Aumentando a Segurança de Login com Wordfence

Aumentando a Segurança de Login com Wordfence

O Wordfence Login Security é um plugin completamente autônomo e você não precisa instalar a versão completa do Wordfence para aproveitar os recursos de segurança específicos incluídos nele.

O Wordfence Login Security foi projetado para proteger seu sistema de login e autenticação do WordPress. Vale a pena notar que este plugin não inclui o firewall, o scanner de malware e outros recursos fornecidos pelo plugin completo do Wordfence.

Se você já tiver uma solução de firewall alternativa e estiver protegida para verificação de malware, esse plugin é perfeito para você porque protege seu sistema de login contra vários ataques perigosos e direcionados.

O Wordfence Login Security e gratuito e está disponível no diretório de plugins do WordPress.

O Wordfence Login Security inclui os seguintes recursos:

  • Ele fornece autenticação robusta de dois fatores que não é vulnerável a ataques de portabilidade do SMS do celular.
  • Ele inclui uma página de login CAPTCHA que protege você contra ataques sofisticados de preenchimento de credenciais que usam uma grande variedade de endereços IP.
  • Também inclui proteção XML-RPC.

Esses recursos também estão incluídos no plug-in Wordfence completo, portanto se você já usa o Wordfence, não precisa instalar este novo plugin.

Passe algum tempo observando os ataques bloqueados no Wordfence Live Traffic e você sairá preocupado com a segurança do login.

Os sites do WordPress estão sob ataque constante de bots que tentam adivinhar as senhas de seus usuários.

Muitos desses ataques simplesmente testam listas de senhas comumente usadas, junto com nomes de usuários que eles acham que você escolheu, como “administrador”, ou diferentes interpretações de seu nome de domínio.

Mais recentemente, entraram no foco invasores mais sofisticados aproveitando listas de senhas de violações de dados em seus ataques.

Estes são referidos como ataques de preenchimento de credenciais e têm uma taxa de sucesso muito maior do que os ataques tradicionais de adivinhação de senhas.

Se você concedeu a outros usuários acesso ao seu website, você tem certeza de que eles não reutilizaram a senha? Se tiver, você pode estar com apenas uma violação de dados de um site invadido.

Recurso de Autenticação de Dois Fatores Completamente Reconstruído

A autenticação de dois fatores, ou 2FA, adiciona uma segunda camada de segurança às contas de seus usuários. Isso exige que eles não apenas digitem sua senha, mas também uma segunda informação que só eles têm acesso.

Recurso de Login com Autenticação de Dois Fatores Completamente Reconstruído
Configurar o 2FA é fácil! Basta digitalizar o código de barras com seu aplicativo autenticador e digite um código de login.

Uma conta protegida pelo 2FA é praticamente impossível de comprometer. Mesmo que um invasor descubra seu nome de usuário e senha de alguma forma, eles ainda não poderão fazer login.

Login com Google Authenticator ou qualquer aplicativo autenticador baseado em TOTP

O novo recurso do Wordfence 2FA utiliza aplicativos e serviços do autenticador que suportam o padrão de senha única com base em tempo (TOTP). Há muitos deles para escolher no mercado; Google Authenticator, Authy, FreeOTP e 1Password são apenas alguns exemplos.

Login com Google Authenticator ou qualquer aplicativo autenticador baseado em TOTP

Muitos de vocês provavelmente já estão usando um desses. Para aqueles que não são, eles são incrivelmente fáceis de configurar e usar.

Wordfence 2FA está agora disponível gratuitamente

O 2FA está agora disponível para uso em sites que executam as versões gratuitas e Premium do Wordfence. Quando adicionamos pela primeira vez o 2FA ao Wordfence há cerca de 6 anos, aproveitamos o SMS para enviar uma mensagem de texto com um código 2FA ao fazer login no seu site.

Como o envio de mensagens SMS custa dinheiro, tornamos o recurso somente premium. Há alguns anos, adicionamos uma opção de aplicativo do autenticador, além do SMS.

A iteração anterior de nosso recurso 2FA está sendo totalmente eliminada e a substituição não inclui mais uma opção de SMS. Sites com a versão antiga ativada podem continuar a usá-la, mas são fortemente encorajados a fazer a transição para a nova.

O SMS é uma maneira menos segura de entregar códigos de login e está sujeito a problemas de entrega. Na verdade, o NIST agora recomenda especificamente contra o uso de autenticação baseada em SMS.

Ativar 2FA para qualquer papel do usuário que você deseja

Embora seja mais importante proteger as contas de administrador de seu site, há muitas outras funções de usuário com recursos que você não quer entregar a um invasor.

Wordfence agora permite habilitar 2FA para qualquer função que você gosta. Basta visitar a guia Configurações na página Segurança de login no Wordfence.

Os sites com a versão 2FA antiga ativada precisarão migrar para a nova versão antes de ver o link do menu Segurança de login. Um aviso no topo da página 2FA antiga em Ferramentas convidará você a migrar para a nova versão do recurso.

Novo recurso CAPTCHA da página de login

Nos últimos anos, o número de dispositivos IoT explodiu. Infelizmente, eles são altamente propensos a vulnerabilidades de segurança. Isso resultou em um aumento maciço no tamanho das botnets disponíveis para os atacantes.

No contexto da segurança de login do WordPress, isso significa que os invasores têm mais máquinas comprometidas e IPs, para usar em seus ataques.

Ao espalhar ataques em pools muito maiores de endereços IP, eles podem discar o número de tentativas de login feitas por cada endereço IP até o ponto em que evitam até mesmo as regras de limite de tentativas de login mais agressivas, pelo menos no nível do site.

No início do ano tive um ataque como esse, em que o invasor estava aproveitando centenas de endereços IP de maneira muito sofisticada.

Para efetivamente impedir o ataque, a minha melhor opção seria implantar a proteção CAPTCHA na página de login, anulando efetivamente o ataque.

Como é frequentemente o caso, uma solução para um problema que enfrentamos com a segurança do WordPress se torna uma ótima ideia de produto.

Agora você pode ativar o Google reCAPTCHA v3 em suas páginas de login e registro usando o Wordfence. Ele faz um trabalho fantástico de bloquear bots de tentar entrar enquanto permite que os humanos passem sem incidentes.

Como segurança contra falhas, qualquer usuário que o Google considere erroneamente ser um bot (e que não tenha 2FAs ativos) pode continuar fazendo login clicando em um link de verificação em um e-mail enviado para o endereço de e-mail da conta.

As tentativas de registro do usuário bloqueadas também podem enviar um email para o endereço de email configurado para administração do site, que tem taxa limitada para evitar abuso.

Finalizando

Nesta época de botnets massivos e constantes violações de dados, a segurança de login tornou-se cada vez mais importante. Esses novos recursos, combinados com os existentes, fornecerão as ferramentas necessárias para implementar a abordagem de segurança em camadas que manterá seu site seguro.

É altamente recomendável que você atualize para a versão mais recente do Wordfence, caso ainda não o tenha feito e invista tempo para ativar esses novos recursos avançados.

Você pode baixar o plugin do Wordfence Login Security no diretório de plugins do WordPress.

Um abraço e fique seguro!

Luiz Eduardo

Infra @ Powertic, Rails Developer, Maintainer do Mautic Docker e do Saelos Docker, Revisor da Tradução do Mautic, Administrador da Comunidade Mautic Brasil.
Fechar Menu
×
×

Carrinho