Imagem mostra cursor do mouse sobre o menu de segurança da página de administração do WordPress

O WordPress é usado como administrador de conteúdo em 30% do sites da internet, tornando-o um alvo ideal para ataques e infiltrações por pessoas mal-intencionadas. Proteger a página de administração garante que seu conteúdo não será perdido ou sorrateiramente alterado e que os leitores tenham uma experiência segura ao visitar o seu site.

Existem vários métodos — alguns deles já descritos aqui — de como proteger os arquivos mais sensíveis, mas a página de login sempre será uma porta de entrada fácil para um hacker. Principalmente se ele tiver conhecimento de dados pessoais que facilitem adivinhar o seu usuário e/ou senha de acesso.

Pra quem não tem conhecimento suficiente para fazer modificações diretamente nos arquivos do WordPress ou simplesmente não quer arriscar quebrar o sistema, existem alguns plugins que podem ser muito úteis. Mais qual usar?

O WP Security Pro, desenvolvido pela empresa de segurança miniOrange, é uma extensão para WordPress que ajuda a combater ataques de força bruta adicionando uma camada extra para o acesso ao seu site. Você pode configurar um sistema de autenticação em dois passos por e-mail ou SMS no celular, métodos de login sem senha e reCaptcha. Todas as tentativas de acesso — genuínas ou não — ficam armazenadas em um log que pode ser checado posteriormente.

Além disso, essa ferramenta ainda permite alterar o endereço da página de login (wp-login.php) ou da área de administração (wp-admin.php) para dificultar ainda mais o trabalho dos bots.

Após uma quantidade de tentativas fracassadas de login no seu site, o IP da máquina de quem está tentando acessar é bloqueado temporariamente. Você também pode adicionar os IPs de forma manual em uma lista negra — muito útil também, por exemplo, para bloquear trolls ou spammers que insistem em fazer comentários inconvenientes.

Uma versão paga do WP Security Pro também oferece outras funcionalidades, tais como bloqueio regional por país, prevenção de ataques DDoS, notificação de atividades suspeitas e filtro avançado de Spam nos comentários.

Comentários desativados. Podemos conversar por e-mail.