Senhas fortes e únicas podem ajudar a prevenir o acesso não autorizado ao site do WordPress da sua pequena empresa.
Entretanto, os atacantes têm várias maneiras inteligentes de contorná-los.
Assim como jovens implacáveis que parecem superar todas as táticas de proteção infantil que você utiliza, atores maliciosos sabem como realizar ataques de força bruta e encontrar portas dos fundos através de plugins menos seguros.
Ataque de Força Bruta
Um ataque de força bruta é um assalto cibernético onde um atacante usa tentativa e erro para invadir uma conta. Bots maliciosos tentam adivinhar senhas, credenciais de login ou chaves digitais repetidamente.
Leia MaisE, voilà, eles estão dentro do seu site roubando dados mais rápido do que uma criança pode abrir e esvaziar todas as gavetas da sua cozinha (ou seja, incrivelmente rápido).
Em outras palavras, senhas muitas vezes não são suficientes para proteger adequadamente seu site contra ataques.
Felizmente, há uma coisa relativamente simples que você pode fazer para reduzir o risco de hackers invadirem seu site — mudar a página de login do seu WordPress para uma nova URL. Isso colocará você em uma posição melhor para se defender contra hacks e ataques.
Se você não está muito familiarizado com o WordPress, isso provavelmente não fará muito sentido. É por isso que este artigo vai examinar mais de perto por que você deve considerar alterar o URL de login do seu WordPress, como encontrar seu URL de login se você perdeu o rastro dele e, o mais importante — algumas maneiras de modificá-lo para aumentar a segurança.
E se você ficar atento até o final, também incluiremos uma lista de dicas adicionais para fortalecer ainda mais a sua segurança no WordPress.
Vamos nos proteger!
Por que você deve atualizar um URL de login do WordPress padrão
Uma vez que o WordPress não esconde sua página de login, qualquer usuário pode encontrá-la desde que saiba como o WordPress estrutura suas URLs. Considerando que o WordPress impulsiona quase metade de todos os sites na internet, é seguro assumir que muitas pessoas — especialmente aquelas que sabem como explorar sites — estão muito familiarizadas com o layout comum do WordPress.
A estrutura padrão para uma página de login geralmente se parece com algo assim:
https://example.com/wp-login.php
Isso significa que quando um usuário insere a URL do seu site onde diz “https://example.com/,” ele deve ver uma página em seu navegador solicitando que ele faça login no backend do seu site:
Claro, a maioria dos hackers provavelmente não terá as credenciais de login necessárias. No entanto, essa estrutura ainda é arriscada se sua senha for comum, fraca ou fácil de adivinhar. Algo como 123456.
Resumindo, é uma correção fácil para uma vulnerabilidade desnecessária.
Pela simplicidade, muitas pessoas preferem manter a estrutura padrão de wp-login para entrar no WordPress, mas deixá-la como está facilita para os hackers acessarem sua área de login, o que é como fazer metade do trabalho para eles.
WPScan descobriu que o WordPress atualmente possui mais de 50.000 vulnerabilidades em 2024. A grande maioria é encontrada em Plugins do WordPress, e centenas, senão milhares, são descobertas todos os anos.
Em resumo, é hora de reforçar a segurança do seu site.
Uma maneira viável de fazer isso é alterar o URL de login do seu WordPress para evitar acesso não autorizado ao seu site e reduzir o risco de ataques de força bruta.
Como Encontrar a Página de Login Padrão do WordPress
Olha, sabemos que você tem muitas coisas acontecendo. Quando você tem um milhão de coisas na sua agenda como dono de uma pequena empresa, perder o rastreamento do seu URL de login do WordPress não é incomum.
Como mencionamos na seção anterior, o WordPress utiliza uma estrutura de link de acesso padrão que se parece com isto:
https://example.com/wp-login.php
Então, tudo o que você precisa fazer é adicionar o sufixo (esta parte: wp-login.php) ao seu domínio, e você deverá chegar à sua página de login.
Você também pode encontrar sua página de login tentando acessar seu Painel do WordPress enquanto estiver deslogado. Basta digitar “yourwebsite.com/admin” ou “yourwebsite.com/login” na barra de pesquisa e você deve chegar à mesma página de login.
Não está funcionando? Não entre em pânico.
