Como proteger o seu WordPress de um ataque para roubo de senha

Tags: , , , , , , , , , , , ,

28/04/2013 → Gustavo Lima → Comentários: 4

O que bombou na internet quanto  as vulnerabilidades relacionadas ao WordPress, o mais utilizado CMS do planeta, foi a enxurrada de ataques DDoS que milhares de blogs sofrerão que tinha como objetivo o acesso, por bruter force, ao wp-admin / wp-login, já que a maioria utiliza admin como login administrativo.

Sem delongas e muito blah, blah, blah, passarei algumas dicas de como mitigar este tipo de ataque. Vamos a elas:

  1. Mude o usuário admin. Utilize qualquer outro nome, menos admin, administrator ou administrador
  2. Há plugins que auxiliam neste processo ou você pode alterar na parte de usuário do seu wordpress
  3. Utilize plugin como o Login Lock Down para bloquear ips que tentarem, sem sucesso mais de 5 vezes, acessar a sua console administrativa. Não de esqueça de configurar um período maior que 30 minutos.
  4. Para os mais entendidos em configurações de segurança no Apache, sendo específico, no .htaccess. Criar um lista de deny para todos os ips que não devem acessar o seu blog, digamos, o resto do mundo que não fala o seu idioma. Mas não chute o balde, viu. Eu bloquearia a Rússia, Ásia e parte da Europa. Vcs podem gerar a lista dos países e continentes que serão bloqueados simplesmente utilizando o site http://ip.ludost.net/.
  5. No caso do bloqueio do Nginx, você deverão criar um include e a lista deny ip.
  6. Serviços como o Incapsula tem a capacidade de facilitar e muito este processo de defesa, e mais, ele possui uma boa barreira contra outros tipos de ataques Layer 7 – camada de aplicação – que são os ataques mais recebidos pelos Web Servers.

O engraçado é que falamos e muito sobre isso no curso de segurança focado em WordPress. Abordaremos este mesmo tema no de Hardening. Fiquem espertos que ele, o curso de hardening, será anunciado dentro em breve.

Ficam as dicas 🙂

P.S.: Ingressos à venda para o Cyber War Game

VEJA TAMBÉM

 Mídias Sociais, será o fim do RH ? Quando você precisa de um profissional de TI para trabalhar em sua equipe, para quem você  recorre ? Há 5 anos atrás a resposta seria RH, mas hoje a resposta está no Twitter, Linkedin, Facebook e A...
Carimbo do tempo versus NTP.br – e aí, qual deverá ser utilizada ? Hoje, participei de um rápido debate sobre assinatura eletrônica, digital (com certificado digital), carimbo do tempo e o futuro das transações 100% digitais. Em um determinado momento, um advogado...
Palestra Surpresa HackingDay2013: Como paralizar uma linha de trem em São Paulo Palestra cancelada por solicitação do Governo do Estado de SP Fiquei abismado com o título da palestra, igual a vocês. Li, revi e ouvi o palestrante. A teoria é plausível, e pior, o palestran...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

4 comentários em “Como proteger o seu WordPress de um ataque para roubo de senha

  1. Eduardo

    Gustavo, esse bloqueio pelo bloco de IP do país aumentaria o processamento do servidor? ou até um atraso devido ao processamento das regras?

DEIXAR UM COMENTÁRIO

MENU