Se utilizam o Wordpress, é urgente que tomem algumas medidas de segurança adicionais. Há um ataque em grande-escala que tenta ganhar controlo sobre os mesmos usando brute-force - ou seja, tentando repetidamente e incessantemente fazer login como administrador usando milhares e milhares de passwords possíveis.
Como forma de protecção é recomendável que limitem o acesso ao ficheiro wp-login.php com uma password adicional, impedindo o processo de login automático e repetido que possibilita este tipo de ataque.
Para isso terão que criar um ficheiro (neste caso, chamado .wpadmin) com a informação dos dados de login adicionais (nome de utilizador/password encriptada). E de seguida limitar o acesso ao .htaccess com base neste ficheiro de permissões de acesso:
ErrorDocument 401 "Unauthorized Access"
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/username/.wpadmin
require valid-user
</FilesMatch>
A fazer quanto antes!
Done. Thanks!
ResponderEliminarOu então fazer o que fiz no meu e instalar um plugin para usar o Google Authenticator: http://henrik.schack.dk/google-authenticator-for-wordpress
ResponderEliminarPenso que neste sistema esta password extra é só para acesso ao login. Ou seja, podes definir uma conta genérica de acesso ao login (partilhada por todos os utilizadores), e depois cada um faz o seu login habitual.
ResponderEliminarMas sim, há formas alternativas, como por exemplo, mudar o nome do ficheiro wp-login (há scripts que tratam disso), e assim passando ao lado deste tipo de ataques.