Descrição
Simple Login Limit & Protect é um Plugin projetado para proteger seu site WordPress de hackers, crackers e atacantes em geral, com configuração simplificada e sem gerar problemas para usuários legítimos.
Usando a mesma tecnologia usada nas ferramentas de segurança mais avançadas, nosso plugin funciona assim que ativado, detectando comportamentos maliciosos e bloqueando atacantes automaticamente.
Recursos principais
- Aprendizado de Comportamento Inteligente, detecta o comportamento dos usuários para distinguir entre os mocinhos e bandidos
- Realmente em conformidade com a GDPR e LGPD (leia aqui porque outros plugins não estão)
- Configuração mínima, apenas instale e nem se preocupe em olhar as configurações, funciona assim que ativado
Aprendizado de Comportamento Inteligente
Nós esperamos que usuários legítimos se comportem de uma certa forma. Por outro lado, hackers normalmente iniciam com scripts simples e comoditizados, nós estudamos esses scripts e implementamos regras de detecção para eles.
Nós estudamos técnicas de ataque como User Enumeration, Ataques de Força Bruta, as Senhas Mais Comuns Usadas e desenvolvemos sensores para detectar esses comportamentos, identificando um usuário que usar essas técnicas como um atacante.
Por outro lado, usuário legítimos normalmente usam o mesmo Provedor de Internet, com um navegador de Internet comum e de uma certa forma, nós também detectamos esse comportamento e identificamos ele como um bom usuário.
Permite automaticamente a usuários legítimos tentar novamente
Se um usuário legítimo for bloqueado por errar a senha, o plugin irá informar o usuário quanto tempo ele deve esperar antes de tentar novamente, minimizando suporte.
Nas primeiras tentativas erradas de senha, o plugin irá permitir ao usuário tentar novamente em poucos minutos com uma mensagem, isso remove trabalho do Administrador do site.
Se necessário, o usuário pode usar o recurso do WordPress de “Perdeu a senha” para gerar uma nova e não ser bloqueado novamente.
Mas se for um hacker que continuar tentando senhas inválidas, ele será bloqueado novamente por tempos cada vez maiores (limitado a 24 horas).
Lista completa de recursos
- Detecta e bloqueia usuários maliciosos
- Detecta e bloqueia Ataques de Força Bruta
- Detecta Ataques de User Enumeration
- Informa usuários legítimos se eles forem bloqueados
- Detecta se o hacker não está usando HTTPS
- Detecta se um hacker está usando scripts
- Detecta as ferramentas mais comuns de ataque a sites WordPress, como o Hydra, Curl, MetaSploit e Kalil
- Detecta se o atacante está usando um ataque de dicionário para adivinhar senhas
- Bloqueia o IP do atacante
- Permite um usuário legítimo tentar novamente depois de alguns minutos
- Se o atacante continuar, bloqueia novamente por até 30 minutos
- Se o atacante continuar, bloqueia por até 24 horas
- Conta e informa o Administrador quantos ataques foram bloqueados
- Detecta e funciona automaticamente com o Sucuri Web Firewall
- Detecta e sugere configuração de Proxy e Load Balancer
- Detecta e bloqueia ataques à API XMLRPC (nem todos os outros plugins fazem isso)
- Detecta ataques à REST API para User Enumeration (nenhum outro plugin faz isso)
Instruções de instalação
No Painel Administrativo do WordPress
- Visite
Plugins > Adicionar novo - Procure por
Simple Login Limit & Protect. Localize e instale o plugin - Em
Plugins > Plugins instalados, clique em Ativar
Baixando do WordPress.org
- Baixe o arquivo zip do Simple Login Limit & Protect
- Visite
Plugins > Adicionar novono Painel de Administração de seu WordPress - Clique em
Enviar plugin - Clique em
Escolher arquivo, encontre o arquivo baixado em seu computador - Clique em
Instalar agora - Em
Plugins > Plugins instalados, clique em Ativar
Manualmente via FTP ou SFTP
- Baixe o arquivo zip do Simple Login Limit & Protect
- Descompacte e faça upload do diretório
simple-login-limit-protectpara o diretório/wp-content/plugins/de seu WordPress - Entre no Painel de Administração de seu WordPress
- Em
Plugins > Plugins instalados, clique em Ativar
Vídeo de demonstração
Imagens de tela
Tela de configuração do Simple Login Limit & Protect 
O que um usuário vê quando é bloqueado 
A tela de Acesso será liberada novamente
FAQ
-
Meu IP foi bloqueado, o que devo fazer?
