Segurança de login robusta com WP Cerber
English version: Strong login security with WP Cerber
Não é segredo que criminosos virtuais podem invadir uma instalação recém-feita do WordPress em poucos minutos, realizando um ataque de força bruta. Isso é possível porque o WordPress não possui mecanismos integrados de mitigação de ataques, a URL de login padrão é amplamente conhecida e o nome de usuário do administrador do site pode ser descoberto com facilidade. O WP Cerber oferece todas as ferramentas necessárias para mitigar ataques de força bruta e proteger as contas de usuário.
Configurando as opções de segurança de login do WP Cerber
As configurações de segurança de login estão localizadas na aba Configurações Principais. Aqui você pode configurar os limites de tentativas de login, restringir o acesso ao wp-login.php e configurar mensagens de erro para evitar a descoberta de nomes de usuário e e-mails quando forem utilizados nomes de usuário e e-mails inexistentes.
Limitar as tentativas de login para mitigar ataques de força bruta.
As configurações padrão e recomendadas para limitar as tentativas de login estão destacadas como #1 na captura de tela. Essas configurações foram definidas quando você ativou o WP Cerber. Se você tiver muitos clientes no site, por exemplo, se você administra uma loja WooCommerce, faz sentido aumentar o limite de tentativas de login.
WordPress Login Security – WP Cerber Settings
Processando solicitações de autenticação wp-login.php
Consulte a opção nº 2. Por padrão, o WordPress usa o arquivo wp-login.php como página de login do site, responsável por processar todos os logins de usuários, além de fornecer o formulário de registro e o formulário de redefinição de senha. Se você configurou a URL de login personalizada , é recomendável desativar o wp-login.php. Você tem duas opções: bloquear completamente o acesso ao wp-login.php, tornando o arquivo inacessível para qualquer pessoa, ou desativar a autenticação de usuários por meio do wp-login.php sem bloquear o acesso ao arquivo. Você pode escolher qualquer uma das opções. Ambas impedem a autenticação de usuários via wp-login.php.
Quando a primeira opção está ativada, o WP Cerber renderiza e retorna a página de erro "404 Página Não Encontrada", como se o arquivo não existisse no site. Dessa forma, os invasores não têm nada para atacar.
Quando a segunda opção está habilitada, o WP Cerber impede qualquer autenticação de usuário, mesmo com nomes de usuário e senhas corretos. Isso significa que ninguém consegue fazer login usando o wp-login.php. Após uma tentativa de login via wp-login.php, o WP Cerber exibe a mensagem de erro padrão de senha incorreta, imitando o processo de autenticação padrão do WordPress. Essa abordagem ajuda o WP Cerber a detectar ataques de força bruta lentos, usando o wp-login.php como um honeypot de detecção. Todas as tentativas de login via wp-login.php são registradas no log de atividades do WP Cerber, como mostrado na captura de tela abaixo.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Impeça que criminosos virtuais descubram nomes de usuário reais e e-mails de clientes.
As mensagens de erro padrão de login e redefinição de senha geradas pelo WordPress são bastante detalhadas e ajudam os hackers a detectar nomes de usuário e e-mails reais para usá-los em ataques de força bruta ou engenharia social.
Desative a mensagem de erro de login padrão
Quando ativadas, as mensagens de erro de login não indicam nomes de usuário e e-mails inválidos ao tentar fazer login com dados inexistentes . Em vez disso, o WP Cerber exibe a mensagem de erro padrão do WordPress usada quando um usuário insere uma senha incorreta. Isso ajuda a impedir que pessoas mal-intencionadas adivinhem nomes de usuário e e-mails válidos. Essa abordagem também é conhecida como desativação de dicas de login.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de login usando o campo de configuração "Mensagem de erro de login personalizada" .
Desative a mensagem de erro padrão de redefinição de senha.
Quando ativada, a função de redefinição de senha não indica nomes de usuário e e-mails inválidos ao tentar redefinir a senha para um nome de usuário ou e-mail inexistente. Em vez disso, o WP Cerber simula o processo padrão de redefinição de senhas e exibe a seguinte mensagem sempre que os usuários inserem nomes de usuário e e-mails válidos ou inexistentes.
The new WordPress password reset message generated by WP Cerber Security
Essa abordagem ajuda a impedir que pessoas mal-intencionadas adivinhem nomes de usuário válidos e é conhecida como desativação de dicas de redefinição de senha.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de redefinição de senha usando o campo de configuração "Mensagem de erro de login personalizada" .
Note que todos os recursos descritos acima não se aplicam aos endereços IP na Lista de Acesso IP Permitido .
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.