Como Evitar Redefinições de Senha Não Autorizadas no WordPress

Como Evitar Redefinições de Senha Não Autorizadas no WordPress

Se você começou a receber e-mails de redefinição de senha do WordPress que nunca solicitou, você não está sozinho. Essas solicitações tendem a aparecer do nada, às vezes algumas por dia e às vezes dezenas de uma vez, e quase sempre vêm de bots automatizados em vez de uma pessoa real tentando invadir sua conta.

A parte tranquilizadora é que esses e-mails não significam que seu site foi hackeado. Qualquer pessoa que saiba ou adivinhe o endereço de e-mail de uma conta pode solicitar ao WordPress o envio de um link de redefinição, portanto, as solicitações são mais irritantes do que perigosas. Ainda assim, vale a pena desativá-las antes que o spam piore.

Na minha experiência, sites menores raramente pensam nisso até que a caixa de entrada comece a encher. A suposição comum é que você precisa ser um site grande e conhecido para atrair spam, então os sites mais novos adiam isso. Já vi essa mentalidade se transformar em muito trabalho de limpeza evitável que alguns minutos de configuração teriam evitado.

Interromper essas solicitações é mais simples do que você imagina. Portanto, neste guia, vou guiá-lo pelas maneiras mais fáceis e eficazes de interromper redefinições de senha não autorizadas em seu site WordPress, começando com o motivo pelo qual elas acontecem e, em seguida, passando para as configurações exatas que as bloqueiam.

Pare o Spam de Formulários do WordPress Agora

Por que você está recebendo solicitações de redefinição de senha não autorizadas?

A maioria das solicitações de redefinição de senha não autorizadas vem de bots de spam que rastreiam a web em busca de páginas de login e de recuperação de senha do WordPress. Quando encontram uma, eles enviam solicitações de redefinição usando quaisquer endereços de e-mail que coletaram ou adivinharam, e é por isso que os e-mails parecem aleatórios e chegam em rajadas.

O WordPress facilita isso para eles por design, porque o fluxo de redefinição padrão em wp-login.php permite que qualquer pessoa envie um e-mail ou nome de usuário e acione um link de redefinição sem verificação antecipada. Isso é conveniente para usuários reais que estão bloqueados, mas também é uma porta aberta para abuso automatizado.

Se você recebeu a mensagem que diz "Alguém solicitou uma redefinição de senha para a seguinte conta", é esse o e-mail de que estou falando. Vê-lo uma ou duas vezes é normal, mas vê-lo repetidamente é o padrão de bot revelador.

O próprio link de redefinição é de uso único e expira, então uma solicitação isolada por si só não dará a ninguém acesso à sua conta. As solicitações ainda valem a pena serem interrompidas, tanto para limpar sua caixa de entrada quanto para fechar um caminho que os bots adoram sondar. Você pode até personalizar o formulário de redefinição de senha padrão do WordPress para ter mais controle sobre como ele funciona.

Como Evitar Redefinições de Senha Não Autorizadas no WordPress

Abaixo, começarei com o motivo pelo qual essas solicitações continuam chegando à sua caixa de entrada e, em seguida, compartilharei meus métodos comprovados para eliminá-las definitivamente.

1. Instale o WPForms e Ative o Addon de Registro de Usuário

A página inicial do WPForms

Para combater o spam de forma eficaz em seu formulário de redefinição de senha, você precisará de um construtor de formulários equipado com fortes ferramentas de prevenção de spam.

O WPForms é um dos poucos plugins que levam o spam muito a sério, e é por isso que ele oferece várias defesas anti-spam para seus formulários.

Embora você possa acessar muitos filtros de spam poderosos com o WPForms Lite, usarei o WPForms Pro para técnicas anti-spam mais abrangentes.

Depois de adquirir a licença do WPForms Pro, acesse sua conta, faça login para acessar sua página de conta do WPForms e navegue até a guia Downloads. Clique no botão Download WPForms .

Baixe o WPForms da sua página de conta.

Importante: enquanto estiver nesta página, copie seu número da Chave de Licença. Você precisará dela nas próximas etapas.

Em seguida, vá para o seu site WordPress e faça login. No painel, clique em Plugins » Adicionar Novo. Em seguida, clique no botão Upload de Plugin. Anexe o arquivo .zip do WPForms que você baixou e instale-o.