Alguns hosts da web alteram sua página de login do WordPress automaticamente por motivos de segurança. Portanto, você pode já ter uma URL de login personalizada. Se for o caso, mostraremos como encontrá-la agora mesmo.
URL de Login Personalizado? Veja Como Localizá-lo
Se o seu provedor de hospedagem alterou seu link de login, você geralmente pode localizá-lo dentro do seu painel de controle após fazer login na sua conta de hospedagem.
Entretanto, se você não conseguir identificar sua URL de login personalizada lá, ainda pode localizá-la manualmente conectando-se ao seu site usando um cliente SFTP como o FileZilla.
SFTP
SFTP (Secure File Transfer Protocol) é uma forma mais segura de transferir arquivos online. Diferente do FTP, o SFTP utiliza criptografia para proteger seus dados enquanto são enviados, mantendo-os seguros de acessos não autorizados.
Leia MaisVocê pode ser capaz de encontrar as credenciais para isso na sua conta de hospedagem ou pedir ao seu provedor de hospedagem pelos detalhes.
Após instalar o cliente e conectar usando essas credenciais, você deve acessar uma página que se parece com algo assim:
Encontre a pasta raiz chamada public_html (você pode vê-la acima no lado direito da tela) e clique para localizar o arquivo wp-config.php. Se você não a encontrar como public_html, ela pode estar listada como o nome do seu domínio.
Abra este arquivo em seu computador usando um editor de texto como o Visual Studio Code. É melhor usar uma opção que ofereça uma ferramenta de busca e substituição. Use essa ferramenta para encontrar uma sequência de código contendo site_url — isso irá direcioná-lo para a sua URL de login personalizada.
Boom, você encontrou! Com isso resolvido, vamos atualizar este URL para uma segurança melhor.
Duas Estratégias para Alterar seu URL de Login do WordPress
Agora que você sabe onde encontrar a URL de login do WordPress, vamos dar uma olhada em duas maneiras fáceis de alterá-la.
Método 1: Atualize seu URL de Login do WordPress Com um Plugin
A maneira mais fácil de alterar seu URL de login é usando um plugin do WordPress. Felizmente, existem muitos destes disponíveis para facilitar isso.
WPS Hide Login é uma ótima opção, pois é leve e permite que você altere com segurança sua página de login de administração do WordPress para qualquer coisa que desejar. Melhor ainda, o WPS Hide Login também impede que todos os usuários desconectados acessem o diretório wp-admin e wp-login.php.
Para começar, você precisará instalar e ativar o plugin acessando a área de administração do WordPress. Clique em Plugins > Adicionar Novo Plugin.
Pesquise por “WPS Hide Login” e clique no botão Instalar Agora. Permaneça nesta página até a instalação estar completa, então use o botão Ativar.
Uma vez ativado, na barra lateral do seu administrador WordPress, vá para Configurações > WPS Hide Login.
Você verá que pode criar uma nova URL de login. Digite o que desejar e clique em Salvar Alterações.
É simples assim.
Tenha em mente que, uma vez que este plugin esteja ativo e você faça suas alterações, usar o novo URL será a única maneira de acessar a tela de login do seu site.
Portanto, não perca este URL. E não o compartilhe publicamente ou com alguém que não precise absolutamente dele!
Além disso, lembre-se de que seu site voltará a usar wp-admin e wp-login.php se você desativar este plugin.
Método 2: Atualize seu URL de Login do WordPress Editando seu Arquivo wp-login.php
Este segundo método é um pouco mais complicado e provavelmente mais adequado para usuários experientes. Portanto, antes de começar com os seguintes passos, é melhor fazer um backup fresco do WordPress do seu site para o caso de algo dar errado.
Também é importante saber que suas alterações podem voltar às configurações anteriores quando você atualizar seu tema. Se você quiser evitar esse problema, aprenda como usar um tema filho do WordPress.
Agora, vamos mergulhar.
Você precisará acessar os arquivos do seu site, assim como fizemos anteriormente ao rastrear a URL de login personalizada. Você poderá fazer isso através do painel de administração do host do seu site ou SFTP.
Se for o último caso, use suas credenciais para se conectar ao seu site através do seu cliente SFTP de preferência, e novamente, localize o arquivo public_html (novamente, ele pode estar listado como o nome do seu domínio). Dentro dele, encontre a pasta wp-login.php. O código por trás da página de login do seu site está aqui.
Abra o arquivo novamente usando seu editor de texto.
