Proprietários de sites precisam priorizar a segurança do WordPress para proteger seus dados sensíveis e manter a confiança de seus usuários. Uma maneira muito eficaz que fazemos isso no WPBeginner é protegendo com senha nosso diretório de administração do WordPress.
O diretório wp-admin é o centro de controle do seu site WordPress. É onde você gerencia tudo, de conteúdo a configurações, tornando-o um alvo principal para hackers. Proteger seus arquivos de administração com senha os manterá seguros contra ataques.
Este artigo fornece um guia direto para proteger facilmente seu diretório wp-admin com senha e fortalecer a segurança do seu site.
Por que proteger seu diretório de administração do WordPress com senha?
Ao proteger com senha seu diretório de administração do WordPress, você adiciona uma camada extra de segurança ao ponto de entrada mais importante do seu site WordPress.
Seu painel de administração do WordPress é o hub central do seu site. É onde você publicará posts e páginas, personalizará seu tema, instalará plugins do WordPress e muito mais.
Frequentemente, quando hackers tentam acessar seu site, eles o fazem através da tela wp-admin usando um ataque de força bruta.
Você pode ajudar a proteger seu site contra ataques potenciais usando medidas de segurança como uma senha forte e limitando as tentativas de login.
Para ser ainda mais seguro, você também pode proteger por senha o diretório wp-admin. Então, quando alguém tentar acessar sua área de administração, precisará inserir um nome de usuário e senha antes mesmo de chegar à página de login do WordPress.
Dito isso, vamos dar uma olhada em como você pode proteger por senha o diretório de administração do seu WordPress passo a passo.
O primeiro método é recomendado para a maioria dos usuários, e você pode usar os links rápidos abaixo para ir direto ao método que deseja usar:
- Proteja por senha o wp-admin usando Privacidade de Diretório (Recomendado)
- Proteja por senha o wp-admin usando Código
- Solução de problemas de proteção por senha do wp-admin
- Bônus: Melhores Guias do WordPress para Segurança do wp-admin
Tutorial em Vídeo
Se você preferir instruções escritas, continue lendo.
Método 1: Proteja por senha o wp-admin usando Privacidade de Diretório (Recomendado)
A maneira mais fácil de proteger por senha o diretório de administração do seu WordPress é usando o aplicativo Privacidade de Diretório do seu provedor de hospedagem WordPress.
Primeiro, você precisa fazer login no painel da sua conta de hospedagem e clicar na opção ‘Privacidade do Diretório’ na seção Arquivos do painel cPanel do seu site.
Observação: A maioria dos provedores de hospedagem que usam cPanel, como a Bluehost, terão passos semelhantes. No entanto, seu painel pode ser ligeiramente diferente das nossas capturas de tela, dependendo do seu provedor de hospedagem.
Isso o levará a uma tela que lista todos os diferentes diretórios do seu servidor. Você precisa encontrar a pasta que contém os arquivos do seu site.
Para a maioria dos proprietários de sites, isso pode ser encontrado clicando na pasta ‘public_html’.
Isso exibirá todos os arquivos do site que você instalou no seu servidor.
Em seguida, você precisará clicar na pasta com o nome de domínio do seu site.
Nessa pasta, você verá uma pasta wp-admin.
Em vez de clicar no nome da pasta, você precisará clicar no botão ‘Editar’ ao lado dessa pasta.
Isso o levará a uma tela onde você pode ativar a proteção por senha.
Basta marcar a caixa que diz ‘Proteger este diretório com senha’. Se desejar, você também pode dar um nome ao seu diretório, como ‘Área de Administração’, para ajudar a lembrar.
Depois de fazer isso, você precisará clicar no botão ‘Salvar’.
Isso o levará a uma página onde a mensagem de confirmação aparecerá.
Agora, você precisará clicar no botão ‘Voltar’, e você será levado a uma tela onde poderá criar um usuário que poderá acessar este diretório.
Você será solicitado a inserir um nome de usuário e senha e, em seguida, confirmar a senha. Certifique-se de anotar seu nome de usuário e senha em um local seguro, como um gerenciador de senhas.
Certifique-se de clicar no botão ‘Salvar’ quando terminar.
Agora, quando alguém tentar acessar seu diretório wp-admin, será solicitado a inserir o nome de usuário e a senha que você criou acima.
Método 2: Proteger wp-admin com senha usando código
Você também pode proteger seu diretório de administração do WordPress com senha manualmente. Para fazer isso, você precisará criar dois arquivos chamados .htpasswd e .htaccess.
Observação: Adicionar qualquer código ao seu site WordPress pode ser perigoso. Mesmo um pequeno erro pode causar grandes problemas em seu site. Recomendamos este método apenas para usuários avançados.
Criando o arquivo .htaccess
Primeiro, abra seu editor de texto preferido e nomeie o novo arquivo como .htaccess.
