Forte segurança de login com WP Cerber
English version: Strong login security with WP Cerber
Não é nenhum segredo que os malfeitores podem invadir um WordPress recém-instalado em poucos minutos montando um ataque de força bruta. É possível porque o WordPress não possui mecanismos integrados de mitigação de ataques, o URL de login padrão é bem conhecido e o nome de usuário do administrador de um site pode ser descoberto com facilidade. O WP Cerber traz todas as ferramentas necessárias para mitigar ataques de força bruta e proteger as contas dos usuários.
Configurando as configurações de segurança de login do WP Cerber
As configurações de segurança de login estão localizadas na guia Configurações principais. Aqui você pode configurar os limites de tentativas de login, restringir o acesso a wp-login.php e configurar mensagens de erro para impedir a descoberta de nomes de usuário e e-mails ao usar nomes de usuário e e-mails inexistentes.
Limitando tentativas de login para mitigar ataques de força bruta
As configurações padrão e recomendadas para limitar as tentativas de login são destacadas como nº 1 na captura de tela. Essas configurações foram definidas quando você ativou o WP Cerber. Se você tem muitos clientes no site, por exemplo, você administra uma loja WooCommerce, faz sentido aumentar o limite de tentativas de login.
WordPress Login Security – WP Cerber Settings
Processando solicitações de autenticação wp-login.php
Veja a seleção #2. Por padrão, o WordPress usa wp-login.php como a página de login do site que processa todos os logins de usuários, bem como fornece o formulário de registro e o formulário de redefinição de senha. Se você configurou o URL de login personalizado , é recomendável desativar o wp-login.php. Você tem duas opções. Você pode bloquear completamente o acesso ao wp-login.php e tornar o arquivo inacessível para qualquer pessoa, ou pode desabilitar a autenticação do usuário através do wp-login.php sem bloquear o acesso ao arquivo. Você pode escolher qualquer uma das opções. Ambos impedem a autenticação do usuário via wp-login.php.
Quando a primeira opção está habilitada, o WP Cerber renderiza e retorna a página de erro "404 Página não encontrada" como se não houvesse tal arquivo no site. Assim, os maus atores não têm nada para atacar.
Quando a segunda opção está habilitada, o WP Cerber impede qualquer autenticação do usuário, mesmo com nomes de usuário e senhas corretos. Isso significa que ninguém pode fazer login usando wp-login.php. Após uma tentativa de fazer login via wp-login.php, o WP Cerber mostra a mensagem de erro de senha incorreta padrão, imitando o processo de autenticação padrão do WordPress. O uso dessa abordagem ajuda o WP Cerber a detectar ataques lentos de força bruta usando wp-login.php como um honeypot de detecção. Todas as tentativas de login via wp-login.php são registradas no log de atividades do WP Cerber, conforme mostrado na captura de tela abaixo.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Evite que pessoas mal-intencionadas descubram nomes de usuários reais e e-mails de clientes
As mensagens de erro padrão de login e redefinição de senha geradas pelo WordPress são bastante detalhadas e ajudam os hackers a detectar nomes de usuário e e-mails reais para usá-los para montar ataques de força bruta ou de engenharia social.
Desative a mensagem de erro de login padrão
Quando ativado, as mensagens de erro de login não indicam nomes de usuário e e-mails inválidos ao tentar fazer login com os inexistentes . Em vez disso, o WP Cerber exibe a mensagem de erro padrão do WordPress usada quando um usuário insere uma senha incorreta. Isso ajuda a impedir que pessoas mal-intencionadas adivinhem nomes de usuário e e-mails válidos. Essa abordagem também é conhecida como desabilitar dicas de login.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de login usando o campo de configuração de mensagem de erro de login personalizado .
Desative a mensagem de erro de redefinição de senha padrão
Quando habilitadas, as mensagens de erro de redefinição de senha não indicam nomes de usuário e e-mails inválidos ao tentar redefinir a senha para um nome de usuário ou e-mail inexistente. Em vez disso, o WP Cerber imita o processo padrão de redefinição de senhas e exibe a seguinte mensagem sempre que os usuários inserem nomes de usuário e e-mails válidos ou inexistentes.
The new WordPress password reset message generated by WP Cerber Security
Essa abordagem ajuda a impedir que pessoas mal-intencionadas adivinhem nomes de usuário válidos e é conhecida como desativação das dicas de redefinição de senha.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de redefinição de senha usando o campo de configuração de mensagem de erro de login personalizado .
Observe que todos os recursos descritos acima não se aplicam aos endereços IP na White IP Access List .
Como limitar o número de sessões de usuário simultâneas no WordPress
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.