-
Apenas espere o tempo indicado na tela de Acesso do WordPress, o sistema irá liberar seu IP automaticamente.
-
Estou bloqueado e não posso esperar meu IP ser liberado, o que posso fazer?
-
Você pode acessar de outra conexão de outro provedor, por exemplo, usando uma conexão de 3G/4G ao invés do Wifi.
Se você esqueceu a senha e foi bloqueado por isso, troque a senha antes de tentar acessar novamente.
Se você puder logar no MySQL, você pode limpar os dados na tabela wp_simple_login_limit_protect, isso limpará seu bloqueio.
Se você puder acessar apenas por FTP, você pode acessar a pasta wp-content/plugins e apagar a pasta simple-login-limit-protect, isso irá desinstalar o plugin, depois de logado, você pode instalar o plugin novamente que não será bloqueado.
Se você não puder acessar nem o MySQL e nem o servidor FTP, desculpe-nos, não existe nenhum backdoor.
-
Porque não posso desativar a proteção de GDPR?
-
Nós entendemos que isso provê uma proteção melhor, já que usamos Ofuscação de Dados para anonimizar os Endereços IP, como faz o Google Analytics e outras ferramentas.
Ao Ofuscar o Endereço IP, nós vamos ter uma faixa de Endereços IP ao invés do IP final, por exemplo, se o hacker tiver o Endereço IP 198.51.100.10, nós vamos bloquear do IP 198.51.100.0 até 198.51.100.255. Com isso, sem outras fontes de dados, fica impossível identificar o Endereço IP original.
Se um hacker tentar desconectar e reconectar de seu provedor, tem uma grande chance de ele receber um Endereço de IP da mesma faixa, que já estará bloqueada.
Mesmo se ele receber um Endereço IP de outra faixa, em poucas tentativas o Provedor de Internet dele estará inteiro bloqueado.
Isso não previne ele de acessar o conteúdo do site, apenas de logar na área administrativa.
Nós pensamos que isso é uma boa ideia, já que previne mais ataques do mesmo hacker.
Se você tem outra ideia, preencha esse formulário.
Outra razão é que alguns hackers podem estar na União Européia, então, é melhor estar em conformidade para não ter nenhum risco legal.
-
Como vocês estão em conformidade com a GDPR e LGPD?
-
A GDPR indica que não podemos armazenar informações pessoais, o que inclui o Endereço IP, sem consentimento do usuário.
Claro que um hacker não irá dar consentimento para armazenarmos essa informação, mas precisamos dela para bloquear os atacantes.
Então, um método para fazer isso é usar Pseudo Anonimização com Ofuscação de Dados.
Essa é a mesma técnica usada pelo Google Analytics, então, temos algum apoio.
-
Porque outros plugins não estão em conformidade com a GDPR e LGPD?
-
Eles usam uma técnica chamada de hashing para ofuscar o Endereço IP, normalmente aplicando o Algorítimo de Hash MD5.
Enquanto isso funciona bem para dados não previsíveis como senhas, os Endereços IP são altamente previsíveis (existem apenas 4 bilhões deles), e por isso podem ser facilmente reversíveis.
Nós exploramos esse tema em um Post em nosso website, mas não confie só em nossa palavra, nós linkamos para outros especialistas em segurança a respeito:
Porque Hash não torna o Endereço IP Anônimo e o que isso afeta GDPR e LGPD
-
Existe só um Modo de Segurança que é Inteligente, porque não posso mudá-lo?
-
Estamos planejando outros modos, então pensamos que era uma boa ideia manter esse espaço reservado para opções que estão a chegar em breve.
-
Eu tenho uma ideia
-
Preencha esse formulário,, ficaremos felizes em ajudar.
-
Preciso de suporte
-
Envie um e-mail para support@skymonitor.com
Avaliações
Não existem avaliações para esse plugin.
Colaboradores e desenvolvedores
“Simple Login Limit & Protect” é um software com código aberto. As seguintes pessoas contribuíram para este plugin.
Colaboradores
“Simple Login Limit & Protect” foi traduzido para 1 localização. Agradecemos aos tradutores por suas contribuições.
Traduzir “Simple Login Limit & Protect” para o seu idioma.
Interessado no desenvolvimento?
Navegue pelo código, dê uma olhada no repositório SVN ou assine o registro de desenvolvimento via RSS.
Registro de alterações
1.0.0
- Versão pública inicial