Depois disso, você precisa copiar o seguinte trecho de código e adicioná-lo ao arquivo:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Certifique-se de alterar o caminho de ‘AuthUserFile’ para o local onde você fará o upload do arquivo .htpasswd e altere ‘yourusername’ para o nome de usuário que você deseja usar para fazer login.
Não se esqueça de salvar o arquivo quando terminar.
Criando o Arquivo .htpasswd
Depois de fazer isso, você precisa criar um arquivo .htpasswd.
Para fazer isso, abra um editor de texto e crie um arquivo chamado .htpasswd. Este arquivo listará seu nome de usuário junto com sua senha em formato criptografado.
A maneira mais fácil de gerar a senha criptografada é com um gerador htpasswd.
Simplesmente insira seu nome de usuário e senha, selecione o formato de criptografia e clique no botão ‘Criar arquivo .htpasswd’.
O gerador htpasswd exibirá uma linha de texto que você precisará colar em seu arquivo .htpasswd. Certifique-se de salvar o arquivo depois de fazer isso.
Upload de .htaccess e .htpasswd para o Diretório wp-admin
O último passo é fazer o upload de ambos os arquivos que você criou para a pasta wp-admin do seu site.
Você precisará se conectar à sua conta de hospedagem WordPress usando um cliente FTP ou a ferramenta de gerenciador de arquivos online fornecida pelo seu provedor de hospedagem. Para mais detalhes, consulte nosso guia para iniciantes sobre como usar FTP para fazer upload de arquivos para o WordPress.
Para este tutorial, usaremos o FileZilla porque é gratuito e funciona tanto em Mac quanto em Windows.
Uma vez conectado ao seu site, você verá os arquivos no seu computador na janela da esquerda e os arquivos no seu site na janela da direita. Na esquerda, você precisa navegar até o local onde salvou os arquivos .htaccess e .htpasswd.
Em seguida, na direita, você precisa ir para o diretório wp-admin do site que deseja proteger. A maioria dos usuários precisará dar um duplo clique na pasta public_html, depois na pasta com o nome do seu domínio, e então na pasta wp-admin.
Agora, você pode selecionar os dois arquivos à esquerda e clicar em ‘Upload’ no menu de clique com o botão direito ou simplesmente arrastar os arquivos para a janela da esquerda.
Agora, seu diretório ‘wp-admin’ estará protegido por senha.
Solução de problemas de proteção por senha do wp-admin
Dependendo de como seu servidor e site estão configurados, há uma chance de você encontrar erros do WordPress. Esses erros podem ser corrigidos adicionando cuidadosamente código ao seu arquivo .htaccess.
Nota: Este é o arquivo .htaccess localizado na pasta principal do seu site, não o que você carregou na pasta ‘wp-admin’. Se estiver com problemas para encontrá-lo, consulte nosso guia sobre por que você não consegue encontrar o .htaccess e como localizá-lo.
Corrigindo o Erro de Ajax Não Funcionando
Um dos erros mais comuns é que a funcionalidade Ajax pode parar de funcionar no front-end do seu site. Se você tem plugins do WordPress que exigem Ajax, como pesquisa Ajax ao vivo ou formulários de contato Ajax, então você notará que esses plugins não funcionarão mais.
Para corrigir isso, basta adicionar o seguinte código ao arquivo .htaccess que está localizado na sua pasta wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Corrigindo o Erro 404 e o Erro de Muitos Redirecionamentos
Outros dois erros que você pode encontrar são o erro 404 e o erro de muitos redirecionamentos.
A maneira mais simples de corrigi-los é abrir seu arquivo .htaccess principal localizado no diretório do seu site e adicionar a seguinte linha de código antes das regras do WordPress:
ErrorDocument 401 default
Bônus: Melhores Guias do WordPress para Segurança do wp-admin
Esperamos que este artigo tenha ajudado você a aprender como proteger com senha o diretório de administração do seu WordPress (wp-admin). Você pode querer ver alguns guias adicionais sobre como tornar sua área de administração mais segura:
- Como Restringir o Acesso de Administrador do WordPress por Endereço IP
- Dicas Vitais para Proteger sua Área Administrativa do WordPress (Atualizado)
- Como Adicionar uma URL de Login Personalizada no WordPress (Passo a Passo)
- Como e por que você deve limitar as tentativas de login no WordPress
- Como Adicionar Autenticação de Dois Fatores no WordPress (Método Gratuito)
- Como Adicionar Perguntas de Segurança à Tela de Login do WordPress
- Como Forçar Usuários a Alterar Senhas no WordPress – Expirar Senha
- Como Redefinir Senhas para Todos os Usuários no WordPress
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Rauf
Senhor, quando faço login, o botão pop-up aparece repetidamente pedindo para inserir o nome de usuário e a senha
demonkoryu
Editar: Vejo que o seu problema não é com os comentários do Disqus (facepalm), mas pode ser aplicável ao seu caso mesmo assim.