Use a ferramenta de busca para encontrar cada instância de wp_login_url, que se parecerá com algo assim:
As strings seguintes ao wp_login_url conterão o seu URL de login atual. Altere cada uma para o novo URL de login que você deseja usar.
Lembre-se, você pode manter simples, contanto que seja original (e diferente do padrão). Por exemplo, você pode preferir algo como “access.php” ou “wp-new-login.”
Uma vez que esteja satisfeito com suas alterações, salve-as e feche o editor. Em seguida, renomeie o arquivo com o novo URL que escolheu (como “access.php”).
Nota: Você pode nomear o arquivo como quiser tecnicamente, mas é mais fácil de rastrear e lembrar se você nomeá-lo de acordo com a nova URL que planeja usar.
Arraste o arquivo da sua área de trabalho para o arquivo public_html .
Agora, você pode fazer o upload do novo arquivo para seu diretório Root usando seu cliente FTP ou o gerenciador de arquivos do seu host web. Vamos mostrar como fazer isso usando o filtro hook “login_url” do WordPress.
Comece navegando até wp-content > themes, selecionando seu tema ativo e abrindo o arquivo functions.php (preferencialmente sob um tema filho.) Isso indica ao WordPress onde o novo arquivo de login “reside”.
Aqui, você pode colar a seguinte linha de código no arquivo:
/*
*Alterar URL do arquivo de login do WP usando o hook de filtro "login_url"
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}
Substitua wp-your-new-login-file-name pelo nome do arquivo que você acabou de criar. Em seguida, salve suas alterações e teste seu novo login.
Você precisará digitar o domínio do seu site com a nova URL de login no final.
Por exemplo: “https://example.com/access.php.”
Se você conseguiu acessar a página de login do seu site WordPress, funcionou!
E agora, você pode deletar o arquivo original wp-login.php, pois o novo arquivo que você adicionou substituiu-o.
Algo para lembrar – uma vez que você atualizou sua página de login, você precisa atualizar as páginas que referenciam o arquivo wp-login.php que acabamos de deletar. Especificamente, você precisa atualizar o logout_url filter e o lostpassword_url filter.
4 Maneiras Adicionais de Proteger o Processo de Login do WordPress
Mudar o URL de login do seu WordPress é ótimo para aumentar a segurança do seu site. No entanto, não é tudo o que você pode fazer.
Aqui estão algumas maneiras adicionais de aumentar a segurança do seu processo de login no WordPress:
1. Limitar Tentativas de Login
Quando você limita as tentativas de login, pode impedir hackers e bots que tentam acessar seu site testando centenas de nomes de usuário e senhas. Em outras palavras, um ataque de força bruta.
A maneira mais fácil de fazer isso é usando um plugin como Limit Login Attempts Reloaded.
Este plugin começa a funcionar assim que é ativado no seu site. Por padrão, os usuários têm quatro chances para fazer login antes de serem bloqueados no WordPress.
Entretanto, você pode brincar com as configurações, alterando o número de tentativas, a duração dos bloqueios e mais. O painel de administração do plugin pode mostrar quantos ataques de força bruta foram bloqueados pelo plugin.
E na aba “Registros”, você pode até mesmo bloquear manualmente endereços IP específicos.
2. Implementar Autenticação de Dois Fatores (2FA)
2FA é uma das funcionalidades de segurança mais utilizadas pelos usuários do WordPress.
Neste processo, os usuários precisam fornecer mais do que apenas suas credenciais de login. Antes de fazer login, os usuários também devem gerar uma segunda credencial. Geralmente é um código enviado por mensagem de texto, email ou um aplicativo.
Como bots e hackers não conseguem produzir a segunda credencial necessária, esta é uma ótima maneira de prevenir o acesso não autorizado ao seu site. Uma das melhores formas de adicionar essa funcionalidade ao seu site é usando um plugin como miniOrange.
Uma vez ativado, acesse o novo link de autenticação de dois fatores miniOrange na sua barra lateral de administração do WordPress > Minha Conta.
Aqui, você terá que se registrar para uma conta. Em seguida, você receberá um código que permite verificar seu endereço de e-mail.
Em seguida, recomendamos que siga o útil “Assistente de Configuração” do plugin para garantir que você tenha o 2FA completamente configurado para qualquer pessoa que use seu site.