Botão de upload de plugin no WordPress

Assim que o WordPress terminar de instalar seu plugin WPForms, clique em Ativar Plugin.

Seta vermelha apontando para o botão 'Ativar Plugin'

Agora que o plugin está instalado e ativado, você deve ver o WPForms na barra lateral de navegação à esquerda. Clique em WPForms » Configurações, e a guia de configurações Geral será aberta por padrão.

Você deve ver as configurações da Chave de Licença no topo. Cole a chave de licença que você copiou da sua página de conta.  Em seguida, clique em Verificar Chave para ativar o WPForms.

Insira sua chave de licença do WPForms na guia Configurações Gerais.

Agora que o WPForms está instalado em seu site, tudo o que você precisa fazer é dedicar um segundo para instalar o addon de Registro de Usuário.

No painel do WordPress, clique em WPForms » Addons. Lembre-se que você precisa ter uma licença Pro ou superior para acessar este addon.

Localize o addon de Registro de Usuário e clique no botão Instalar Addon.

Após a instalação do addon, você verá um botão de alternância que pode usar para ativá-lo e desativá-lo como desejar.

Ative o addon de Registro de Usuário.

Se estiver tendo algum problema, leia nossas instruções detalhadas sobre como instalar e ativar addons do WPForms. Você também pode conferir este guia completo para instalar plugins do WordPress.

2. Crie um Formulário de Redefinição de Senha

Com ele instalado e ativado, estamos prontos para criar um formulário! Primeiro, no painel do WordPress, clique em WPForms » Adicionar Novo.

Adicionar Novo Formulário

Depois disso, encontre a barra de pesquisar modelos, digite Formulário de Redefinição de Senha de Usuário. Passe o mouse sobre a opção e clique em Usar Modelo.

Selecione o modelo de Formulário de Redefinição de Senha de Usuário.

O modelo será carregado no construtor de formulários, e você verá que ele é muito simples. Você pode fazer quaisquer personalizações que desejar, como adicionar um ou mais filtros de spam para manter os bots afastados.

3. Ative a Prevenção de Spam no Formulário de Redefinição de Senha

Por padrão, o WPForms possui proteção moderna contra spam para todos os formulários. Mas você pode aumentar ainda mais sua segurança ativando medidas adicionais de prevenção contra spam além do filtro padrão.

Vamos explorar algumas dessas opções. Primeiro, você precisará ir para Configurações » Proteção contra Spam e Segurança, onde encontrará todos os recursos relacionados a anti-spam em um só lugar.

Proteção contra spam e segurança

Você também pode conferir nosso guia completo de prevenção contra spam em formulários de contato para saber mais sobre os diferentes tipos de técnicas anti-spam que você pode usar para seus formulários.

Akismet para Formulário de Redefinição de Senha

O Akismet é, sem dúvida, a solução anti-spam mais confiável no mundo do WordPress. E ele se integra perfeitamente ao WPForms sem exigir nenhuma configuração adicional.

Tudo o que você precisa é que o Akismet esteja instalado e ativado em seu site, e então você poderá ativá-lo facilmente em seu formulário pressionando o botão de alternância Ativar proteção anti-spam do Akismet.

Ativar proteção anti-spam Akismet

O Akismet funciona de forma inteligente para detectar spam analisando padrões na entrada do formulário fornecida.

Se o Akismet detectar algo suspeito, ele bloqueará o envio. Veja como isso aparece no frontend para o usuário.

Falha na verificação anti-spam

Você pode seguir este tutorial completo sobre como filtrar spam com Akismet para usar essa ferramenta poderosa contra spambots.

Alternativamente, você pode usar diferentes serviços de captcha e até mesmo o Cloudflare Turnstile.

Cloudflare Turnstile para Prevenir Abuso de Redefinição de Senha

Para configurar o Turnstile com o WPForms, você pode ir ao menu principal Configurações no menu de administração do WordPress e clicar na aba CAPTCHA. Você encontrará opções de integração para hCaptcha, Google reCAPTCHA e Cloudflare Turnstile aqui.

