Ataques brute force no WordPress, saiba como se proteger
Actualizado em por VISENER
Esteja a par das nossas novidades.
Actualizado em por VISENER
Nos últimos dias foi reportado que milhares de sites usando a plataforma WordPress e Joomla têm sido alvo de ataques brute force.
Este ataque está a ser feito usando uma botnet com mais de 90.000 ip’s onde tentam forçar o login usando combinações comuns para o nome do utilizador (ex. “admin”, “root”, “administrator”) e para a palavra-passe (ex. “123456″, “admin”, “administrator”, “000000″). Várias empresas mundiais de alojamento já reportaram que bloquearam milhares de pedidos por hora.
Para os administradores pode ser uma grande dor de cabeça, mas a solução é mais fácil do que parece. Num dos nossos artigos, explicamos passo a passo como instalar o WordPress, no qual fizemos questão de referenciar que nunca se deve usar o nome de utilizador “admin” que é sugerido por defeito e que deve sempre escolher uma palavra-passe muito forte.
Lendo o artigo publicado no blog do Matt Mullenweg, o criador do WordPress, este refere o mesmo, ou seja se continua a usar “admin” como nome de utilizador no seu blog, então está mais que na altura de deixar de o usar. Refere também que a palavra-passe usada para autenticação deve ser sempre muito forte. Ele diz ainda que se fizer estas alterações, o seu site provavelmente não terá problemas.
Aumente a protecção do seu site executando algumas tarefas simples e que lhe podem poupar bastantes preocupações, tais como:
Como já tinha referido anteriormente, nunca deve usar o nome de utilizador que o WordPress sugere por defeito. Visto que é um dado atribuído por defeito e conhecido por milhões de pessoas, muitas aproveitam-se do mesmo para outros fins. Se continua a usa-lo, está na altura de parar e escolher outro.
Faça sempre uso de palavras-passe MUITO fortes utilizando combinações de letras (maiúsculas e/ou minúsculos), números e símbolos (ex. Ya*uf=63nAFamA!p). Ao fazê-lo está a dificultar em muito as possibilidades de se saber qual é. Lembre-se que um ataque brute force vai sempre tentar entrar no seu sistema usando o nome de utilizador e palavra-passe mais comuns. Se necessitar de algumas ferramentas para gerar palavras-passe fortes, explore algumas que apresentamos de seguida:
O WordPress permite fazer a autenticação as vezes que quiser, não havendo qualquer limite nas vezes que pode errar nos dados que são introduzidos. Agora imagine se uma pessoa mal intencionada, sabe que o nome de utilizador é “admin” e que pode tentar as vezes que quiser até acertar. Para não permitir tal facilidade, limite o número de tentativas na autenticação usando o plugin Limit Login Attempts.
Como diz o ditado, mais vale prevenir que remediar. Execute as dicas que indicamos em cima e aumentando a segurança do seu site protegendo-o ainda mais contra ataques de brute force.