3. Use CAPTCHA
CAPTCHA ou reCAPTCHA da Google proporciona uma camada extra de segurança para o seu site.
Normalmente, é utilizado para controlar o acesso a páginas sensíveis. Além disso, isso pode impedir que bots criem spam ou acessem informações pessoais em seu site por meio de formulários de pedido ou de login.
Novamente, um plugin é a maneira mais fácil de habilitar essa funcionalidade em seu site. Em nosso guia para reCAPTCHA, orientamos você sobre como ativá-lo através de um plugin em apenas seis passos.
Se preferir fazer isso manualmente, essa também é uma opção!
4. Exigir Senhas Fortes
Claro, mudar a URL de login para seu site WordPress é uma ótima ideia, para que você não use o sufixo facilmente adivinhável “admin”. No entanto, seus esforços são desperdiçados se você continuar usando senhas fracas ou repetidas que colocam sua conta em maior risco de ataque.
Apenas 13% das pessoas utilizam um gerador de senhas para criar frases únicas e altamente seguras para diferentes sites. A maioria, em vez disso, utiliza números e palavras que são significativas para elas, tornando-os mais óbvios para os hackers.
Recomendamos o uso de Solid Security, um plugin do WordPress que incentiva os usuários a usar senhas fortes. Se você está preocupado com uma senha que possa ter sido exposta em uma violação de dados, também pode usar Passwords Evolved, que envia um alerta se alguma senha de usuário for comprometida
Agora, é melhor redefinir sua senha no WordPress se ela for reutilizada ou facilmente adivinhada. Daqui para frente, opte por senhas longas com letras maiúsculas e minúsculas combinadas com números e caracteres especiais. Também recomendamos o uso de um gerenciador de senhas como 1Password para uma tranquilidade extra.
Além disso, é importante incentivar senhas fortes dos usuários com acesso ao seu site. Você pode esclarecer isso no email de boas-vindas que os usuários recebem ao se registrar no seu site.
Bônus: Mais Dicas para Aumentar a Segurança do WordPress
Como o sistema de gestão de conteúdo (CMS) mais popular do mercado, o WordPress é compreensivelmente um dos mais atacados.
Não dizemos isso para assustá-lo a não usá-lo, mas apenas para conscientizá-lo da importância de proteger seu site WordPress em todos os aspectos.
Para uma segurança mais abrangente além da fase de login, recomendamos outro plugin poderoso para automatizar o processo: Jetpack.
Jetpack
Jetpack é um plugin do WordPress criado pela Automattic, a empresa por trás do WordPress.com. É um plugin que proporciona acesso a funcionalidades que normalmente só estão disponíveis em sites do WordPress.com.
Leia MaisGarantir que seu certificado SSL/TLS esteja atualizado é a melhor maneira de assegurar que os dados importantes do seu site e dos usuários estejam criptografados. Isso frequentemente tem um impacto positivo na otimização de motores de busca (SEO) para o seu website também.
Aprenda a usar o plugin WordPress Really Simple SSL aqui.
Sente-se pronto para se aprofundar ainda mais na segurança do WordPress? Confira nosso guia sobre Tudo o Que Você Precisa Saber Sobre a Segurança do WordPress para conhecer ainda mais métodos de fortalecimento de site.
Construa um Negócio Impenetrável Com o Melhor Host WordPress
Uma maneira final, mas excelente, de reforçar a segurança do seu WordPress de uma vez por todas?
Parceria com um host na web experiente e comprometido.
Na DreamHost, oferecemos uma gama de soluções para atender a todos os tipos de usuários, sites e necessidades de segurança.
Nossos pacotes de Hospedagem Gerenciada do WordPress são ótimos para proprietários e operadores de pequenas empresas que preferem não se envolver diretamente, e nossas opções de Hospedagem VPS Gerenciada são ideais quando você estiver pronto para crescer.
Explore todos os nossos planos de hospedagem para escolher o melhor para você! E, enquanto isso, confira DreamCare para obter monitoramento de segurança profissional, relatórios e manutenção, para que você possa riscar isso da lista de tarefas da sua empresa.
Proteja Seu Site com o DreamShield
Nosso add-on de segurança premium verifica seu site semanalmente para garantir que ele esteja livre de código malicioso.
Ative o DreamShieldEsta página contém links de afiliados. Isso significa que podemos ganhar uma comissão se você adquirir serviços através do nosso link, sem nenhum custo extra para você.