Matheus Carcasa Web Gestão de TI / Web / EaD
Desde 2002, seus parceiros na Web.
Enviar
logo

Wordfence – Configurar Proteção de força bruta

O Brute Force Protection limita as tentativas de login no seu site.

Um ataque de força bruta consiste em uma grande quantidade de tentativas repetidas de adivinhar seu nome de usuário e senha para obter acesso ao seu administrador do WordPress. Esses ataques são automatizados e os nomes de usuário e senhas usados ​​para adivinhação geralmente se originam de vazamentos de big data. Limitar a quantidade de tentativas de login permitidas pelo site e bloquear usuários que tentam um nome de usuário inválido são duas maneiras de se proteger contra esse tipo de ataque. Veja as opções completas abaixo.

Opções

As opções de proteção contra força bruta estão localizadas em Opções de firewall.

Ativar proteção de força bruta

Esta opção é uma opção global de habilitar / desabilitar todos os itens que aparecem sob o título Brute Force Protection. Esses incluem:

Bloquear após quantas falhas de login

Isso bloqueará um endereço IP por um período especificado, se esse visitante gerar o número especificado de falhas de login. Observe que é comum que usuários reais esqueçam suas senhas e gerem até 5 ou mais tentativas de login enquanto tentam lembrar seu nome de usuário e / ou senha. Portanto, recomendamos que você defina isso como 20, o que oferece aos usuários reais muitas oportunidades de entrar, mas bloqueia um ataque de força bruta após 20 tentativas.

Bloquear após quantas tentativas de senha foram esquecidas

Isso limita o número de vezes que o formulário “Esqueceu a senha?” Pode ser usado. Isso protege você contra o uso do formulário “Esqueceu a senha?” Para inundar um usuário real com emails de redefinição de senha e evita que os invasores tentem adivinhar as contas de usuário em seu sistema. Definir isso como 5 deve ser suficiente para a maioria dos sites.

Contar falhas em que período

Isso especifica o período de tempo em que contamos as falhas. Portanto, se você especificar 5 minutos e 20 falhas, se alguém não entrar 20 vezes durante um período de 5 minutos, será bloqueado no logon. Os ataques de força bruta geralmente enviam uma tentativa de login a cada poucos segundos. Portanto, se você definiu o número de falhas de login como 20, 5 minutos são suficientes para capturar uma tentativa de corte por força bruta. Você tem a opção de configurá-lo mais alto.

Quanto tempo um usuário fica bloqueado

Isso especifica por quanto tempo um endereço IP fica bloqueado quando a proteção por força bruta do Wordfence os bloqueia. Lembre-se de que o objetivo é impedir que um ataque remoto tenha muitas oportunidades de adivinhar os nomes de usuário e senhas do seu site. Se você tiver senhas razoavelmente fortes, serão necessárias milhares de suposições para adivinhar sua senha corretamente.

Portanto, se você tiver sua contagem de falhas definida como 20, seu período definido para 5 minutos e você definir esta opção para 5 minutos, um invasor receberá apenas 20 suposições a cada 5 minutos e precisará aguardar 5 minutos enquanto estiver trancado. Portanto, o efeito é que eles recebem apenas 20 palpites a cada 10 minutos ou 2880 palpites por dia, supondo que percebam que podem reiniciar o ataque exatamente 5 minutos após serem bloqueados. Se você acha que isso não é suficiente, pode aumentar o tempo de bloqueio para 60 minutos, o que reduz drasticamente o número de tentativas diárias de suposições de um invasor.

Bloquear imediatamente nomes de usuário inválidos

Essa opção bloqueará imediatamente alguém que tentar fazer login com um nome de usuário inválido. Observe que seus usuários reais podem digitar incorretamente seus nomes de usuário. Isso fará com que sejam bloqueados, o que é um inconveniente. Recomendamos ativar esse recurso para sites com um número baixo de usuários, como 1-2 administradores e / ou possivelmente alguns editores. Se um usuário legítimo estiver bloqueado, você poderá encontrar e excluir qualquer bloco atualmente ativo na página Firewall do Wordfence > Bloqueio .

