Proteja o seu WordPress: Restringir o acesso ao wp-login com Htaccess

Neste tutorial você vai aprender como restringir o acesso ao wp-login com Htaccess, protegendo o seu WordPress!

Proteger seu Site de ataques e vulnerabilidades é algo extremamente importante. Criminosos costumam buscar falhas de segurança em sites e sistemas para conseguirem vantagens.

Quando se trata de sites em WordPress, os principais ataques são direcionados a página de login. Isto ocorre pois, com acesso ao painel administrativo, o criminoso pode coletar as informações que deseja ou danificar o seu site facilmente. Por isso é muito importante garantir a segurança do seu WordPress.

Pensando nisso, a HomeHost separou este conteúdo especial onde você pode aprender como proteger a sua pagina de Login do WordPress utilizando o htaccess.

Por que utilizar o htaccess

O htaccess do WordPress é um arquivo de texto simples, que permite adicionar configurações em um servidor Web para um ou mais diretórios e todos os diretórios abaixo destes.

Portanto, ele permite que você modifique configurações do seu servidor e do seu site sem precisar editar configurações diretamente nos arquivos do site. Além disso, você pode propagar as configurações de um diretório para todos os demais diretórios abaixo dele, ou criar uma configuração diferente a cada diretório.

Por exemplo, você pode utilizar o arquivo htaccess em sua hospedagem WordPress para restringir o acesso ao wp-login, ou ainda à outras partes do seu site.

Inclusive, o próprio WordPress possuí vários plugins que acessam e modificam o arquivo .htaccess. Por isso, é muito importante estar sempre com plugins de confiança e atualizados, pois plugins inseguros podem ter consequências indesejáveis.

No entanto, a modificação do arquivo htaccess pode gerar impacto por todo o seu site, inclusive impedir o funcionamento correto deste.

Sempre que for fazer modificações a este arquivo, recomendamos que mantenha uma cópia de segurança, um backup, dele. Pois assim, caso o resultado seja diferente do esperado, você poderá restaurar as configurações anteriores.

Como restringir o acesso ao wp-login com Htaccess

Existem várias estratégias para proteger a sua página de Login. Você pode estar alterando a URL da página de acesso do WordPress, acrescentar a segurança com o uso do reCaptcha, entre outros…

No entanto, uma das formas mais eficientes de restringir o acesso ao wp-login é restringindo os endereços de IP através do htaccess. Ou seja, você pode bloquear determinados IPs de acessar a página de login, ou permitir que apenas determinados IPs possam acessar a página.

Portanto, para garantir que restringir ao máximo o acesso ao wp-login, vamos configurar o htaccess para permitir apenas que nosso IP seja autorizado a acessar a página de login.

Descobrindo meu IP

Para podermos restringir o acesso ao wp login com o htaccess apenas ao seu IP, você precisa saber o seu endereço de IP.

O seu endereço de IP é um grupo de números, parecido com “192.168.0.1”.

Para descobrir o seu IP, você pode utilizar a nossa ferramenta “Meu IP” clicando aqui. Portanto, basta clicar sobre o botão “Exibir meu IP”. Nesta ferramenta, você poderá descobrir o seu IP público, que é o IP que iremos permitir acesso no htaccess.

Editando o htaccess para restringir o acesso ao wp-login

Agora que você já sabe o seu IP, vamos então alterar o arquivo htaccess para restringir o acesso ao wp-login.

O arquivo .htaccess deve estar localizado no diretório raiz do seu site, geralmente em “public_html”. Existem várias maneiras de editar seu arquivo .htaccess, plugins do WordPress, usando SSH, usando FTP, diretamente no painel do servidor. Independente do que escolher, recomendamos que salve uma cópia de backup do seu arquivo htaccess.

No arquivo htaccess, geralmente você pode encontrar as seguintes linhas de código:

RewriteEngine On
RewriteBase /

Portanto, após as linhas acima, você pode criar a sua regra.

Para isso vamos utilizar a tag <Files wp-login.php> para informar que as regras são referentes ao arquivo wp-login.php. Em seguida, vamos informar ao servidor para negar acesso de qualquer origem. Por fim, vamos informar ao servidor para permitir acesso apenas ao seu IP obtido na etapa anterior.

Portanto, o código deverá ficar parecido com:

<Files wp-login.php>
order deny,allow
deny from all
allow from 192.168.0.1
</Files>

Lembre-se de substituir o “192.168.0.1” pelo seu próprio número de IP.

Apenas com essas etapas, você pode restringir o acesso ao wp-login com o htaccess. No entanto, também é importante que você proteja o seu arquivo xmlrpc.php. Pois, alguns criminosos tentam utilizar deste arquivo para conseguir realizar postagens e capturar dados que desejam. Caso queira saber mais a respeito do XMLRPC, temos um artigo em nosso blog sobre esse assunto!

Portanto, basta acrescentar a sua tag <Files wp-login\.php | xmlrpc\.php>. Ou seja, o código deverá ficar parecido com o exemplo abaixo:

<Files wp-login\.php | xmlrpc\.php>
order deny,allow
deny from all
allow from 192.168.0.1
</Files>

Agora sim, você estará protegendo não só o acesso ao wp-login, mas também ao seu arquivo xmlrpc.php utilizando o htaccess!

Este artigo foi útil?

Obrigado pela resposta!
Picture of Rafael Marques

Rafael Marques

Especialista em Desenvolvimento Web e Marketing. É apaixonado por tecnologia, empreendedorismo, audiovisual e animais. Em sua carreira, dedica-se ao empreendedorismo, além de atuar como Desenvolvedor Fullstack e redator técnico. Gosta de usar seu tempo livre para assistir a filmes, jogar, escrever, e passar um bom tempo brincando e mimando seus animais de estimação.

Contato: rafael.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!