Isso aconteceu comigo também.
a) Limpar todos os cookies (para o Disqus e o site onde você está tentando usá-lo)
b) Tentar outro navegador além do que você está usando atualmente
Thomas
Isso não está funcionando para mim no WordPress 3.9.1. Recebo um erro 500 (erro interno do servidor) para qualquer página de administração, e a página wp-login.php carrega, mas não é exibida corretamente.
Adicionei o código para o erro 404 ao arquivo .htaccess principal e adicionei o código ajax ao arquivo .htaccess do wp-admin/. Não houve mudança.
O que pode estar causando isso? Meu servidor ou a instalação do WordPress está mal configurada de alguma forma?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Obrigado! –
resolveu meu problema de loop de redirecionamento com ErrorDocument 401 default
Convidado
Adicionei o código admin-ajax ao meu arquivo .htaccess /wp-admin, mas isso não resolveu o problema. O plugin All-In-One-Event-Calendar ainda não consegue acessar o admin-ajax no front-end.
Por favor, me aconselhe.
Obrigado!
bamajr
A adição de Autenticação de Dois Passos ao processo de login do WordPress Admin não resolveria isso? Por exemplo, usando o Authy (e seu plugin associado)!
WPBeginner Support
Sim, mas uma camada adicional fortalece ainda mais a segurança.
Admin
Chris Christoff
Olá pessoal,
Nota rápida, admin-ajax.php não é a única coisa à qual os plugins precisam de acesso. Você também precisa permitir acesso não protegido por senha a async-upload.php e media-upload.php
Estes são usados por plugins para permitir o upload de arquivos no frontend (como o upload de um arquivo durante o checkout).
-Chris
bikramjit singh
Olá... sou novo no wordpress e visitante regular aqui. Estou enfrentando um problema. Quando tento fazer login no meu painel do wordpress, o painel para inserir nome de usuário e senha não aparece. O site abre sozinho. Meu domínio é http://www.tradethetechnicals.com.How como posso resolver este problema?
WPBeginner Support
Você pode visitar sua página de login aqui: http://tradethetechnicals.com/wp-admin
Admin
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Olá, estou confuso!
Se eu bloquear o diretório wp-admin, os autores registrados poderão acessar “http://site.com/wp-admin” no navegador? Ou eles também precisam de nome de usuário e senha?
Veja no meu blog, qualquer um pode fazer login diretamente com o Facebook, então, nesse caso, se senha e nome de usuário forem obrigatórios para todos os usuários. Será um pouco complexo de gerenciar...
Algum comentário?
WPBeginner Support
seus autores registrados precisarão de senha para acessar a área de administração do WP.
Admin
Phil Alcock
Obrigado pela correção do ajax. Adicionei essas poucas linhas e corrigiu meu problema com um plugin. Muito mais fácil do que a sugestão no Codex do WordPress.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
olá,
Eu uso este método de senha,
por favor ajude, porque esta janela pop-up não abre no UCBrowser!!
então me diga, posso criar uma página, uma página html ou qualquer tipo de página para login?? eu não quero mostrar um pop-up, eu quero mostrar um login em uma página, e outras funções da mesma forma
WPBeginner Support
Você pode criar uma página de login personalizada para WordPress.
Admin
Chathu
Se eu seguir o método cPanel, há alguma maneira de remover a senha?
Obrigado!
Masood
Obrigado por compartilhar, muito útil
Arthur
Uau! Finalmente! O “ErrorDocument 401 default” resolveu. Eu estava perdendo a paciência com o problema de redirecionamento…
Muito obrigado por compartilhar isso.
James
Parece funcionar bem, exceto que pede autenticação em nossa página inicial, não apenas ao acessar wp-admin. Isso pode ser outro plugin chamando um arquivo diferente de admin-ajax.php?
Equipe Editorial
Sim, é muito possível que outro plugin esteja chamando admin-ajax.php. Você deve usar a correção mencionada acima.
Admin
Jeffro
Só queria avisar que, quando fui gerenciar minhas assinaturas aqui no site por meio de um link de e-mail, recebi o prompt de nome de usuário e senha. Clicar em Cancelar me permitiu gerenciar minhas assinaturas. Após selecionar uma opção e clicar em salvar, recebi o prompt novamente, que clicar em cancelar também permitiu que a ação fosse realizada. Apenas informando para vocês, caso não quisessem que isso acontecesse com outras pessoas.
Muhammad Ahsan
Devo copiar a linha “ErrorDocument 401 default” no arquivo .htaccess em /wp-admin/.htaccess? ou em qualquer outro arquivo .htaccess?
Equipe Editorial
Você colaria isso no arquivo .htaccess principal.
Admin
pankaj
Oi,
Como você disse, eu fiz, mas quando abro o diretório wp-admin, recebo um erro como “A página não está redirecionando corretamente
O Firefox detectou que o servidor está redirecionando a solicitação para este endereço de uma forma que nunca será concluída.
