Forte segurança de login com WP Cerber
English version: Strong login security with WP Cerber
Não é nenhum segredo que malfeitores podem invadir um WordPress recém-instalado em poucos minutos, montando um ataque de força bruta. É possível porque o WordPress não possui mecanismos integrados de mitigação de ataques, o URL de login padrão é bem conhecido e o nome de usuário do administrador de um site pode ser descoberto com facilidade. WP Cerber traz todas as ferramentas necessárias para mitigar ataques de força bruta e proteger as contas dos usuários.
Definindo as configurações de segurança de login do WP Cerber
As configurações de segurança de login estão localizadas na guia Configurações principais. Aqui você pode configurar os limites de tentativas de login, restringir o acesso a wp-login.php e configurar mensagens de erro para evitar a descoberta de nomes de usuário e e-mails ao usar nomes de usuário e e-mails inexistentes.
Limitando tentativas de login para mitigar ataques de força bruta
As configurações padrão e recomendadas para limitar as tentativas de login são destacadas como nº 1 na captura de tela. Essas configurações foram definidas quando você ativou o WP Cerber. Se você tem muitos clientes no site, por exemplo, você administra uma loja WooCommerce, faz sentido aumentar o limite de tentativas de login.
WordPress Login Security – WP Cerber Settings
Processando solicitações de autenticação wp-login.php
Veja a seleção nº 2. Por padrão, o WordPress usa wp-login.php como página de login do site que processa todos os logins de usuários, bem como fornece o formulário de registro e o formulário de redefinição de senha. Se você configurou o URL de login personalizado , é recomendado desabilitar wp-login.php. Você tem duas opções. Você pode bloquear completamente o acesso ao wp-login.php e tornar o arquivo inacessível para qualquer pessoa, ou pode desabilitar a autenticação do usuário através do wp-login.php sem bloquear o acesso ao arquivo. Você pode escolher qualquer uma das opções. Ambos impedem a autenticação do usuário via wp-login.php.
Quando a primeira opção é habilitada, o WP Cerber renderiza e retorna a página de erro “404 Page Not Found” como se esse arquivo não existisse no site. Assim, os maus atores não têm nada para atacar.
Quando a segunda opção está habilitada, o WP Cerber impede qualquer autenticação de usuário, mesmo com nomes de usuário e senhas corretos. Isso significa que ninguém consegue fazer login usando wp-login.php. Após uma tentativa de login via wp-login.php, WP Cerber mostra a mensagem de erro de senha incorreta padrão, imitando o processo de autenticação padrão do WordPress. Usar essa abordagem ajuda o WP Cerber a detectar ataques lentos de força bruta usando wp-login.php como um honeypot de detecção. Todas as tentativas de login via wp-login.php são registradas no log de atividades do WP Cerber, conforme mostrado na imagem abaixo.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Evite que pessoas mal-intencionadas descubram nomes de usuário reais e e-mails de clientes
As mensagens de erro de redefinição de login e senha padrão geradas pelo WordPress são bastante detalhadas e ajudam os hackers a detectar nomes de usuário e e-mails reais para usá-los na montagem de ataques de força bruta ou de engenharia social.
Desative a mensagem de erro de login padrão
Quando ativadas, as mensagens de erro de login não indicam nomes de usuário e e-mails inválidos ao tentar fazer login com nomes inexistentes . Em vez disso, WP Cerber exibe a mensagem de erro padrão do WordPress usada quando um usuário insere uma senha incorreta. Isso ajuda a evitar que pessoas mal-intencionadas adivinhem nomes de usuário e e-mails válidos. Essa abordagem também é conhecida como desabilitar dicas de login.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de login usando o campo de configuração de mensagem de erro de login personalizada .
Desative a mensagem de erro de redefinição de senha padrão
Quando ativadas, as mensagens de erro de redefinição de senha não indicam nomes de usuário e e-mails inválidos ao tentar redefinir a senha de um nome de usuário ou e-mail inexistente. Em vez disso, WP Cerber imita o processo padrão de redefinição de senha e exibe a seguinte mensagem sempre que os usuários inserem nomes de usuário e e-mails válidos ou inexistentes.
The new WordPress password reset message generated by WP Cerber Security
Essa abordagem ajuda a evitar que pessoas mal-intencionadas adivinhem nomes de usuário válidos e é conhecida como desabilitação de dicas de redefinição de senha.
A versão profissional do WP Cerber permite que você especifique sua própria mensagem de erro de redefinição de senha usando o campo de configuração de mensagem de erro de login personalizada .
Observe que todos os recursos descritos acima não se aplicam aos endereços IP na Lista de Acesso IP Branca .
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.