Configuração do Cloudflare Turnstile

Você pode encontrar o tutorial completo sobre como configurar o Cloudflare Turnstile para seus formulários aqui. Tenho visto ótimos resultados com o Turnstile, com o número de envios de spam reduzindo significativamente no site de uma startup de um amigo que ajudei a desenvolver.

Quando você habilitar o Turnstile em seu site, verá um selo de verificação aparecer no canto superior direito do seu construtor de formulários.

Cloudflare Turnstile ativado

Tempo Mínimo para Enviar

A configuração de tempo mínimo para envio é minha arma secreta contra spam. Esta é uma das técnicas mais simples de prevenção de spam. E, no entanto, continua sendo uma das mais impactantes.

Isso ocorre porque os bots de spam são programas automatizados projetados para operar rapidamente, enviando toneladas de formulários repetidamente em um curto período de tempo. Ao adicionar um simples limite de tempo mínimo, você pode vencer muitos tipos de spambots em seu próprio jogo.

Para usar este filtro de spam, basta clicar no botão de alternância Habilitar tempo mínimo para envio e inserir um valor em segundos.

Tempo mínimo para enviar

Um formulário de redefinição de senha é muito curto, então você pode esperar que pessoas reais levem pelo menos 2 segundos para preenchê-lo. No entanto, os bots o preencherão em milissegundos, o que significa que esses envios falsos e não autorizados nunca serão permitidos.

Filtros de Palavras-chave e País

Filtros de palavras-chave e países são bastante versáteis porque não são necessariamente usados para bloquear spam. Mas se você estiver prestando atenção, às vezes pode encontrar o mesmo tipo de padrões de palavras-chave sendo repetidos por spambots.

Por exemplo, podem ser caracteres em outro idioma, certos nomes de sites usados por spammers ou algo semelhante. O filtro de palavras-chave pode efetivamente bloquear tais instâncias de spam se você identificou o uso frequente de palavras-chave que não espera que seus visitantes reais usem.

Filtros de país e palavra-chave

Da mesma forma, o filtro de país é super útil para situações em que o spam se origina de um país específico. Embora bloquear um país inteiro de acessar seus formulários possa não ser uma boa opção se você tiver clientes ou visitantes reais localizados nesse país, este recurso funciona muito bem para negócios locais com uma clara separação entre a localização do seu público real e os spammers.

Mas você precisa ter informações claras sobre de onde o spam está vindo. A maneira fácil de obter essas informações é usando os recursos de Geolocalização do WPForms ou inferir a localização com base no endereço IP do usuário.

Dica Profissional

Você pode coletar o endereço IP de cada envio de formulário sem solicitá-lo especificamente usando o campo Oculto do WPForms. No entanto, certifique-se de estar em conformidade com os requisitos legais aplicáveis à sua jurisdição antes de armazenar metadados como endereços IP.

Adicione um Captcha Personalizado

O Captcha Personalizado é outro antídoto simples, mas eficaz, contra spam. Para usá-lo, abra seu construtor de formulários e role para baixo nos Campos Elegantes e arraste ou clique na opção Captcha Personalizado para adicioná-lo ao seu formulário.

Adicione um Captcha Personalizado ao seu formulário do WordPress.

Existem 2 tipos de perguntas de Captcha personalizadas que você pode adicionar: matemática e pergunta e resposta.

Math Captchas

O Captcha Personalizado padrão é uma pergunta de matemática. Clique nele no construtor de formulários para abrir as opções do campo.

Use um Captcha Personalizado para prevenir redefinições de senha não autorizadas no WordPress

Se você decidir manter o problema de matemática, ele gerará automaticamente uma nova pergunta toda vez que a página for carregada e poderá ser adição, subtração ou multiplicação.

Se você quiser personalizar o Captcha de Matemática, pode fazer isso com algum código personalizado. Consulte nosso tutorial sobre como alterar o Captcha de Matemática para mais detalhes.

Captchas de Pergunta e Resposta

Você também pode alterá-lo para uma pergunta e resposta personalizadas. Essa opção permite que você crie suas próprias perguntas às quais os usuários devem responder. Tenha o cuidado de tornar essas perguntas de conhecimento geral e fáceis de soletrar.

Use um Captcha de pergunta e resposta personalizado em seu formulário do WordPress.