Este problema pode ser causado às vezes por desabilitar ou recusar-se a aceitar
cookies”.
Mesmo no Google Chrome, ele não exibe o pop-up. Você pode me dizer como resolver esse problema?
Obrigado antecipadamente.
Equipe Editorial
Você tem que ler a seção do artigo que diz: Erro de muitos redirecionamentos
Admin
Ed Emery
Olá,
Este problema tem ocorrido desde o primeiro dia na semana passada, quando instalei o WP. Acabei de seguir o passo a passo de Como Proteger por Senha o Diretório de Administração do WordPress (wp-admin), mas o mesmo problema! Aqui está uma captura de tela do que / quem / hacker está acontecendo.
Primeiro isto:
O servidor sacramentofan.com em WPBeginner Admins Only requer um nome de usuário e senha.
Aviso: Este servidor está solicitando que seu nome de usuário e senha sejam enviados de forma insegura (autenticação básica sem conexão segura).
Então isto após tentar fazer login:
O servidor sacramentofan.com em WordPress attack protection CAPTCHA. Digite nome de usuário: e7en4d Senha: O resultado da matemática 16+4 requer um nome de usuário e senha.
Aviso: Este servidor está solicitando que seu nome de usuário e senha sejam enviados de forma insegura (autenticação básica sem conexão segura).
Então, como eu paro isso, já que tentei de tudo desde quinta-feira passada 18/07/2013
Obrigado,
Ed
Equipe Editorial
Questão muito complexa para explicar apenas ouvindo. Seria realmente necessário ver o que está acontecendo. Parece que algum plugin está causando esse problema.
Admin
David McMahon
Muito obrigado por essa dica útil – eu estava me perguntando por que continuava recebendo a temida mensagem “a solicitação nunca será concluída” do Firefox, mas agora não recebo mais!
Akash Deep Satpathi
Olá! Segui seu tutorial com cPanel, mas depois não consegui visualizar meu Painel. Estava dizendo “Esta página da web tem um loop de redirecionamento” no Google Chrome. Então, o que estou perdendo?
Equipe Editorial
Leia a seção que explica o erro 404 ou o problema de muitos redirecionamentos.
Admin
Meher
Olá,
Muito obrigado pelo seu artigo.
Eu estava tentando adicionar uma camada de login adicional à pasta wp-admin e estava sendo redirecionado para – Erro de muitos redirecionamentos –.
Pesquisei muito no Google e encontrei seu artigo. Isso realmente me ajudou a resolver esse problema.
Obrigado mais uma vez.
Dan
Mesmo problema aqui.
arman
funciona bem
mas há um problema.
quando usuários normais fazem login e querem ir para o painel e mudar alguma informação como foto de perfil, eles também precisam digitar a senha deste usuário!!
há alguma chance de configurar esta pasta protegida apenas para administradores ou ignorá-la para o painel de usuários normais?
Equipe Editorial
Não. Você teria que fazer isso para todos os usuários.
Admin
ARMAN
Então, se eu usar isso para todos os usuários, significa que todos os usuários devem ter meu nome de usuário e senha para a Pasta Protegida!!
então qualquer um pode se registrar e qualquer um deve ter este nome de usuário e senha, então qualquer hacker pode se registrar como usuário no meu site e obter este nome de usuário e senha!!
Portanto, proteger o Wp-admin é útil apenas para sites com um administrador ou com alguns usuários especiais para compartilhar este nome de usuário e senha…
Equipe Editorial
Você pode criar múltiplos usuários em .htpswd. Você teria que usar o que é chamado de grupo.
raposa
ooohhh homens obrigado pela ajuda :
ErrorDocument 401 default
funciona perfeito !!!!!
Nishant
Obrigado pelas dicas. Implementei a proteção de senha do diretório Wp-Admin e também adicionei autenticação dupla usando o Google Authenticator. Parece funcionar bem.
Recentemente migrei para um novo host (Bluehost) e configurei meu site Wordpress.
Instalei o plugin de segurança Wordfence. A configuração do plugin é tal que toda vez que alguém faz login (incluindo eu), recebo um alerta por e-mail. E também, se alguém tentar fazer login com um nome de usuário inválido, ele bloqueia esse endereço IP por 10 minutos e envia um e-mail notificando-me que houve uma tentativa de login falha.
Considerando que protegi com senha meu diretório Wp-admin, a menos que alguém saiba o usuário e a senha dele, não poderá acessar wp-admin ou wp-login para tentar fazer login no meu wordpress.
Mas ontem à noite recebi alguns e-mails do Wordfence citando que houve bloqueio de alguns endereços IP por terem feito tentativas falhas de login no Wordpress usando nomes de usuário inválidos (como admin, Admin ou nishant). É possível contornar a proteção de senha do lado do servidor do diretório wp-admin e tentar fazer login no Wordpress?
