{"id":209,"date":"2019-09-18T22:54:40","date_gmt":"2019-09-18T22:54:40","guid":{"rendered":"https:\/\/www.bhostbrasil.com.br\/blog\/?p=209"},"modified":"2020-04-10T00:41:22","modified_gmt":"2020-04-10T00:41:22","slug":"protegendo-o-wordpress-contra-ataques-de-forca-bruta-brute-force","status":"publish","type":"post","link":"https:\/\/www.bhostbrasil.com.br\/blog\/protegendo-o-wordpress-contra-ataques-de-forca-bruta-brute-force\/","title":{"rendered":"Protegendo o wordpress contra ataques de for\u00e7a bruta (brute force)"},"content":{"rendered":"\n

O WordPress estabelece uma s\u00e9rie de configura\u00e7\u00f5es padr\u00f5es que acabam sendo comuns\/iguais para diversas instala\u00e7\u00f5es. Invasores sempre testam as plataformas usadas pelas v\u00edtimas e assim acabam conhecendo toda a estrutura padr\u00e3o do site que pretendem atacar. Levando isso em considera\u00e7\u00e3o, qualquer invasor ou at\u00e9 mesmo usu\u00e1rio sabe que o endere\u00e7o padr\u00e3o para a p\u00e1gina de login do WordPress que \u00e9 a site.com.br\/wp-admin. Tamb\u00e9m \u00e9 poss\u00edvel fazer o acesso utilizando site.com.br\/wp-login.php.<\/p>\n\n\n\n

Recentemente tivermos rel\u00e1tos de v\u00e1rios clientes com problemas de performance em seus ambientes de hospedagem. Em nossa an\u00e1lise inicial, identificamos que se tratava de um ataque de brute force, tamb\u00e9m conhecido como for\u00e7a bruta. Este ataque faz milhares de tentativas na p\u00e1gina de login do seu WordPress com objetivo de descobrir o padr\u00e3o de sua senha, comprometendo toda sua plataforma. A falha j\u00e1 come\u00e7a justamente pela p\u00e1gina de login, que por padr\u00e3o n\u00e3o possui nenhuma prote\u00e7\u00e3o de limite de tentativas ou qualquer captcha que valide o usu\u00e1rio real. O outro problema \u00e9 que este ataque acaba por indisponibilizar o seu servi\u00e7o, principalmente se for uma hospedagem compartilhada. O tempo que sua plataforma se manter\u00e1 online vai depender da quantidade de recursos dispon\u00edveis para responder as requisi\u00e7\u00f5es de login solicitadas pelo ataque.<\/p>\n\n\n\n

N\u00f3s passamos uma semana toda buscando plugins, alternativas e solu\u00e7\u00f5es para acabar com este problema. Alguns plugins que mudam a URL de login do WordPress pareciam resolver no come\u00e7o, porem rapidamente o ataque era direcionado a nova URL. N\u00f3s chegamos a conclus\u00e3o que precisar\u00edamos utilizar uma camada antes que o ataque chegasse ao servidor, devido a quantidade de requisi\u00e7\u00f5es recebida, independente da solu\u00e7\u00e3o, o servi\u00e7o continuaria a ficar indispon\u00edvel. <\/p>\n\n\n\n

A solu\u00e7\u00e3o<\/strong> basicamente \u00e9 a utiliza\u00e7\u00e3o de uma CDN + Firewall + Captcha<\/strong>. Este conjunto garante que seu WordPress estar\u00e1 totalmente protegido contra os bots de brute force. Eu sei que pode parecer complicado resolver este problema, mas n\u00e3o \u00e9! E eu vou te mostrar agora como fazer.<\/p>\n\n\n\n

O primeiro passo \u00e9 adicionar o seu site no CloudFlare.<\/p>\n\n\n\n

Neste ponto, precisamos que seu site esteja configurado no CloudFlare e totalmente propagado, caso contr\u00e1rio a solu\u00e7\u00e3o n\u00e3o ir\u00e1 funcionar. Acesse sua conta no CloudFlare e clique no menu Firewall<\/strong>:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nesta nova tela, clique no submenu Firewall Rules<\/strong> e em seguida Create a Firewall rule<\/strong>:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Configure a regra da seguinte forma e clique em Deploy<\/strong> para finalizar:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A regra basicamente ir\u00e1 verificar se a URI<\/strong> contem<\/strong> WP-ADMIN<\/strong> ou se a URI contem WP-LOGIN.PHP<\/strong>, se HOUVER<\/strong> ele ir\u00e1 solicitar o CHALLENGE<\/strong> que nada mais \u00e9 do que um captcha avan\u00e7ado do CloudFlare.<\/p>\n\n\n\n

Como a solicita\u00e7\u00e3o do captcha vem da CDN (CloudFlare) os recursos do seu ambiente de hospedagem ser\u00e3o poupados, e s\u00f3 chegar\u00e1 at\u00e9 ao wp-admin os usu\u00e1rios que passagem pelo captcha, ou seja, o ataque n\u00e3o ir\u00e1 conseguir passar.<\/p>\n\n\n\n

Espero que este r\u00e1pido artigo lhe poupe dias de dores de cabe\u00e7a e problemas, al\u00e9m da perca de dinheiro com sua plataforma fora do ar! Se isso lhe ajudou, compartilhe com a comunidade para que mais devs saibam como \u00e9 simples resolver este problema.<\/p>\n

\n\t\t\t
\n\t\t\t <\/div><\/div>\n\t\t