Bloquear imediatamente o IP de usuários que tentam entrar como esses nomes de usuário

Qualquer nome de usuário que você adicionar aqui fará com que um IP seja bloqueado se eles tentarem fazer login com esse nome de usuário. Você pode adicionar nomes de usuário que são freqüentemente usados ​​em tentativas de força bruta, como “admin” ou seu nome de domínio sem o domínio principal. Certifique-se de que os nomes de usuário adicionados a esta lista não sejam idênticos ou semelhantes aos nomes de usuários reais no seu sistema, pois isso pode fazer com que usuários legítimos sejam bloqueados se digitarem um erro de digitação.

Impedir o uso de senhas vazadas em violações de dados

Essa opção impede que os usuários efetuem login com uma senha existente em uma lista de senhas vazadas em violações de dados. Os invasores usam essas listas para invadir sites e instalar códigos maliciosos. Você pode optar por bloquear apenas os administradores que usam essas senhas ou pode permitir que essa opção se aplique a todos os usuários que tenham o privilégio de “publicar postagens” (que inclui administradores). A configuração padrão é bloquear apenas os administradores.

O que é uma senha vazada em uma violação de dados? Quando sites grandes são invadidos, as credenciais às vezes vazam. Esses vazamentos são usados ​​para compilar listas de senhas. As listas são usadas por atores mal-intencionados que executam bots e tentam fazer login nos sites do WordPress. Você pode ler mais sobre isso em nosso blog .

Se você ou outro usuário estiver bloqueado por esta opção, poderá recuperar o acesso ao seu site redefinindo sua senha. Quando você redefine sua senha ou a altera no WordPress, esse recurso também verifica a nova senha nas mesmas listas de senhas vazadas. Se você precisar permitir senhas não seguras em seu site por algum motivo, poderá desativar esse recurso completamente.

Aplicar senhas fortes

Você pode usar isso para “Forçar administradores e editores” ou “forçar todos os membros” a usar senhas fortes. Recomendamos que você force administradores e editores a usar senhas fortes. Quando um usuário em seu site WordPress altera sua senha, o Wordfence verifica a senha em um algoritmo para garantir que ela seja forte o suficiente para fornecer um bom nível de proteção. Se a senha falhar nessa verificação, ela será rejeitada e o usuário deverá digitar uma senha mais forte.

O Wordfence verifica se a senha tem um comprimento mínimo, se não corresponde a nenhuma senha óbvia conhecida e, em seguida, usa um sistema de pontos para alocar pontos com base em coisas como se ela contém um número, se possui letras maiúsculas e minúsculas e, portanto, em. Se a pontuação do ponto não exceder um nível exigido, rejeitará a senha que o usuário digitou.

Não deixe o WordPress revelar usuários válidos em erros de login

Por padrão, quando você digita um nome de usuário válido com uma senha incorreta, o WordPress informa que você digitou um bom nome de usuário, mas a senha está incorreta. Se você digitar um nome de usuário e senha incorretos, o WordPress informará que o nome de usuário não existe. Esse é um grave problema de segurança porque permite que os usuários descubram com facilidade quais usuários existem no seu site WordPress e os direcionem para ataques.

Esta opção fornece uma mensagem genérica de: “O nome de usuário ou senha digitados estão incorretos.” Protegendo assim seus nomes de usuário e não revelando se o hacker adivinhou um usuário válido. É altamente recomendável que você ative esse recurso.

Impedir que os usuários registrem o nome de usuário ‘admin’ se ele não existir

Se você desativar e remover a conta ‘admin’ no WordPress e tiver a opção “Qualquer pessoa pode se registrar” ativada nas configurações “Geral” do WordPress ao lado de “associação”, é possível que os usuários registrem uma conta com o nome de usuário “admin , “Que pode causar confusão no seu sistema e pode permitir que esses usuários persuadam outros usuários a divulgar dados confidenciais.

A ativação desse recurso evita que isso aconteça. Recomendamos que você ative esta opção.

