limitar o número de tentativas falhas de login a um blog WordPress, e a partir desse momento, banir ou simplesmente bloquear esse endereço de IP de modo que não tenha mais possibilidades de voltar a tentar realizar login no seu WordPress.
Logicamente, este plugin atua não só para Bots e outros sistemas que tentam desferir ataques ao seu blog, como também para si, que caso erre consecutivamente, o login no seu painel administrativo, poderá dar origem a um bloqueio do endereço de IP, não lhe permitindo voltar a realizar login no seu blog, até que o mesmo seja removido.
2. Alterar o username do wordPress
Conforme falamos anteriormente, este ataque tem como objetivo usuários que utilizam o username “Admin” por padrão nos seus blogs. Isto significa que é extremamente recomendável que você altere o seu nome de usuário para evitar estar exposto ao tipo de ataque em questão. A alteração do nome de usuário de “Admin” para um outro qualquer pode ser feita de várias formas, incluindo editar a tabela de usuários nos bancos de dados. No entanto, a forma mais simples de fazer, é criando um novo usuário com privilégios de administrador e migrar todo o conteúdo de um usuário para o outro. Vejamos:
- Crie um novo usuário com privilégios de “administrador”. Terá de escolher a Role Administrador, usar um novo endereço de e-mail, diferente do que já tem cadastrado com o seu usuário atual, uma vez que cada usuário deverá ter um endereço de e-mail único;
- Faça logout;
- Faça login com o novo usuário;
- Elimine o usuário “Admin” que usava anteriormente;
- Quando o sistema lhe perguntar o que deverá fazer com os posts e links do usuário “admin”, seleccione a opção “Atribuir todos os posts e links a …”, escolhendo o novo usuário como administrador. Clique em “Confirmar eliminação”;
- Assim que o usuário for removido com sucesso, já poderá voltar a mudar o seu endereço de e-mail para o que tinha anteriormente no usuário agora apagado.
3. Use uma password mais forte
Outro aspecto importante passa pela utilização de uma password mais forte. A grande maioria dos usuários com pouco conhecimento tende a usar passwords muito fáceis de serem descobertas, vulnerabilidade essa que é por norma utilizada pelos Bots que desferem ataques a máquinas com WordPress instalado, portanto, evite sempre utilizar passwords do seguinte tipo:
- admin
- admin123
- 123456
- 123123
- 123456789
- password
- 1234
- 1234567
- 12345
- pass
- abc123
- 12345678
- 1111
- teste
- dragon
- demo
A grande maioria dos Bots utiliza este tipo de password para tentar entrar nos blogs WordPress, usando o referido login “Admin” em paralelo com uma destas passwords. Existem vários serviços na internet que lhe permitem guardar todas as passwords que você utiliza em serviços online, incluindo a dos seus blogs, e usar somente uma chave-mestra para ter acesso à sua conta. Isso lhe permite usar passwords mais fortes em todos os serviços que utiliza online, uma vez que a única chave que você precisa realmente saber é a sua chave-mestra de acesso à sua conta do serviço de proteção de passwords. Vejamos alguns dos serviços que poderá utilizar e que são recomendados pelos principais sites de segurança e tecnologia do mundo:
4. Antecipe os seus backups
Outro aspecto importante são os backups do seu blog. Faça backups com regularidade, e tendo em consideração os ataques recentes, o ideal é que você antecipe os seus backups e comece já a trabalhar no sentido de realizar cópias de segurança de todos os seus blogs. Já explicamos como fazer backups do WordPress para o Google Drive, como fazer backups do WordPress para o Dropbox e também falamos do serviço Vaultpress que é um serviço profissional de backups criado pela Automattic. Recomendamos também que leia o nosso artigo com alguns plugins de segurança recomendados para WordPress, onde poderá encontrar algumas extensões para melhorar a segurança do seu blog.
Outro aspecto importante passa pela utilização de sistemas como o Cloudflare, que lhe permitem espalhar o conteúdo do seu blog por diversos servidores na Europa e Américas, tornando o seu blog mais rápido e ao mesmo tempo menos vulnerável a este tipo de situações. A Cloudflare tem inclusive um plugin para WordPress. A própria Cloudflare trata de gerenciar as tentativas de entrada forçada no seu sistema, e inclusivamente publicou um artigo onde explica como lidar com esta situação de ataques forçados que está sendo desferida aos blogs WordPress no geral.
Até já!