Nishant
Nishant
Além disso, acabei de notar que…
Quando uso o URL diretamente para wp-login, a janela de senha do lado do servidor para o diretório wp-admin é exibida. Mas quando clico em cancelar nessa janela de senha (2 a 3 vezes), ela exibe a página wp-login!
Mas quando a url é wp-admin, então ao clicar em cancelar, ele exibe “401 Autorização Necessária
Credenciais de login inválidas!”
E os arquivos de log mostraram que as tentativas inválidas de login estavam tentando acessar wp-login.php diretamente.
Equipe Editorial
Sim, wp-login.php ainda está acessível. Mas mesmo que eles obtenham a senha correta, não conseguirão vê-la. Você também pode usar a mesma técnica e proteger com senha seu arquivo wp-login.php individualmente.
Admin
Jeffro
Qual seria exatamente esse código? Eu não vi uma maneira fácil de proteger arquivos específicos com senha no Cpanel.
Bart
Caro autor,
Estou convencido de que segui todas as suas diretivas, mas ainda recebo a notificação de "loop infinito" do Firefox. Foi o que fiz até agora:
– Criei um arquivo .htpasswds em /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Criei um arquivo .htaccess com um hash gerado / nome de usuário e o coloquei em /public_html/wp-admin
– Inseri a linha ErrorDocument 401 default antes de todo o código no meu arquivo .htaccess principal em /public_html
Você poderia me guiar para resolver este problema? Minhas principais perguntas são:
– você diz "crie um arquivo chamado '.htpasswds'". Este é de fato o nome de arquivo correto? Quero dizer, com o 's' no final incluído?
– qual caminho exato preciso especificar no meu arquivo .htaccess na minha pasta /public_html/wp-admin? Atualmente diz "AuthUserFile /.htpasswds/public_html/wp-admin/passwd". Não tenho certeza se estou fazendo esta parte corretamente…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Muito obrigado desde já… se precisar de mais alguma informação, ficarei muito feliz em fornecê-la. Atenciosamente,
Bart
Equipe Editorial
Em que tipo de hospedagem você está? Você tem um host web cPanel? Você pode tentar usar o método cPanel para gerar o arquivo htpswd?
É realmente difícil dizer o que está dando errado porque escrevemos exatamente a mesma coisa que fizemos em nosso site.
Admin
zimbrul
Gostaria de fazer uma pergunta a vocês: já aconteceu de vocês terem a pasta de administrador protegida por senha e serem solicitados a autenticação para CADA post que leem em seu blog? Acontece com um dos meus blogs. Eu estava me perguntando se não seria melhor proteger o login de administrador com o Google Authenticator ou algo semelhante...
Equipe Editorial
Se você está sendo solicitado a autenticar toda vez, então uma das duas coisas está acontecendo:
1. Você colou as informações do .htaccess no seu arquivo .htaccess principal e não no arquivo .htaccess na pasta /wp-admin/.
2. O arquivo admin-ajax.php está sendo carregado no front-end. Você precisa adicionar a regra para impedir que ele seja protegido por senha. Mencionamos a correção para isso.
Por último, sim, temos 3 camadas de proteção para nosso administrador. Correspondência de IP (se não corresponder, então a senha .htaccess), e depois há o Google Authenticator. Também temos o limite de tentativas de login ativado.
A Sucuri também faz um bom trabalho em bloquear outros ataques.
Admin
Anish K.S
eu tentei este método, mas estou recebendo um erro "Erro 310 (net::ERR_TOO_MANY_REDIRECTS): Houve muitos redirecionamentos."
Como corrigir isso???
Equipe Editorial
O artigo tem uma seção sobre isso. Isso não resolveu o problema?
Admin
Anish K.S
Sim, eu corrigi. obrigado pelo tutorial.
Mathieu Slaedts
Olá.
Eu tento implementar esta proteção. Tentei as duas soluções (manual e pelo painel de administração do meu host). Em ambos os casos, o .htacess está na pasta wp-admin, mas o pop-up aparece em todas as páginas.
Alguma ideia de onde isso vem?
Obrigado
Equipe Editorial
Esse é um comportamento improvável. Sem analisar a situação específica, não podemos dizer por que isso está acontecendo. Sabemos que, seguindo este tutorial como está escrito, você deve conseguir fazê-lo funcionar. Nós o temos rodando no WPBeginner.
Admin
Ollie
Eu tive o mesmo problema com o pop-up aparecendo em quase todas as páginas do meu site WordPress.
Acontece que nas páginas onde estava aparecendo, um recurso do wp-admin, neste caso algo de um plugin, estava sendo carregado e isso parece ter acionado o pop-up. Desde então, desativei o plugin e o pop-up de senha não aparece mais nessas páginas.
Então, eu abriria o código-fonte e procuraria por wp-admin para ver o que está causando o aparecimento do pop-up.
