Como limitar as tentativas de login no WordPress?
Publicados: 2021-11-30Em nosso artigo anterior, explicamos diferentes maneiras de impedir ataques de força bruta no site WordPress. Em comparação com todas as outras opções, limitar as tentativas de login de sua página de login do WordPress é uma das maneiras mais eficazes de proteger seu site. A maioria dos usuários pensa que esta é uma tarefa difícil e não faz o suficiente para aumentar a segurança de seu site. Isso se deve principalmente ao fato de que pode ser demorado, caro e extremamente difícil. Mas e se dissermos que você pode limitar as tentativas de login em seu site WordPress em menos de 10 minutos usando um plugin. Continue lendo para saber como você pode fazer isso.
Por que limitar as tentativas de login no WordPress?
O WordPress oferece um formulário de login simples que pode ser acessado adicionando o sufixo / wp-admin / ou /wp-login.php ao URL do seu site. Embora você possa alterar esse URL usando um plug-in, isso pode criar outros problemas, pois muitos plug-ins do WordPress usam a mesma página de login para acessar o painel. Abaixo estão alguns tipos de plug-ins que podem usar sua página de login do WordPress:
- Plug-ins de loja online como WooCommerce
- Plug-in de assinatura de conteúdo
- Plug-ins de inscrição
Não parecerá profissional fornecer um URL personalizado ou uma senha para seus clientes pagantes. Portanto, a melhor opção é limitar as tentativas de login, o que permitirá que seus clientes façam login em seu site ao mesmo tempo em que restringe os bots automatizados.
Além disso, o bloqueio de bots economizará largura de banda do servidor, que pode ser utilizada para servir visitantes reais ao seu site.
Limite de tentativas de login recarregado plug-in
Nossa solução para esse problema vem na forma de Limit Login Attempts Reloaded Plugin. É sem dúvida o melhor plugin do WordPress para limitar as tentativas de login e é bastante fácil de configurar e implementar.
- Abra o portal de administração do WordPress e vá para a seção “Plug-ins> Adicionar novo”.
- Basta digitar “limite de login” na caixa de pesquisa para encontrar a lista de plug-ins relevantes.
- Encontre Limit Login Attempts Reloaded plugin no resultado da pesquisa, clique em “Instalar”, e logo em seguida clique em “Ativar”, conforme mostrado na imagem abaixo.
Painel de Plugin
Após a instalação e ativação, você encontrará um novo menu listado na barra lateral do painel do WordPress com o nome “Limitar tentativas de login”. Clique nesse menu para entrar no painel de controle do plugin. Alternativamente, você também pode acessar a página de “Configurações> Limitar tentativas de login”, conforme mostrado na imagem abaixo.
Ao entrar na página, você verá a seção do painel do plugin. Aqui, você poderá obter uma visão geral de tudo, bem como monitorar o seguinte:
- Visualize o número total de tentativas de login com falha em seu site em um formato representado graficamente na forma de um gráfico de pizza e um gráfico de barras.
- Atualize para a versão premium do plugin. Embora a versão gratuita do plug-in seja mais do que adequada para a maioria dos usuários, se o desempenho do site for reduzido após a instalação do plug-in, a atualização para premium deve resolver esse problema, pois o plug-in começará a absorver ataques de força bruta em sua nuvem servidor em oposição a localmente. Você também terá suporte 24 horas por dia, backup automático de todos os dados e controle avançado de outras coisas.
- Veja estatísticas interessantes, como tentativas de login malsucedidas por países diariamente.
Definir configurações de plug-in
Clique na guia de configurações para fazer configurações específicas e alterações nas configurações de login padrão do WordPress. Nesta página, você poderá fazer as seguintes alterações:
- Notificar sobre bloqueio: Um endereço de e-mail inserido será notificado sempre que o site for bloqueado devido a várias tentativas de login malsucedidas. Por padrão, o plug-in notificará por e-mail após 3 bloqueios, mas você pode alterá-lo para cada bloqueio inserindo “1” em vez de 3, conforme mostrado abaixo.
- Configurações de bloqueio: nesta seção, você pode fazer as seguintes modificações de segurança:
- Tentativas permitidas: este é o número de vezes que você pode tentar fazer login no portal de administração do site. O valor padrão do plugin aqui é 4, mas 2 ou 3 serão melhores do ponto de vista de segurança.
- Bloqueio de minutos: é o tempo durante o qual o portal de administração do site ficará inacessível. O valor padrão de 20 minutos é apropriado em nossa opinião, mas você também pode fazer alterações de acordo com suas preferências.
- Os bloqueios aumentam o tempo de bloqueio: Refere-se essencialmente ao que acontecerá após vários bloqueios. Por exemplo, de acordo com as configurações do plug-in padrão, após 4 bloqueios, a duração do bloqueio mudará de 20 minutos para 24 horas.
- Novas tentativas são redefinidas: o valor inserido determinará quanto tempo levará antes que as novas tentativas sejam redefinidas e o usuário possa tentar fazer login novamente.
- Origens de IP confiáveis: se você tiver origens específicas nas quais confia, poderá inseri-las aqui separadas por vírgulas. Como o plug-in, também recomendamos que você escolha a origem REMOTE_ADDR padrão, pois outras origens podem ser facilmente falsificadas.
Depois de inserir as configurações específicas do plugin, não se esqueça de clicar em “Salvar configurações” para ativar sua configuração.
Visualizando Logs
Além disso, na guia de registros, você poderá ver o total de bloqueios, bem como listar manualmente os intervalos de IP ou IP que deseja bloquear ou lista segura.
Veja o plug-in em ação
Agora que configuramos o plugin, vamos ver como ele realmente funciona. Saia do portal de administração do WordPress e quando estiver na página de login, insira um nome de usuário e uma senha inválidos para testar o plugin. Como você pode ver, o plugin mostra claramente quantas tentativas você tem antes que o site bloqueie seu endereço IP. Você verá uma mensagem como “3 tentativas restantes”, pois configuramos para limitar o login com 3 tentativas inválidas.
Se continuar digitando o nome de usuário ou a senha incorretos, você encontrará um estado de bloqueio, conforme mostrado na captura de tela abaixo. Nessa situação, você não poderá enviar outra solicitação de login até que a duração do bloqueio expire, 20 minutos neste caso. Na verdade, mesmo se você enviar as credenciais corretas, o plug-in não permitirá que você faça o login durante o período de bloqueio.
Palavras Finais
É altamente recomendável limitar as tentativas de login em seu site WordPress, especialmente se você não estiver usando nenhum recurso de registro. Você pode monitorar a estatística de logins com falha para entender a origem dos ataques. Se necessário, você pode aumentar a duração do bloqueio ou bloquear permanentemente os endereços IP para aumentar a segurança. No entanto, evite usar muitas restrições quando você fizer o login de clientes pagantes por meio do formulário de login padrão do WordPress.