Proteger a página de login do WordPress é crucial para manter o seu site seguro!
O WordPress estabelece uma série de configurações padrões que acabam por ser comuns/iguais para diversas instalações. Invasores sempre testam as plataformas usadas pelas vítimas e assim acabam por conhecer toda a estrutura padrão do site que pretendem atacar.
Levando isso em consideração, qualquer invasor ou até mesmo usuário sabe que o endereço padrão para a página de login do WordPress é a site.com/wp-admin.
Também é possível fazer o acesso utilizando site.com/wp-login.php. ou site.com/admin
Este artigo visa apresentar uma série de práticas que podem te ajudar a proteger a tela de acesso ao painel administrativo do WordPress. O ideal é que você combine duas ou três práticas para alcançar um nível de segurança ainda maior.
Tenha cuidado com nomes de usuários
Fuja das configurações padrões! Muitos sistemas usam o usuário admin como administrador do site. Altere para qualquer outro nome de usuário que, de preferência, não lembre nada pessoal seu. Inclusive, nunca use dados pessoais como datas e nomes de pessoas próximas para definir usernames e senhas.
Utilize uma senha segura
É essencial utilizar uma senha robusta cheia de caracteres especiais, números e letras (maiúsculas e minúsculas). Portanto quanto mais extensa e sem sentido, melhor é a sua senha. Para testar o quão segura é a sua senha, acesse: https://howsecureismypassword.net/.
Utilize certificado SSL
SSL é a sigla para Secure Socket Layer.
Como resultado, ele criptografa as informações enviadas e recebidas através do site, dando segurança para a transferência dos dados. Assim, elas ficam privadas, protegendo os visitantes dos seus sites de ações maliciosas.
Evite ataques brute force
Na grande maioria das aplicações, os administradores costumam utilizar senhas fracas e fáceis de serem quebradas. Por esse motivo o ataque por força bruta costuma ser um dos mais utilizados pois ele trabalha testando milhares de combinações de senhas. Um bom jeito de evitar esse tipo de ataque é instalar algum plugin que limite o número de tentativas de login.
Sugestão de plugin: Limit Login Attempts Reloaded*
Altere o endereço padrão da página de login
Despistar qualquer ação de algum agente malicioso fugindo da estrutura padrão do WordPress. Podemos utilizar um plugin para isso também.
Sugestão de plugin: WPS Hide Login*
Há outras configurações de segurança que você pode fazer e há diversos plugins que podem te ajudar, os comentados acima são somente sugestões.