Proprietários de sites precisam priorizar a segurança do WordPress para proteger seus dados sensíveis e manter a confiança de seus usuários. Uma maneira muito eficaz que fazemos isso no WPBeginner é protegendo com senha nosso diretório de administração do WordPress.
O diretório wp-admin é o centro de controle do seu site WordPress. É onde você gerencia tudo, de conteúdo a configurações, tornando-o um alvo principal para hackers. Proteger seus arquivos de administração com senha os manterá seguros contra ataques.
Este artigo fornece um guia direto para proteger facilmente seu diretório wp-admin com senha e fortalecer a segurança do seu site.
Por que proteger seu diretório de administração do WordPress com senha?
Ao proteger com senha seu diretório de administração do WordPress, você adiciona uma camada extra de segurança ao ponto de entrada mais importante do seu site WordPress.
Seu painel de administração do WordPress é o hub central do seu site. É onde você publicará posts e páginas, personalizará seu tema, instalará plugins do WordPress e muito mais.
Frequentemente, quando hackers tentam acessar seu site, eles o fazem através da tela wp-admin usando um ataque de força bruta.
Você pode ajudar a proteger seu site contra ataques potenciais usando medidas de segurança como uma senha forte e limitando as tentativas de login.
Para ser ainda mais seguro, você também pode proteger por senha o diretório wp-admin. Então, quando alguém tentar acessar sua área de administração, precisará inserir um nome de usuário e senha antes mesmo de chegar à página de login do WordPress.
Dito isso, vamos dar uma olhada em como você pode proteger por senha o diretório de administração do seu WordPress passo a passo.
O primeiro método é recomendado para a maioria dos usuários, e você pode usar os links rápidos abaixo para ir direto ao método que deseja usar:
- Proteja por senha o wp-admin usando Privacidade de Diretório (Recomendado)
- Proteja por senha o wp-admin usando Código
- Solução de problemas de proteção por senha do wp-admin
- Bônus: Melhores Guias do WordPress para Segurança do wp-admin
Tutorial em Vídeo
Se você preferir instruções escritas, continue lendo.
Método 1: Proteja por senha o wp-admin usando Privacidade de Diretório (Recomendado)
A maneira mais fácil de proteger por senha o diretório de administração do seu WordPress é usando o aplicativo Privacidade de Diretório do seu provedor de hospedagem WordPress.
Primeiro, você precisa fazer login no painel da sua conta de hospedagem e clicar na opção ‘Privacidade do Diretório’ na seção Arquivos do painel cPanel do seu site.
Observação: A maioria dos provedores de hospedagem que usam cPanel, como a Bluehost, terão passos semelhantes. No entanto, seu painel pode ser ligeiramente diferente das nossas capturas de tela, dependendo do seu provedor de hospedagem.
Isso o levará a uma tela que lista todos os diferentes diretórios do seu servidor. Você precisa encontrar a pasta que contém os arquivos do seu site.
Para a maioria dos proprietários de sites, isso pode ser encontrado clicando na pasta ‘public_html’.
Isso exibirá todos os arquivos do site que você instalou no seu servidor.
Em seguida, você precisará clicar na pasta com o nome de domínio do seu site.
Nessa pasta, você verá uma pasta wp-admin.
Em vez de clicar no nome da pasta, você precisará clicar no botão ‘Editar’ ao lado dessa pasta.
Isso o levará a uma tela onde você pode ativar a proteção por senha.
Basta marcar a caixa que diz ‘Proteger este diretório com senha’. Se desejar, você também pode dar um nome ao seu diretório, como ‘Área de Administração’, para ajudar a lembrar.
Depois de fazer isso, você precisará clicar no botão ‘Salvar’.
Isso o levará a uma página onde a mensagem de confirmação aparecerá.
Agora, você precisará clicar no botão ‘Voltar’, e você será levado a uma tela onde poderá criar um usuário que poderá acessar este diretório.
Você será solicitado a inserir um nome de usuário e senha e, em seguida, confirmar a senha. Certifique-se de anotar seu nome de usuário e senha em um local seguro, como um gerenciador de senhas.
Certifique-se de clicar no botão ‘Salvar’ quando terminar.
Agora, quando alguém tentar acessar seu diretório wp-admin, será solicitado a inserir o nome de usuário e a senha que você criou acima.
Método 2: Proteger wp-admin com senha usando código
Você também pode proteger seu diretório de administração do WordPress com senha manualmente. Para fazer isso, você precisará criar dois arquivos chamados .htpasswd e .htaccess.
Observação: Adicionar qualquer código ao seu site WordPress pode ser perigoso. Mesmo um pequeno erro pode causar grandes problemas em seu site. Recomendamos este método apenas para usuários avançados.
Criando o arquivo .htaccess
Primeiro, abra seu editor de texto preferido e nomeie o novo arquivo como .htaccess.
