Brutal force ou ataque de força bruta é uma das mais remotas formas de invadir um sistema online, ou um site que possui uma aplicação de administração de conteúdo. Normalmente, essas aplicações restringem o acesso dos usuários mediante um nome de usuário/login e senha. O ataque de força bruta consiste em “adivinhar” os dados de acesso ao sistema através de tentativa e erro. É importante saber como proteger o site destes ataques.

Devido à quantidade de usuários que possuem senhas consideradas fracas, esse ataque se tornou muito viável. Eles podem ser feitos manualmente ou por ferramentas que automatizam a tarefa, além de diminuir drasticamente o tempo levado para descobrir as chaves de entrada do sistema. Como existem várias ferramentas disponíveis atualmente, é praticamente inviável realizar o ataque manualmente.

Muitas vezes, os usuários fazem a utilização de logins padronizados como administrador, admin, adm, root, login, etc. Nestes casos, o invasor já tem meio caminho andado, ele descobre facilmente o login que foi usado precisando apenas adivinhar a senha. Para isso ele pode recorrer a dicionários on-line, listas de palavras comuns que têm uma grande probabilidade de servirem como senha.

Alguns exemplos comuns são nomes de times de futebol, substituições óbvias de algumas letras como a troca de “a” por “@” ou “o” por “0”, sequências numéricas e de letras, informações pessoais coletadas principalmente em redes sociais como nome, sobrenome e data de nascimento.

Dicas para se proteger de ataques de força bruta

Para tentarmos diminuir a probabilidade dos ataques de força bruta é necessário fortalecer a segurança de nossos dados de acesso (usuário e senha). Abaixo uma lista de dicas importantes que devemos considerar:

• Nunca utilize nomes de usuário padrão, preferindo nomes mais complexos e que não sejam muito óbvios;
• Para os usuários do sistema WordPress nunca use o nome admin como login, este é o login padrão sugerido pela plataforma no momento da instalação do mesmo. O uso deste nome facilita bastante o trabalho do invasor;
• Sempre utilize senhas longas. Normalmente, os sistemas têm um tamanho limite, mas procure sempre utilizar a quantidade máxima de caracteres;
• Evite usar somente letras ou somente números na composição da senha;
• O ideal é sempre compor as senhas utilizando caracteres variados, como símbolos, letras, números, e até mesmo misturar letras maiúsculas e minúsculas;
• Apesar de a maioria dos sistemas não permitir, nunca repita as mesmas palavras na área de login e senha;
• Tente formar senhas com a escolha de uma frase, montando uma sequência a partir desta;
• Não use datas oficiais registradas, como a data do seu aniversário, data de casamento, etc;
• Nunca crie senhas com palavras que foram publicadas em suas redes sociais;
• Tome cuidado com os locais onde você salva suas senhas, o ideal é sempre decorá-las;
• Muitas pessoas utilizam a mesma senha para várias aplicações. Nunca faça isso, se um invasor descobrir seus dados em uma das aplicações, ele pode ter acesso a todas as outras;
• Sempre que puder, altere suas senhas;
• Certifique que o sistema que você está usando possua bloqueio da conta depois de algumas tentativas seguidas de erro.

Plug-in de segurança no WordPress para proteger o site de ataque de força bruta

Existem vários plug-ins no WordPress que fazem o bloqueio do acesso após algumas tentativas seguidas de erro, permitindo o desbloqueio apenas após a realização de algum procedimento de segurança para a restauração da senha.

Com o WP Limit Login Attempts, você pode determinar a quantidade de tentativas e erros de logins permitidos até o bloqueio, além do tempo em que o acesso ficará bloqueado.