Saltar para o conteúdo
(+381) 60 3535 720
A minha conta
BeoHosting
BeoHosting
A minha contaContacto
(+381) 60 3535 720
 
Segurança

Como Proteger o WordPress de Ataques de Força Bruta

Equipa BeoHosting··8 min de leitura de leitura
Como Proteger o WordPress de Ataques de Força Bruta

O que é um ataque de força bruta?

Um ataque de força bruta é um método em que o atacante tenta automaticamente milhares de combinações de nome de utilizador e palavra-passe até acertar na correta. Os bots conseguem tentar centenas de inícios de sessão por minuto, testando as palavras-passe mais comuns como "admin123", "password" ou "123456". Como o WordPress utiliza a página padrão /wp-login.php, os atacantes sabem exatamente onde atacar.

Mesmo que o atacante não consiga adivinhar a palavra-passe, o enorme volume de pedidos pode abrandar ou bloquear o seu site. É por isso que a proteção contra ataques de força bruta é duplamente importante - protege tanto os seus dados como o desempenho do seu site.

Altere o nome de utilizador de administrador predefinido

Se a sua conta WordPress utilizar o nome de utilizador "admin", já deu ao atacante metade da informação de que ele precisa. Utilize sempre um nome de utilizador único que não seja fácil de adivinhar.

O WordPress não permite alterar diretamente o nome de utilizador a partir do painel de administração. Em vez disso, crie uma nova conta com direitos de administrador e um nome único, e depois elimine a antiga conta "admin". Ao eliminar, o WordPress perguntará a quem deve reatribuir o conteúdo da conta antiga - escolha a nova conta.

Utilize palavras-passe fortes

Uma palavra-passe forte é a primeira linha de defesa. Requisitos mínimos:

  • No mínimo 12 caracteres (idealmente 16+)
  • Combinação de letras maiúsculas e minúsculas, números e caracteres especiais
  • Nunca utilize a mesma palavra-passe em vários sites
  • Evite palavras de dicionário, datas de nascimento e informações pessoais

Utilize gestores de palavras-passe como o Bitwarden ou o 1Password, que geram e armazenam palavras-passe complexas por si. Não precisa de memorizar uma palavra-passe se o gestor a guardar em segurança.

Autenticação de dois fatores (2FA)

A autenticação de dois fatores adiciona uma segunda camada de proteção que exige algo que você tem (o telemóvel) além de algo que você sabe (a palavra-passe). Mesmo que um atacante adivinhe a sua palavra-passe, sem acesso ao seu telemóvel não consegue iniciar sessão.

Plugins de 2FA recomendados:

  • WP 2FA: Um plugin simples que suporta o Google Authenticator, o Authy e códigos por e-mail. A versão gratuita cobre as necessidades básicas.
  • Wordfence: Para além da 2FA, oferece segurança completa, incluindo firewall, análise de malware e monitorização de ameaças em tempo real.
  • miniOrange: Suporta vários métodos de autenticação, incluindo SMS, e-mail, notificações push e chaves físicas.

Certifique-se de que gera e guarda códigos de recuperação num local seguro, caso perca o acesso ao seu telemóvel.

Limite as tentativas de início de sessão

Por predefinição, o WordPress permite um número ilimitado de tentativas de início de sessão. Isto é como deixar a chave na fechadura e dizer ao ladrão "tenta as vezes que quiseres". Limitar as tentativas é uma das proteções mais importantes.

O Limit Login Attempts Reloaded é o plugin mais popular para este fim. Por predefinição, bloqueia o IP após 4 tentativas falhadas durante 20 minutos e, após bloqueios repetidos, estende o tempo para 24 horas. Pode ajustar estes valores às suas necessidades.

Na BeoHosting, a proteção cPHulk Brute Force Protection é uma proteção integrada ao nível do servidor que bloqueia automaticamente os IPs com demasiados inícios de sessão falhados, fornecendo uma camada de proteção adicional independente dos plugins do WordPress.

Altere o URL da página de início de sessão

A página de início de sessão padrão do WordPress está sempre em /wp-login.php ou /wp-admin. Alterar este URL para algo único (por exemplo, /o-meu-acesso) elimina um grande número de ataques automatizados que visam os caminhos padrão.

O plugin WPS Hide Login permite-lhe alterar o URL de início de sessão com um clique. É leve, não modifica ficheiros do servidor e é compatível com a maioria dos temas e plugins.

Web Application Firewall (WAF)

Uma WAF filtra o tráfego malicioso antes que este chegue ao seu site. Consegue reconhecer e bloquear ataques de força bruta, tentativas de injeção de SQL, ataques XSS e outras ameaças.

Cloudflare WAF: O plano gratuito oferece proteção básica (consulte o guia de configuração da Cloudflare), enquanto o plano Pro (20 €/mês) acrescenta regras avançadas específicas para WordPress.

Firewall do Wordfence: Funciona ao nível da aplicação WordPress e oferece proteção específica para WordPress. A versão gratuita inclui regras básicas, enquanto a versão premium recebe atualizações em tempo real.

Sucuri: Uma WAF baseada na nuvem que protege o site antes de o tráfego chegar ao seu servidor. É especialmente eficaz contra ataques DDoS.

Medidas de proteção adicionais

Desative o XML-RPC: O XML-RPC é um protocolo antigo do WordPress que os atacantes podem usar de forma abusiva para ataques de força bruta. Se não o utilizar (a maioria dos sites não utiliza), desative-o adicionando uma única linha ao .htaccess ou utilizando o plugin Wordfence.

Desative a edição de ficheiros a partir do painel de administração: Adicione define('DISALLOW_FILE_EDIT', true); ao wp-config.php para impedir a edição de temas e plugins a partir do painel de administração do WordPress. Se um atacante conseguir acesso, não poderá injetar código malicioso diretamente.

Atualize o WordPress regularmente: Cada atualização do WordPress, do tema e dos plugins corrige falhas de segurança conhecidas. Considere a manutenção profissional do WordPress para atualizações automáticas. Ative as atualizações automáticas para as versões menores e atualize as versões principais manualmente de forma regular.

Utilize SSL: A encriptação HTTPS garante que a palavra-passe é enviada encriptada entre o navegador e o servidor. Sem SSL, alguém na mesma rede pode intercetar a sua palavra-passe. A BeoHosting oferece proteção HTTPS gratuita com cada plano de alojamento.

Conclusão

Proteger um site WordPress de ataques de força bruta exige múltiplas camadas de defesa. A combinação de palavras-passe fortes, autenticação de dois fatores, limites de tentativas de início de sessão e uma firewall proporciona uma proteção sólida. Nenhum método isolado é suficiente por si só, mas, em conjunto, tornam o seu site extremamente difícil de comprometer. Lembre-se - a prevenção é sempre mais barata do que lidar com as consequências de um ataque.

Equipa BeoHosting

10+ anos de experiência — Especialistas em alojamento web e infraestrutura

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Última atualização:

Artigos relacionados

Como Proteger o Seu Site de Ataques DDoS - Guia Completo

6. avgust 2025.

Certificado SSL: Porque É Obrigatório e Como Instalá-lo

6. septembar 2025.

Certificado SSL e SEO - Porque o HTTPS É Obrigatório

9. septembar 2025.
Voltar ao blogMais da categoria: Segurança