Equipe Editorial
O arquivo mais comum que é carregado é o admin-ajax.php, e nós já cobrimos isso. Se um plugin estiver carregando outro arquivo, então sim, você tem que levar isso em consideração.
aditya
Eu fiz o acompanhamento como você disse.
Eu protegi meu diretório wp-admin e está funcionando para o login, mas o mesmo pop-up continua aparecendo ao navegar pelo site ????
Equipe Editorial
Isso significa que você tem o código no arquivo .htaccess errado. Você precisa criar um arquivo .htaccess totalmente novo na sua pasta /wp-admin/. Parece que você colou o código no seu arquivo .htaccess principal.
Admin
20Music
Olá,
Segui a sugestão encontrada em seu site. Criei uma senha pelo cpanel na pasta wp-admin e funcionou bem para a página de login do administrador, mas em cada link que clico no site, um pop-up aparece pedindo identificação. Tudo fica certo quando clico em cancelar.
Você sabe qual é o problema?
Eu também usei o ErrorDocument 401 default no .htaccees principal.
Obrigado
Equipe Editorial
Você pode verificar se a proteção por senha está em um arquivo .htaccess separado na sua pasta wp-admin?
Admin
Brad LeBlanc
Eu tentei e não apareceu nenhuma janela, apenas um erro 404 (muitos redirecionamentos http).
E fui bloqueado de tudo até desativar a senha. O que aconteceu?
Equipe Editorial
Você fez o truque do .htaccess que mencionamos no artigo que corrige o erro 404?
Andrew
Obrigado pela excelente ajuda no wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Equipe Editorial
Vá para Configurações > Links Permanentes. Apenas clique em salvar e, esperançosamente, isso resolverá o problema.
Admin
vic
a atualização dos links permanentes funcionou! obrigado, você me salvou de muitas dores de cabeça..!
Tomy
Informação muito útil, obrigado. Aparentemente, tive uma invasão, 3 arquivos foram adicionados à minha instalação do WordPress. 1 em wp-admin, 1 em wp-admin/images e 1 em wp-includes.
Todos eram arquivos php. Um deles continha lixo codificado em base64.
Vou configurar o htaccess no wp-admin, e o plugin de limite de tentativas de login parece fornecer boas informações.
Ah, eu consegui notar os arquivos que foram adicionados à minha instalação porque o plugin de monitoramento de arquivos do WordPress me alertou.
Mao Shan
Olá,
Segui a sugestão encontrada na internet sobre como proteger a pasta wp-admin. Criei um .htacess para proteger a pasta com senha. No entanto, após implementá-lo, em todos os links que clico no site, aparece um pop-up pedindo identificação. Tudo fica certo quando clico em cancelar. Você sabe qual é o problema? Quero proteger minha pasta wp-admin, mas não quero o pop-up em todas as páginas/links. Atualmente, estou usando apenas o tema Mayashop e o plugin woocommerce.
Obrigado
Abaixo está meu exemplo de .htacess
Ordem permitir,negar
Permitir de todos
Satisfazer qualquer
Ordem permitir,negar
Permitir de todos
Satisfazer qualquer
Ordem permitir,negar
Permitir de todos
Satisfazer qualquer
AuthType Basic
AuthName “Somente Admin”
AuthUserFile “(meudominio)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Equipe Editorial
Se o seu arquivo .htaccess estiver em seu /wp-admin/, isso não deveria acontecer. A menos que você esteja carregando ativos de administração do WordPress no seu front-end.
Admin
Mao Shan
Bem, o arquivo .htaccess está na pasta wp-admin. Mudei o tema de volta para twentyeleven e tudo funciona bem. Apenas no outro tema, a autorização exigida aparece em todas as páginas/links.
Adicionei a linha abaixo e tudo parece certo, mas quando acesso url/wp-admin, ele mostra Erro 310 (net::ERR_TOO_MANY_REDIRECTS): Houve muitos redirecionamentos. Qual é o motivo?
Files ~ “\.(php)$”
Order allow,deny
Allow from all
Satisfy any
Files
Equipe Editorial
Você leu a parte do artigo que fala especificamente sobre esse erro?
Mao Shan
Olá, consegui resolver após uma instalação limpa do WordPress. O problema é que agora não consigo criar um formulário de contato, pois ele me redireciona para o erro 404 e quando ativo o plugin xcloner, ele também me redireciona para o erro 404.
Alguma ajuda?
Sudeep Acharya
Eu protegi o wp-admin com senha. Mas apesar disso, alguém está conseguindo fazer força bruta no meu blog. Qual pode ser o motivo disso?
Equipe Editorial
Como você sabe que eles fizeram força bruta e entraram no seu wp-admin? Isso parece muito suspeito. Muitas vezes, quando isso acontece, o usuário tem um backdoor instalado.
