Nos últimos dias foi reportado que milhares de sites usando a plataforma WordPress e Joomla têm sido alvo de ataques brute force.

Este ataque está a ser feito usando uma botnet com mais de 90.000 ip’s onde tentam forçar o login usando combinações comuns para o nome do utilizador (ex. “admin”, “root”, “administrator”) e para a palavra-passe (ex. “123456″, “admin”, “administrator”, “000000″). Várias empresas mundiais de alojamento já reportaram que bloquearam milhares de pedidos por hora.

Para os administradores pode ser uma grande dor de cabeça, mas a solução é mais fácil do que parece. Num dos nossos artigos, explicamos passo a passo como instalar o WordPress, no qual fizemos questão de referenciar que nunca se deve usar o nome de utilizador “admin” que é sugerido por defeito e que deve sempre escolher uma palavra-passe muito forte.

Lendo o artigo publicado no blog do Matt Mullenweg, o criador do WordPress, este refere o mesmo, ou seja se continua a usar “admin” como nome de utilizador no seu blog, então está mais que na altura de deixar de o usar. Refere também que a palavra-passe usada para autenticação deve ser sempre muito forte. Ele diz ainda que se fizer estas alterações, o seu site provavelmente não terá problemas.

Aumente a protecção do seu site executando algumas tarefas simples e que lhe podem poupar bastantes preocupações, tais como:

Não use o utilizador admin

Como já tinha referido anteriormente, nunca deve usar o nome de utilizador que o WordPress sugere por defeito. Visto que é um dado atribuído por defeito e conhecido por milhões de pessoas, muitas aproveitam-se do mesmo para outros fins. Se continua a usa-lo, está na altura de parar e escolher outro.

Use palavras-passe muito forte

Faça sempre uso de palavras-passe MUITO fortes utilizando combinações de letras (maiúsculas e/ou minúsculos), números e símbolos (ex. Ya*uf=63nAFamA!p). Ao fazê-lo está a dificultar em muito as possibilidades de se saber qual é. Lembre-se que um ataque brute force vai sempre tentar entrar no seu sistema usando o nome de utilizador e palavra-passe mais comuns. Se necessitar de algumas ferramentas para gerar palavras-passe fortes, explore algumas que apresentamos de seguida:

Limite o número de vezes para autenticação

O WordPress permite fazer a autenticação as vezes que quiser, não havendo qualquer limite nas vezes que pode errar nos dados que são introduzidos. Agora imagine se uma pessoa mal intencionada, sabe que o nome de utilizador é “admin” e que pode tentar as vezes que quiser até acertar. Para não permitir tal facilidade, limite o número de tentativas na autenticação usando o plugin Limit Login Attempts.

Como diz o ditado, mais vale prevenir que remediar. Execute as dicas que indicamos em cima e aumentando a segurança do seu site protegendo-o ainda mais contra ataques de brute force.