Como e por que renomear o wp-login.php

Renomear o wp-login.php é questão de segurança para qualquer blog WordPress. Veja aqui como fazer isso da maneira correta.

Nossos clientes já estão acostumados à Mônica, e sabem que com ela é possível, entre outras coisas, trocar a URL de login do WordPress, o que na prática tem o mesmo efeito de renomear o wp-login.php para qualquer outra coisa que se queira.

Muitas pessoas botam a preguiça na frente do raciocínio e reclamam desta prática, porém mais do que recomendada, é uma ação necessária para a segurança do próprio blog.

Ataques de força bruta ao WordPress

Acontece que o WordPress é a plataforma de publicação mais utilizada no mundo inteiro. Essa popularidade toda implica ter muita gente pesquisando dia e noite maneiras de quebrar a segurança do software de modo a fazer uso não autorizado dos servidores alheios.

Devido à popularidade do WordPress todo mundo sabe que para ter acesso ao formulário de login basta acessar os endereços padrão: wp-login.php e wp-admin. E aí qualquer script-kid consegue baixar um script pronto que faça um ataque de força bruta contra o blog que desejar atacar.

Ataques de força bruta são tentativas de invadir um determinado sistema sem o uso de artifícios sofisticados, apenas usando um programa que tenta milhares de combinações de nomes de usuários e senhas, até obter sucesso.

Cada tentativa de acesso ao WordPress representa um processo bastante complexo e pesado, que requer que o WordPress inteiro seja carregado na memória do servidor, que o código seja interpretado, e que algumas requisições de banco de dados sejam feitas em cada tentativa; multiplique essa complexidade por algumas dezenas por segundo e você já pode visualizar um servidor, por maior que seja, sucumbindo às altas cargas de processamento.

Proteção contra ataques

Para lidar com esse problema nosso firewall é capaz de identificar padrões de comportamento abusivo em cima da URL padrão de login do WordPress: qualquer coisa que tenha a aparência de tentativa de acesso não legítimo é bloqueada, e o IP do ofensor é colocado em estado de bloqueio por 24h, para não ter mais chance de vandalizar nenhum site no servidor.

Este critério pode ter, em algumas poucas situações, um efeito colateral indesejado: o dono do site pode ficar trancado do lado de fora, caso o firewall perceba um comportamento abusivo de seu IP. É mais comum acontecer em redes onde várias pessoas trabalham atrás do mesmo roteador no mesmo site, quando tentam fazer vários logins simultaneamente causando um falso efeito de tentativa de acesso automatizada.

A solução definitiva

Para resolver o problema da segurança, das sobrecargas e do eventual bloqueio no firewall, existe a possibilidade de se “renomear” o script de login para algo diferente do padrão.

Esta simples medida resolve todos os problemas de uma vez:

  • só quem conheça o endereço exato de entrada do seu blog poderá acessá-lo, absolutamente ninguém mais;
  • toda e qualquer tentativa de acesso ao wp-login.php padrão poderá ser bloqueada sem dó pelo firewall;
  • não haverá bloqueio de usuários legítimos, pois estes farão uso exclusivamente da URL secreta, que não é monitorada pelo firewall.

Como renomear o wp-login.php

Para ser tecnicamente corretos não poderíamos usar a expressão “renomear” nesse contexto, uma vez que o arquivo wp-login.php original do WordPress permanece inalterado. O que acontece é que um mecanismo intercepta o acesso à URL padrão e o proíbe, assim como intercepta o acesso à URL personalizada e em vez de uma página 404 qualquer exibe o formulário de login.

A maneira mais simples de se obter esse efeito é utilizando algum plugin, e vários se propõem a esse feito.

A Mônica para Clientes permite a mudança da URL de login de maneira facilitada: basta preencher uma caixinha de texto com a URL desejada, clicar um botão e aguardar.

O plugin que utilizamos para renomear o wp-login.php é o WPS Hide Login.

Escolha uma URL não óbvia para o login

É importante que a nova URL de login não seja óbvia: os filhos de chocadeira obcecados por tomar posse da propriedade alheia já estão cientes de que renomear o wp-login.php é uma atitude responsável, e estão incluindo as possibilidades óbvias em seus ataques.

Veja o “print” abaixo, do monitor de erros 404 do Redirection, aqui no blog da PortoFácil:

Como e por que renomear o wp-login.php

Como é possível ver, o atacante tentou uma porção de variações:

  • entrar
  • login
  • autenticacao
  • administrador
  • panel
  • sysadmin
  • webadmin
  • adm
  • painel
  • admins

Há apenas dez tentativas registradas porque o plugin iThemes Security está configurado para bloquear automaticamente qualquer visitante que dispare mais do que essa quantidade de erros de página não encontrada no WordPress. Não fosse isso e a lista seria ainda maior.

O ideal é utilizar algum gerador de senha para criar a nova URL, alternando letras maiúsculas, letras minúsculas e algarismos (caracteres especiais não recomendados para a URL de login). Recomendamos também que seja uma “palavra” de pelo menos dez caracteres de comprimento.

Exemplo de uma boa URL de login: /EcT6SLzmTssWdVA.

 

Quero ser cliente da PortoFácil!Contato

Avalie este conteúdo!

Avaliação média: 4.82
Total de Votos: 22

Como e por que renomear o wp-login.php

Compartilhe

Publicado por Janio Sarmento – 09 de maio de 2018