Admin
Sudeep Acharya
Eu tive um loop de muitos redirecionamentos e acabei de adicionar este código
ErrorDocument 401 default
no .httaccess corrigiu o problema.
Ahsan
Diga-me onde colocar esta linha... por favor
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Eu uso Cpanel e passei pelo processo de configuração e fiz isso, também o usuário e a senha.
No entanto, o que descobri após horas de frustração é que o .htaccess principal deve ter o seguinte adicionado: ErrorDocument 401 default
Se você adicionar isso apenas ao arquivo .htaccess principal, tudo funciona. no topo antes do início do wordpress seu mundo será muito mais relaxado. Isso é depois que você define proteger diretório no cpanel
Obrigado, usei sua página com um pequeno ajuste e funciona muito bem.
damian
Estou ficando tão desanimado. Meu site foi hackeado depois de apenas 2 dias no ar! A quantidade de passos necessários para proteger o site é esmagadora, e mesmo assim eles ainda conseguem entrar...
E toda "autoridade" parece ter uma opinião, abordagem ou plugins favoritos diferentes... minha cabeça está girando... você poderia me dar um resumo básico numerado dos passos a serem tomados para evitar ser hackeado... incluindo cpanel, backend do wp e quaisquer outras coisas que você possa achar úteis... e espero que passos que não exijam um certificado A+.... obrigado, cara!
Equipe Editorial
Pedimos sinceras desculpas pela experiência que você teve até agora. Falando a partir deste momento, não há problemas de segurança conhecidos no núcleo do WordPress. Portanto, se você estiver usando a versão mais atualizada do WordPress, isso é bom. Muitas vezes, os problemas de segurança estão em plugins e temas mal codificados. Antes de poder proteger seu site, você precisa limpá-lo. Às vezes, trocar suas senhas e adicionar todas essas medidas não são suficientes. Porque os hackers podem deixar arquivos de acesso de backdoor que lhes dão acesso shell ao seu servidor. Recomendamos fortemente que você comece a usar o Sucuri e faça backups regulares.
https://014.leahstevensyj.workers.dev/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Certifique-se de manter seus plugins e arquivos principais atualizados o tempo todo. Não use plugins/temas de fontes não confiáveis. O WordPress se tornou o Windows de nossos tempos. Como tantos sites o utilizam, os hackers têm a motivação para encontrar as explorações em plugins, temas, etc.
Trabalharemos na criação de um tutorial abrangente sobre segurança.
Admin
bob
Eu protegi com senha meu wp-admin nos meus sites, mas ainda estava recebendo avisos de bloqueio do plugin lilmit login. Como isso pôde acontecer?
Então notei que se eu digitar /wp-login.php? em vez disso e depois cancelar, consigo acessar a página de login. Uggggh. Me faz pensar quais outros contornos existem que eu não conheço.
Equipe Editorial
Você deve considerar adicionar este truque também.
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Admin
Peter
A SOLUÇÃO DA HOSTGATOR
Aparentemente, um plugin de segurança adicionou uma reescrita ao arquivo .htaccess dentro de wp-admin/ para sua conta. Isso estava fazendo com que o site redirecionasse para si mesmo, causando um loop de redirecionamento.
Corrigi o problema com o arquivo .htaccess e sua página de login do wp-admin está carregando corretamente no momento.
Se tiver outras dúvidas ou preocupações, por favor, nos informe.
Atenciosamente,
Preston M.
Administrador de Sistemas Linux
HostGator.com LLC
Peter
Tive um técnico da HostGator trabalhando por meia hora no problema do erro 404. Ele não conseguiu resolver.
Ele até removeu todas as regras de reescrita no .htaccess de public_html
Peter
Ainda com o erro “Muitos redirecionamentos”
A página não está redirecionando corretamente
O Firefox detectou que o servidor está redirecionando a solicitação para este endereço de uma forma que nunca será concluída.
Este problema pode ser causado às vezes por desabilitar ou recusar-se a aceitar
cookies.
MAS eu adicionei:
“Redirect 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirect 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirect 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirect 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
para o meu .htaccess no diretório public_html.
(Tentei também colocar “ErrorDocument 401 default” no início)
Ankur
É uma ótima maneira de proteger o diretório wp-admin. Eu o usava há muito tempo, mas quando instalei o commentluv, tive que desinstalá-lo, pois ele não conseguia funcionar corretamente.
Você por acaso sabe alguma solução alternativa?
Equipe Editorial
Just updated the article. Try that
Admin
Ankur
Thanks, commentluv now works fine
mindctrl
Para sua informação, eu já vi isso quebrar plugins que usam ajax no front-end chamando o wp-admin/admin-ajax.php.
Equipe Editorial
Sim, isso é verdade. Nós não estávamos usando nenhum plugin que estivesse fazendo essa chamada. No entanto, você pode adicionar uma exceção para esse arquivo no .htaccess.
