Segurança de login forte com WP Cerber
English version: Strong login security with WP Cerber
Não é segredo que atores mal-intencionados podem invadir um WordPress recém-instalado em poucos minutos montando um ataque de força bruta. Isso é possível porque o WordPress não tem mecanismos de mitigação de ataque integrados, a URL de login padrão é bem conhecida e o nome de usuário do administrador de um site pode ser descoberto com facilidade. O WP Cerber traz todas as ferramentas necessárias para mitigar ataques de força bruta e proteger contas de usuários.
Configurando as configurações de segurança de login do WP Cerber
As configurações de segurança de login estão localizadas na aba Main Settings. Aqui você pode configurar os limites de tentativas de login, restringir o acesso a wp-login.php e configurar mensagens de erro para evitar a descoberta de nomes de usuários e e-mails ao usar nomes de usuários e e-mails inexistentes.
Limitando tentativas de login para mitigar ataques de força bruta
As configurações padrão e recomendadas para limitar tentativas de login são destacadas como #1 na captura de tela. Essas configurações foram definidas quando você ativou o WP Cerber. Se você tem muitos clientes no site, por exemplo, você administra uma loja WooCommerce, faz sentido aumentar o limite de tentativas de login.
Processando solicitações de autenticação wp-login.php
Veja a seleção #2. Por padrão, o WordPress usa wp-login.php como a página de login do site que processa todos os logins de usuários, bem como fornece o formulário de registro e o formulário de redefinição de senha. Se você configurou o Custom login URL , é recomendável desabilitar wp-login.php. Você tem duas opções. Você pode bloquear completamente o acesso a wp-login.php e tornar o arquivo inacessível para qualquer pessoa, ou você pode desabilitar a autenticação do usuário por meio de wp-login.php sem bloquear o acesso ao arquivo. Você pode escolher qualquer uma das opções. Ambas impedem a autenticação do usuário por meio de wp-login.php.
Quando a primeira opção é habilitada, o WP Cerber renderiza e retorna a página de erro "404 Page Not Found" como se não houvesse tal arquivo no site. Assim, os atores mal-intencionados não têm nada para atacar.
Quando a segunda opção é habilitada, o WP Cerber impede qualquer autenticação de usuário, mesmo com nomes de usuário e senhas corretos. Isso significa que ninguém consegue fazer login usando wp-login.php. Após uma tentativa de login via wp-login.php, o WP Cerber mostra a mensagem de erro de senha incorreta padrão imitando o processo de autenticação padrão do WordPress. Usar essa abordagem ajuda o WP Cerber a detectar ataques lentos de força bruta usando wp-login.php como um honeypot de detecção. Todas as tentativas de login via wp-login.php são registradas no log de atividades do WP Cerber, conforme mostrado na captura de tela abaixo.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Evite que agentes mal-intencionados descubram nomes de usuários reais e e-mails de clientes
As mensagens de erro de login e redefinição de senha padrão geradas pelo WordPress são bastante detalhadas e ajudam os hackers a detectar nomes de usuário e e-mails reais para usá-los em ataques de força bruta ou engenharia social.
Desabilitar a mensagem de erro de login padrão
Quando habilitadas, as mensagens de erro de login não indicam nomes de usuários e e-mails inválidos ao tentar fazer login com nomes inexistentes . Em vez disso, o WP Cerber exibe a mensagem de erro padrão do WordPress usada quando um usuário insere uma senha incorreta. Isso ajuda a evitar que atores mal-intencionados adivinhem nomes de usuários e e-mails válidos. Essa abordagem também é conhecida como desabilitar dicas de login.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de login usando o campo de configuração Mensagem de erro de login personalizada .
Desabilitar a mensagem de erro de redefinição de senha padrão
Quando habilitadas, as mensagens de erro de redefinição de senha não indicam nomes de usuários e e-mails inválidos ao tentar redefinir a senha para um nome de usuário ou e-mail inexistente. Em vez disso, o WP Cerber imita o processo padrão de redefinição de senhas e exibe a seguinte mensagem sempre que os usuários inserem nomes de usuários e e-mails válidos ou inexistentes.
Essa abordagem ajuda a evitar que agentes mal-intencionados adivinhem nomes de usuários válidos e é conhecida como desabilitação de dicas de redefinição de senha.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de redefinição de senha usando o campo de configuração Mensagem de erro de login personalizada .
Observe que todos os recursos descritos acima não se aplicam aos endereços IP na Lista Branca de Acesso IP .