Segue abaixo algumas sugestões para resolução de problemas comuns relacionados ao WordPress, principalmente em ambiente compartilhado. Ao contrário dos hacks que se concentram em vulnerabilidades no software, um ataque de força bruta visa ser o método mais simples de acesso a um site: ele tenta nomes de usuário e senhas, repetidamente, até conseguir o acesso. Muitas vezes eles podem ser muito bem sucedidos, quando o usuário utiliza senhas fáceis como essa por exemplo '123456' e nomes de usuários como 'admin'. Esse é um tipo de ataque ao elo mais fraco da segurança de qualquer site: Você! Devido à natureza desses ataques, seu site passará a consumir muitos recursos do servidor (principalmente consumo de memória), causando problemas de desempenho. Isso ocorre porque o número de solicitações HTTP (que é o número de vezes que alguém visita seu site) é tão alto que o servidor acaba ficando comprometido por falta de recursos... Este tipo de ataque não ocorre somente no WordPress, acontece com vários scripts, mas o WordPress é muito popular e por esse motivo, tem ataques mais frequentes... Abaixo, seguem algumas sugestões para ajudar a proteger o wordpresse resolver problemas comuns Um ponto de ataque comum no WordPress está relacionado a ataques de força bruta direcionados ao arquivo wp-login.php, são feitas muitas tentativas de acesso a força bruta simultâneas, com isso, são geradas diversas requisições do arquivo, consequentemente o servidor perde desempenho ou até fica indisponível devido a falta de recursos. Você pode fazer algumas coisas para se proteger. Não use o nome de usuário 'admin' A maioria dos ataques são direcionadas para o usuário 'admin' devido ao fato de que as primeiras versões do WordPress por padrão, sugeria o esse usuário. Se você ainda estiver usando esse nome de usuário, faça uma nova conta, transfira todas as postagens para essa conta e altere 'admin' para um novo usuário (ou exclua o usuário admin). Como sugestão, poderá instalar um plugin para auxiliar nessa questão: https://wordpress.org/plugins/admin-renamer-extended/ Utilize Senha Complexa (Senha forte) O objetivo da senha é tornar difícil de adivinhar e difícil para um ataque de força bruta. Muitos geradores de senha automáticos estão disponíveis, que podem ser usados para criar senhas seguras. O WordPress também possui um medidor de força de senha que é mostrado ao alterar sua senha no WordPress. Use isso ao alterar sua senha para garantir que sua força é adequada. Protegendo o arquivo wp-login.php de ataques Um dos ataques mais comuns de força bruta no wordpress está direcionado ao arquivo wp-login.php, nossa sugestão é que utilize um plugin para resolver essa questão, como esse por exemplo: https://br.wordpress.org/plugins/wp-login-attempt-log/ Ou poderá ver outras sugestões para resolver esse problema no link abaixo: https://codex.wordpress.org/Brute_Force_Attacks#Password_Protect_wp-login.php Resolvendo problema de ataque ao arquivo admin-ajax.php Se o seu WordPress está recebendo um ataque no arquivo admin-ajax.php, como opção para resolver o problema de sobrecarga causado pela API Heartbeat, é possível desativar ela por completo ou então aumentar o tempo de comunicação que ela efetua. Esse procedimento deverá resolver o problema de ataque ai admin-ajax.php Resolvendo taques ao arquivo xmlrpc.php O arquivo xmlrpc.php esta relaciona a API que permite publicar posts, comentários e compartilhamentos por exemplo a partir de aplicativos externos, incluindo o app oficial do WP para Android e iOS. Se você não faz uso desse tipo de acesso externo ou faz com pouca frequência, considere bloquear o acesso dele, poderá ter melhor desempenho em seu site fazendo isso. Uma sugestão, é acrescentar ao .htaccess do seu site o seguinte código. <Files xmlrpc.php> order deny,allow deny from all </Files> Quando precisar usar, poderá comentar as linhas ou simplesmente apagar esse código temporariamente. Resolvendo consumo excessivo do arquivo wp-cron.php O arquivo wp-cron basicamente realiza tarefas como posts programados, newsletters ou backups por exemplo, fazendo atualizações no conteúdo do site. Sendo assim ele utiliza um script próprio chamado "wp-cron.php". Nem todo mundo precisa que esse arquivo seja requisitado a todo instante, sendo assim, se o wp-cron.php está consumindo muitos recursos, ou se não é utilizado, poderá desativá-lo e ativar no cron do cpanel por exemplo. Editar o arquivo "wp-config.php" na raiz da instalação do seu WordPress // wp-cron desativado define('DISABLE_WP_CRON', true); Depois acessar o cPanel da conta e clicar no link "Tarefas Cron" Na parte "Adicionar Novo Trabalho Cron", em "Definições Comuns:" escolher dentre os períodos previamente configurados, que diz exatamente quando o arquivo irá rodar. Se preferir, poderá configurar manualmente nos campos: "Minuto: Hora: Dia: Mês: Dia útil:" DICA: Rodar o script wp-cron.php cerca de uma vez por dia é o suficiente. 4. No campo "Comando:", digitar: /usr/bin/php -f /home/USUÁRIO/public_html/"se utiliza o wordpress em uma pasta, deverá colocar o caminho completo onde está o arquivo wp-cron.php" >/dev/null OBS: Adicionar ">/dev/null" ao final do comando que deseja agendar no cronjob, evita que o servidor faça envio de emails desnecessários, recomendamos que sempre utilize.The post Resolvendo problemas de ataque no wordpress appeared first on Zocka.