Impedir a descoberta de nomes de usuário por meio de verificações ‘/? Author = N’, a API oEmbed e a API REST do WordPress

Em um sistema WordPress, é possível descobrir nomes de usuário válidos visitando um URL especialmente criado que se parece com um destes:

  • example.com/?author=2
  • example.com/wp-json/oembed/1.0/embed?url=http%3A%2F%2Fexample.com%2Fhello-world%2F
  • example.com/wp-json/wp/v2/users

A ativação dessa opção impede que os hackers possam descobrir nomes de usuários usando esses métodos. Isso inclui encontrar o autor nos dados da postagem fornecidos publicamente pela API oEmbed e pela URL de “usuários” da API REST do WordPress, que foi introduzida no WordPress 4.7. Observe que alguns temas podem vazar nomes de usuário e não podemos impedir a descoberta de nome de usuário quando um tema faz isso. Recomendamos que você mantenha essa opção ativada. Para obter informações sobre como buscar com segurança uma lista de postagens de usuários a serem exibidas, consulte Buscar com segurança uma lista de postagens de usuários .

Bloquear IPs que enviam solicitações POST com User-Agent e Referer em branco

Muitos scripts de hackers de força bruta mal gravados enviam tentativas de login e comentam tentativas de spam usando um agente de usuário em branco (em outras palavras, eles não especificam qual navegador são) e cabeçalhos de referenciador em branco (em outras palavras, eles não especificam qual URL eles chegaram de). A ativação dessa opção não apenas impedirá que solicitações como essa cheguem ao seu site, mas também bloqueia imediatamente o endereço IP do qual a solicitação se originou. Observe que o User-Agent e o Referer devem estar ausentes na solicitação para que esta regra de bloqueio entre em vigor.

Texto personalizado mostrado nas páginas de bloqueio

Quando o Wordfence bloqueia um visitante ou bot, são exibidas informações gerais sobre o bloco. Usando esse campo, você pode incluir uma mensagem adicional, como informações sobre como entrar em contato com o proprietário do site, caso o bloqueio não seja intencional. Somente texto sem formatação deve ser incluído, pois o HTML será removido antes da exibição do texto. Semelhante ao editor de páginas do WordPress, quebras de linha duplas são convertidas em parágrafos e quebras de linha únicas são substituídas por tags break (br).

Verifique a força da senha na atualização do perfil

Se você habilitar essa opção, ele não alertará o usuário que ele possui uma senha fraca, diferente do recurso “forçar senhas fortes” acima. No entanto, ele enviará ao administrador do site um alerta por email informando ao administrador que um usuário especificou uma senha fraca durante uma atualização de perfil. Ele simplesmente informa quem está usando uma senha fraca, para que você possa contatá-los e saber que eles podem melhorar a força da senha.

Se você entrar em contato com um de seus usuários ou clientes, verifique se você não sabe realmente qual é a senha deles. Você é alertado apenas que a senha não atende aos requisitos de força de senha do seu site. Dessa forma, eles sabem que você não violou nenhuma expectativa razoável de privacidade que eles possam ter.

Participe da rede de segurança do Wordfence em tempo real

A ativação desse recurso faz com que seu site compartilhe dados anonimamente com o Wordfence em tentativas de invasão. Em troca, seu site WordPress recebe as informações de endereço IP de hackers que estão atualmente envolvidos em atividades de hackers de força bruta, para que seu site possa bloquear imediatamente esses hackers antes que eles possam se envolver em um ataque de força bruta em seu site.

Quando ativado, o Wordfence também reporta erros de página não encontrada, tentativas de acessar endereços IP bloqueados por hackers para acessar URLs maliciosos conhecidos que não existem no site, mas são claramente uma tentativa de invasão e tentativas de falha de login. Nenhum dado de identificação pessoal é enviado e também não associamos nenhum dado que recebemos ao seu site específico. Agregamos os dados em uma plataforma em tempo real para determinar quais endereços IP estão atualmente envolvidos na atividade mais maliciosa e precisam ser bloqueados por nossa comunidade. Esses dados são usados ​​pelo seu site e por outros sites protegidos pelo Wordfence para bloquear esses endereços IP maliciosos.

Fonte: wordfence-com

Publicações relacionadas

Comments are closed.