Depois disso, você precisa copiar o seguinte trecho de código e adicioná-lo ao arquivo:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Certifique-se de alterar o caminho de ‘AuthUserFile’ para o local onde você fará o upload do arquivo .htpasswd e altere ‘yourusername’ para o nome de usuário que você deseja usar para fazer login.
Não se esqueça de salvar o arquivo quando terminar.
Criando o Arquivo .htpasswd
Depois de fazer isso, você precisa criar um arquivo .htpasswd.
Para fazer isso, abra um editor de texto e crie um arquivo chamado .htpasswd. Este arquivo listará seu nome de usuário junto com sua senha em formato criptografado.
A maneira mais fácil de gerar a senha criptografada é com um gerador htpasswd.
Simplesmente insira seu nome de usuário e senha, selecione o formato de criptografia e clique no botão ‘Criar arquivo .htpasswd’.
O gerador htpasswd exibirá uma linha de texto que você precisará colar em seu arquivo .htpasswd. Certifique-se de salvar o arquivo depois de fazer isso.
Upload de .htaccess e .htpasswd para o Diretório wp-admin
O último passo é fazer o upload de ambos os arquivos que você criou para a pasta wp-admin do seu site.
Você precisará se conectar à sua conta de hospedagem WordPress usando um cliente FTP ou a ferramenta de gerenciador de arquivos online fornecida pelo seu provedor de hospedagem. Para mais detalhes, consulte nosso guia para iniciantes sobre como usar FTP para fazer upload de arquivos para o WordPress.
Para este tutorial, usaremos o FileZilla porque é gratuito e funciona tanto em Mac quanto em Windows.
Uma vez conectado ao seu site, você verá os arquivos no seu computador na janela da esquerda e os arquivos no seu site na janela da direita. Na esquerda, você precisa navegar até o local onde salvou os arquivos .htaccess e .htpasswd.
Em seguida, na direita, você precisa ir para o diretório wp-admin do site que deseja proteger. A maioria dos usuários precisará dar um duplo clique na pasta public_html, depois na pasta com o nome do seu domínio, e então na pasta wp-admin.
Agora, você pode selecionar os dois arquivos à esquerda e clicar em ‘Upload’ no menu de clique com o botão direito ou simplesmente arrastar os arquivos para a janela da esquerda.
Agora, seu diretório ‘wp-admin’ estará protegido por senha.
Solução de problemas de proteção por senha do wp-admin
Dependendo de como seu servidor e site estão configurados, há uma chance de você encontrar erros do WordPress. Esses erros podem ser corrigidos adicionando cuidadosamente código ao seu arquivo .htaccess.
Nota: Este é o arquivo .htaccess localizado na pasta principal do seu site, não o que você carregou na pasta ‘wp-admin’. Se estiver com problemas para encontrá-lo, consulte nosso guia sobre por que você não consegue encontrar o .htaccess e como localizá-lo.
Corrigindo o Erro de Ajax Não Funcionando
Um dos erros mais comuns é que a funcionalidade Ajax pode parar de funcionar no front-end do seu site. Se você tem plugins do WordPress que exigem Ajax, como pesquisa Ajax ao vivo ou formulários de contato Ajax, então você notará que esses plugins não funcionarão mais.
Para corrigir isso, basta adicionar o seguinte código ao arquivo .htaccess que está localizado na sua pasta wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Corrigindo o Erro 404 e o Erro de Muitos Redirecionamentos
Outros dois erros que você pode encontrar são o erro 404 e o erro de muitos redirecionamentos.
A maneira mais simples de corrigi-los é abrir seu arquivo .htaccess principal localizado no diretório do seu site e adicionar a seguinte linha de código antes das regras do WordPress:
ErrorDocument 401 default
Bônus: Melhores Guias do WordPress para Segurança do wp-admin
Esperamos que este artigo tenha ajudado você a aprender como proteger com senha o diretório de administração do seu WordPress (wp-admin). Você pode querer ver alguns guias adicionais sobre como tornar sua área de administração mais segura:
- Como Restringir o Acesso de Administrador do WordPress por Endereço IP
- Dicas Vitais para Proteger sua Área Administrativa do WordPress (Atualizado)
- Como Adicionar uma URL de Login Personalizada no WordPress (Passo a Passo)
- Como e por que você deve limitar as tentativas de login no WordPress
- Como Adicionar Autenticação de Dois Fatores no WordPress (Método Gratuito)
- Como Adicionar Perguntas de Segurança à Tela de Login do WordPress
- Como Forçar Usuários a Alterar Senhas no WordPress – Expirar Senha
- Como Redefinir Senhas para Todos os Usuários no WordPress
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
tom
Esta pode ser uma pergunta boba, mas estou pensando agora – tenho a configuração acima aplicada ao meu site e funciona bem, mas vamos supor que um bot tente força bruta naquela área de login extra e eu tentei manualmente por um tempo e meu servidor não bloqueou meu IP ou algo assim. Então, tecnicamente, esse ataque de força bruta naquela área poderia durar 'para sempre' e isso, por sua vez, poderia desacelerar meu site de alguma forma, ou não? Se sim, é uma pena porque levei algumas horas para configurar isso e fiquei encantado com essa camada extra de proteção…
WPBeginner Support
Embora possível, carrega muito menos recursos carregar o login da sua área wp-admin do que sua página de login do WordPress, o que significa que exigiria muito mais de um ataque de força bruta para afetar a velocidade do seu site.