Admin
Martin
Não tenho certeza do que o cpanel faz, mas adicionar uma senha simples htpasswd obterá o mesmo resultado.
Equipe Editorial
Bem, você pode adicionar um htpasswd. Mas você também teria que criar uma regra .htaccess no diretório wp-admin para especificar que você está bloqueando o diretório. Em seguida, especifique o usuário ou grupo de usuários permitido, etc. Isso basicamente nos ajuda a simplificar o processo.
Admin
zimbrul
O tutorial acima está, na verdade, adicionando segurança com .htpassword e .htaccess através de uma interface amigável no cPanel. Depois de ter feito o acima, você notará que um arquivo .httpassword foi gerado fora da raiz do seu servidor (por razões de segurança) e dentro do arquivo você encontrará as informações que você inseriu de acordo com este tutorial.
Howard
Em todos os sites WP que tenho, no meu primeiro login após a configuração, crio outra conta de administrador com um nome para o qual uso uma fórmula para construir — e uma senha muito forte, gerada por computador. Em seguida, saio e faço login na conta de administrador alternada, e reduzo o nome de usuário administrador padrão para “nenhuma função para este site” e defino uma senha gerada por computador que tenha pelo menos 35 caracteres de comprimento. Não me incomodo em salvar essa senha em lugar nenhum. Agora é apenas um honeypot.
Em seguida, instalo o plugin “limit login attempts”. Sempre que isso é acionado, adiciono o endereço IP ofensor à minha lista de negação em .htaccess para garantir que esse IP não consiga acessar meu site.
Eu pego 3 ou 4 tentativas de invadir o admin toda semana.
Equipe Editorial
Sim, nós tivemos isso também. Chega um ponto em que os ataques estão usando IPs de salto. Banir uma grande faixa de IPs não é uma opção suficiente. Nós também tínhamos o login restrito por IP, mas isso também não parecia resolver o problema.
Admin
Howard
O plugin “limitar tentativas de login” é muito bom. Eu o configurei para bloquear por 100 horas após 4 tentativas falhas, com o 4º bloqueio definido para 4000 horas. Assim, mesmo que o criminoso possa trocar dinamicamente de IP, ele tem que fazer isso a cada quatro tentativas. E com uma senha aleatória realmente longa, isso deve levar alguns séculos, e mais endereços IP do que ele provavelmente conseguirá acessar.
No caso altamente improvável de eles quebrarem meu “admin”, não adiantará nada de qualquer maneira. Sempre que percebo que o canalha descobriu qual é o meu nome de administrador real (só aconteceu uma vez até agora), eu imediatamente crio um novo e defino o antigo como “sem função para este site” com uma senha aleatória muito longa. Existem alguns outros detalhes (por exemplo, primeiro, tenho que mudar o endereço de e-mail antes que ele me permita criar a nova conta de administrador com meu e-mail), mas isso praticamente resolveu o problema naquele caso.
Eu realmente não sei se isso é à prova de balas, mas espero que os canalhas decidam que é muito trabalho e vão incomodar um site mais fraco.
zimbrul
” Sempre que percebo que o canalha descobriu qual é o meu nome de administrador real…” posso perguntar como você descobriu isso?
Howard
@zimbrul Claro.
O plugin de limite de tentativas de login me diz qual nome de usuário está sob ataque. Geralmente, é “admin”, mas houve uma ocasião em que vi o nome da minha conta de administrador real. Então, criei uma nova conta de administrador e deixei a antiga lá, mas sem nenhum acesso e com uma senha ridiculamente longa.
Não tenho certeza de como o criminoso encontrou a conta de administrador, já que atribuí a ela um “apelido” não relacionado que aparece nas postagens. Acho que há algum arquivo no servidor que pode ser pelo menos parcialmente lido por um hacker, e provavelmente preciso pesquisar isso.
Equipe Editorial
É bem fácil encontrar o nome de login. Tudo o que a pessoa precisa fazer é olhar o seu URL de autor para saber seu nome de usuário. Por exemplo, este:
https://014.leahstevensyj.workers.dev/author/wpbeginner/
O nome de usuário seria “wpbeginner”. Para a maioria dos sites é assim, a menos que, claro, eles tenham alterado o nome de usuário como mostrado nesta técnica:
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-change-your-wordpress-username/
Se você fizer isso, seu nome de usuário mudará, mas seu URL de autor não.
zimbrul
Howard, esse é um ponto interessante; vou tentar implementar isso.
Além disso, tive problemas com erros 404 ou muitos redirecionamentos e não sabia a solução, obrigado por isso!
Por algum motivo, banir o endereço IP no .htaccess na pasta wp-admin não está funcionando para o meu site zimbrul.co.uk! Tentei acessar meu site do meu celular no 3G e consegui passar, mesmo com o único IP permitido sendo o IP de casa.
Equipe Editorial
Sim, é por isso que ajuda ter autenticação dupla como esta.
Admin