Resolvendo problemas de ataque no wordpress

Resolvendo problemas de ataque no wordpress

Segue abaixo algumas sugestões para resolução de problemas comuns relacionados ao WordPress, principalmente em ambiente compartilhado.

Ao contrário dos hacks que se concentram em vulnerabilidades no software, um ataque de força bruta visa ser o método mais simples de acesso a um site: ele tenta nomes de usuário e senhas, repetidamente, até conseguir o acesso. Muitas vezes eles podem ser muito bem sucedidos, quando o usuário utiliza senhas fáceis como essa por exemplo ‘123456’ e nomes de usuários como ‘admin’.

Esse é um tipo de ataque ao elo mais fraco da segurança de qualquer site: Você!

Devido à natureza desses ataques, seu site passará a consumir muitos recursos do servidor (principalmente consumo de memória), causando problemas de desempenho. Isso ocorre porque o número de solicitações HTTP (que é o número de vezes que alguém visita seu site) é tão alto que o servidor acaba ficando comprometido por falta de recursos…

Este tipo de ataque não ocorre somente no WordPress, acontece com vários scripts, mas o WordPress é muito popular e por esse motivo, tem ataques mais frequentes…

Abaixo, seguem algumas sugestões para ajudar a proteger o wordpresse resolver problemas comuns

Um ponto de ataque comum no WordPress está relacionado a ataques de força bruta direcionados ao arquivo wp-login.php, são feitas muitas tentativas de acesso a força bruta simultâneas, com isso, são geradas diversas requisições do arquivo, consequentemente o servidor perde desempenho ou até fica indisponível devido a falta de recursos. Você pode fazer algumas coisas para se proteger.

 

Não use o nome de usuário ‘admin’
A maioria dos ataques são direcionadas para o usuário ‘admin’ devido ao fato de que as primeiras versões do WordPress por padrão, sugeria o esse usuário. Se você ainda estiver usando esse nome de usuário, faça uma nova conta, transfira todas as postagens para essa conta e altere ‘admin’ para um novo usuário (ou exclua o usuário admin).

Como sugestão, poderá instalar um plugin para auxiliar nessa questão:

https://wordpress.org/plugins/admin-renamer-extended/

 

Utilize Senha Complexa (Senha forte)
O objetivo da senha é tornar difícil de adivinhar e difícil para um ataque de força bruta. Muitos geradores de senha automáticos estão disponíveis, que podem ser usados para criar senhas seguras.

O WordPress também possui um medidor de força de senha que é mostrado ao alterar sua senha no WordPress. Use isso ao alterar sua senha para garantir que sua força é adequada.

 

Protegendo o arquivo wp-login.php de ataques
Um dos ataques mais comuns de força bruta no wordpress está direcionado ao arquivo wp-login.php, nossa sugestão é que utilize um plugin para resolver essa questão, como esse por exemplo:

https://br.wordpress.org/plugins/wp-login-attempt-log/

Ou poderá ver outras sugestões para resolver esse problema no link abaixo:

https://codex.wordpress.org/Brute_Force_Attacks#Password_Protect_wp-login.php

 

Resolvendo problema de ataque ao arquivo admin-ajax.php
Se o seu WordPress está recebendo um ataque no arquivo admin-ajax.php, como opção para resolver o problema de sobrecarga causado pela API Heartbeat, é possível desativar ela por completo ou então aumentar o tempo de comunicação que ela efetua. Esse procedimento deverá resolver o problema de ataque ai admin-ajax.php

É possivel fazer essa correção utilizando um plugin, por exemplo:

https://br.wordpress.org/plugins/heartbeat-control/
Ao instalar ele, é preciso configurar ainda, segue um passo-a-passo:

1. Vá até: Configurações >> Heartbeat Control

2. Na opção “Control heartbeat locations:”, escolha se você quer desativar a API Heartbeat por completo (“Disable everywhere”), desativar apenas na página de administração (“Disable on dashboard page”), permitir apenas na edição de posts (“Allow only on post edit pages”) ou manter como é por padrão (“Use default”). Inicialmente, sugiro que escolha a opção pra desativar por completo, de maneira a diminuir o consumo de recursos desta conta e só deixe de usar ela se tiver algum problema, especialmente com algum plugin instalado, pois alguns poucos usam a API Heartbeat

3. Na opção “Override heartbeat frequency:” escolha o tempo de frequência que a API Heartbeat irá efetuar requisições no servidor. O padrão é a cada 15 segundos, o ideal é deixar no maior tempo possível e verificar se o senhor não tem problemas, principalmente na edição de posts.

4. Clique em “Salvar alterações” para que o plugin entre em ação.

ATENÇÃO: Mesmo sendo relativamente seguro, utilize este plugin com cautela, pois existem outros plugins que fazem uso da função API Heartbeat. Ao desativar a função, fique ciente também que alguns recursos do WordPress deixam de funcionar, como o auto salvamento de posts.

 

Resolvendo taques ao arquivo xmlrpc.php
O arquivo xmlrpc.php esta relaciona a API que permite publicar posts, comentários e compartilhamentos por exemplo a partir de aplicativos externos, incluindo o app oficial do WP para Android e iOS.

Se você não faz uso desse tipo de acesso externo ou faz com pouca frequência, considere bloquear o acesso dele, poderá ter melhor desempenho em seu site fazendo isso.

Uma sugestão, é acrescentar ao .htaccess do seu site o seguinte código.

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Quando precisar usar, poderá comentar as linhas ou simplesmente apagar esse código temporariamente.

 

Resolvendo consumo excessivo do arquivo wp-cron.php
O arquivo wp-cron basicamente realiza tarefas como posts programados, newsletters ou backups por exemplo, fazendo atualizações no conteúdo do site.
Sendo assim ele utiliza um script próprio chamado “wp-cron.php”.

Nem todo mundo precisa que esse arquivo seja requisitado a todo instante, sendo assim, se o wp-cron.php está consumindo muitos recursos, ou se não é utilizado, poderá desativá-lo e ativar no cron do cpanel por exemplo.

Editar o arquivo “wp-config.php” na raiz da instalação do seu WordPress

// wp-cron desativado
define(‘DISABLE_WP_CRON’, true);

Depois acessar o cPanel da conta e clicar no link “Tarefas Cron”

Na parte “Adicionar Novo Trabalho Cron”, em “Definições Comuns:” escolher dentre os períodos previamente configurados, que diz exatamente quando o arquivo irá rodar. Se preferir, poderá configurar manualmente nos campos:

“Minuto:
Hora:
Dia:
Mês:
Dia útil:”

DICA: Rodar o script wp-cron.php cerca de uma vez por dia é o suficiente.

4. No campo “Comando:”, digitar:

/usr/bin/php -f /home/USUÁRIO/public_html/”se utiliza o wordpress em uma pasta, deverá colocar o caminho completo onde está o arquivo wp-cron.php” >/dev/null

OBS: Adicionar “>/dev/null” ao final do comando que deseja agendar no cronjob, evita que o servidor faça envio de emails desnecessários, recomendamos que sempre utilize.

Comentários

Comentários