segurança de login forte com WP Cerber
English version: Strong login security with WP Cerber
Não é nenhum segredo que atores mal-intencionados podem invadir um WordPress recém-instalado em poucos minutos, montando um ataque de força bruta. É possível porque o WordPress não tem mecanismos de mitigação de ataque embutidos, o URL de login padrão é bem conhecido e o nome de usuário do administrador de um site pode ser descoberto com facilidade. WP Cerber traz todas as ferramentas necessárias para mitigar ataques de força bruta e proteger contas de usuários.
Configurando as configurações de segurança de login de WP Cerber
As configurações de segurança de login estão localizadas na guia Configurações principais. Aqui você pode configurar os limites de tentativas de login, restringir o acesso a wp-login.php e configurar mensagens de erro para evitar a descoberta de nomes de usuário e e-mails ao usar nomes de usuário e e-mails inexistentes.
Limitar as tentativas de login para mitigar ataques de força bruta
As configurações padrão e recomendadas para limitar as tentativas de login são mostradas como conjunto nº 1 na captura de tela. Essas configurações são definidas quando você ativa WP Cerber. Se você tem muitos clientes no site, por exemplo, se você administra uma loja WooCommerce, faz sentido aumentar o limite de tentativas de login.
Processando solicitações de autenticação wp-login.php
Veja a seleção # 2. Por padrão, o WordPress usa wp-login.php como a página de login do site que processa todos os logins do usuário, bem como fornece o formulário de registro e o formulário de redefinição de senha. Se você tiver um URL de login personalizado habilitado, é recomendado desabilitar wp-login.php. Você tem duas opções. Você pode bloquear completamente o acesso a wp-login.php e tornar o arquivo inacessível para qualquer pessoa ou pode desativar a autenticação por meio de wp-login.php. Quando a última opção é habilitada, WP Cerber impede qualquer autenticação de usuário, mesmo com nomes de usuário e senhas corretos. Após uma tentativa de login via wp-login.php, WP Cerber mostra a mensagem de erro de senha incorreta padrão, imitando o processo de autenticação padrão do WordPress. O uso dessa abordagem ajuda o WP Cerber a detectar ataques de força bruta lentos usando wp-login.php como um honeypot de detecção.
Evite que atores mal-intencionados adivinhem nomes de usuário e e-mails válidos.
Por padrão, as mensagens de erro de redefinição de senha e login do WordPress são bastante prolixas e permitem a detecção de nomes de usuário e e-mails válidos e não existentes.
Desative a mensagem de erro de login padrão
Quando ativadas, as mensagens de erro de login não indicam nomes de usuário e e-mails inválidos ao tentar fazer login com nomes não existentes . Em vez disso, WP Cerber exibe a mensagem de erro padrão do WordPress usada quando um usuário insere uma senha incorreta. Isso ajuda a evitar que atores mal-intencionados adivinhem nomes de usuário e e-mails válidos. Essa abordagem também é conhecida como desabilitar dicas de login.
Desative a mensagem de erro de redefinição de senha padrão
Quando ativadas, as mensagens de erro de redefinição de senha não indicam nomes de usuário e e-mails inválidos ao tentar redefinir a senha de um nome de usuário ou e-mail inexistente. Em vez disso, o WP Cerber imita o processo padrão de redefinição de senhas e exibe a seguinte mensagem sempre que os usuários inserem nomes de usuário e e-mails válidos ou não existentes.
Essa abordagem ajuda a evitar que atores mal-intencionados adivinhem nomes de usuário válidos e é conhecida como desabilitar dicas de redefinição de senha.
Observe que todos os recursos descritos acima não se aplicam aos endereços IP na Lista de acesso de IP branco .