Admin
Dayo Olobayo
Não sou muito técnico, mas fico feliz que você tenha incluído a opção de usar o aplicativo Directory Privacy. Isso parece muito mais fácil do que criar esses arquivos .htaccess. Obrigado.
Mrteesurez
Obrigado. Achei útil.
Quero perguntar se todos os métodos oferecem o mesmo nível de segurança, eu preferiria e recomendaria manter o primeiro método, pois parece fácil e direto.
Ou há algum que seja melhor que o outro??
WPBeginner Support
Estes são métodos diferentes para atingir o mesmo resultado, então dependeria da sua preferência para qual deles você usaria.
Admin
Mark
Existe alguma maneira de hackers obterem acesso a essa senha e até mesmo alterá-la, como no phpMyAdmin?
WPBeginner Support
Eles precisariam de acesso ao seu provedor de hospedagem ou aos arquivos do site para este guia.
Admin
Salman
Mudei meu URL de login usando o plugin “WPS Hide Login”. Vamos dizer que o URL anterior terminava em wp-admin/ e o novo URL termina em hidden/, agora como posso proteger com senha este novo URL?
WPBeginner Support
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Admin
Jiří Vaněk
O WPShide não cria uma nova pasta, eu também uso isso. A pasta wp-admin ainda está no servidor e funcional. Portanto, se você usar o WPSHide, proteja a pasta wp-admin exatamente da mesma forma.
Jiří Vaněk
Uma boa prática é também renomear a URL de administração do WordPress e escolher um nome de usuário administrador diferente de 'admin'. Alterar a URL dificulta que os atacantes localizem a administração e não usar 'admin' como administrador reduz o risco de um ataque de força bruta bem-sucedido.
WPBeginner Support
Ter um nome de usuário diferente de admin é definitivamente recomendado, mas para alterar a URL do wp-admin nem sempre é recomendado, pois isso pode causar problemas com alguns plugins e dificultar a solução de problemas.
Admin
Jose
O conserto do Ajax funcionou bem. Muito obrigado por isso.
WPBeginner Support
Glad our article could help
Admin
Umer Yaseen
E se alguém acessar nosso diretório de administração do WordPress digitando meusite.com/wp-login.php em vez de meusite.com/wp-admin. Este método protege apenas o wp-admin e não protege o wp-login.php. Então, como isso é útil?
WPBeginner Support
Isso mostraria o mesmo prompt para usuários tentando fazer login usando o wp-login.php
Admin
nadia
você é o melhor. obrigado mil vezes como sempre.
WPBeginner Support
Glad you’ve found our content helpful
Admin
Lordemmaculate
Eu quero fazer isso, mas meu servidor é Nginx e não Apache, então não posso usar .htaccess
WPBeginner Support
We’ll see if we can add a method for that type of server when we update this article
Admin
Rajah
O primeiro método através do cPanel funcionou perfeitamente. No entanto, quando faço logout novamente do WP e login novamente, ele não pede a senha do diretório novamente. É para pedir apenas uma vez?
WPBeginner Support
Seus cookies/cache lembrarão as informações de login. Normalmente, na próxima vez que você iniciar seu computador, ele exigirá que você faça login novamente.
Admin
Webo
Muito bom, Obrigado…
WPBeginner Support
You’re welcome
Admin
Izzy
A opção “Proteger Diretórios com Senha” não está no meu cPanel em “segurança”, então tentei o método manual, mas não parece funcionar, pois não pede login quando abro o wp-admin…
WPBeginner Support
Se você entrar em contato com seu provedor de hospedagem, eles poderão ajudar e verificar se há algum motivo para não estar funcionando.
Admin
Ahsan Ali
Obrigado pelos seus esforços!
Eu usei o método cpanel, funciona bem, mas o problema é que o prompt de senha aparece em todas as páginas do meu site!
O que devo fazer para que ele apareça apenas na página wp-admin?
WPBeginner Support
Parece que você pode ter protegido com senha a pasta public_html em vez da pasta wp-admin. Você gostaria de remover a proteção atual e tentar configurá-la novamente
Admin