Por padrão, há apenas uma pergunta, mas você pode adicionar mais. Seu formulário as percorrerá, exibindo uma diferente toda vez que a página for carregada ou atualizada.

E é realmente tudo o que há para adicionar um campo de Captcha Personalizado ao seu formulário!

Para opções completas de personalização, consulte nossa documentação sobre como instalar e usar o addon de Captcha Personalizado.

4. Salve e Publique Seu Formulário

Em um curto período de tempo, você instalou o WPForms e criou seu próprio formulário de redefinição de senha de usuário para ajudar a impedir solicitações não autorizadas de redefinição de senha no WordPress.

Bem fácil, né?

Tudo o que resta a fazer agora é salvar e publicar seu formulário. Esta parte deve ser moleza.

Primeiro, encontre aquele botão laranja Salvar no canto superior direito e clique nele. Você não quer perder seu trabalho!

Salve seu formulário no WPForms.

Depois que seu formulário for salvo, mova-se para a esquerda e clique no botão Incorporar.

Você tem 2 opções para incorporar seu formulário em seu site. Você pode incorporá-lo em uma página existente ou pode criar uma nova.

Se você escolher uma página existente, uma lista das páginas em seu site aparecerá em um menu suspenso para você selecionar a página que deseja usar.

Para nosso exemplo, vamos incorporar este formulário em uma nova página. Depois de selecionar essa opção, você verá um prompt para dar um nome à sua página. Assim que der um nome à nova página, clique em Vamos Lá! Sua nova página será aberta com o formulário incorporado, e você poderá fazer atualizações adicionais a partir daí.

Incorpore seu formulário em uma nova página do WPForms.

Se você não estiver pronto para incorporar seu formulário agora, não se preocupe. Existem outras maneiras de fazer isso mais tarde, quando estiver pronto. Temos mais informações sobre maneiras de incorporar seus formulários em seu site, então confira isso quando estiver pronto!

Maneiras Extras de Bloquear Redefinições de Senha do WordPress

O formulário de redefinição de senha que você acabou de criar é sua linha de defesa mais forte, mas alguns hábitos no nível do WordPress tornam ainda mais difícil para os bots causarem problemas. Eu trato isso como o básico em todos os sites em que trabalho.

A primeira coisa que ativo é a autenticação de dois fatores, pois ela impede um login mesmo quando um bot obteve uma senha, solicitando um segundo código de um aplicativo, mensagem de texto ou e-mail. A maioria dos bons plugins de segurança a inclui, juntamente com os próximos itens aqui.

A próxima camada é limitar as tentativas de login, que define quantas tentativas um IP tem antes de um bloqueio temporário e desativa os scripts de força bruta que frequentemente aparecem junto com spam de redefinição. Um plugin de segurança dedicado para WordPress cuida disso para você e registra as tentativas, para que você possa ver exatamente o que está atingindo seu site.

Por fim, use senhas fortes e exclusivas para cada conta de administrador e altere-as periodicamente. Nada disso substitui o formulário protegido contra spam acima, mas, combinadas, essas etapas fecham as brechas que os ataques automatizados exploram.

Perguntas frequentes sobre redefinições de senha não autorizadas do WordPress

Redefinições de senha não autorizadas do WordPress surgem com frequência quando os proprietários de sites começam a ver esses e-mails de redefinição. Aqui estão as respostas para as perguntas que mais ouço sobre spam de redefinição de senha e como manter seu login seguro.

Uma solicitação de redefinição de senha do WordPress é um sinal de que meu site foi hackeado?

Por si só, não. Uma solicitação de redefinição apenas significa que alguém, ou mais frequentemente um bot, inseriu um e-mail ou nome de usuário na sua página de login e solicitou um link de redefinição.

Como esse link é de uso único e expira, receber o e-mail não significa que alguém acessou sua conta. Se as solicitações continuarem chegando, trate-as como um incentivo para adicionar o formulário antispam e as etapas de segurança neste guia, em vez de um sinal de violação.

Como posso saber se outra pessoa está tentando redefinir minha senha do WordPress?

Se outra pessoa estiver tentando redefinir sua senha do WordPress, você provavelmente receberá e-mails informando que uma solicitação foi feita. Você também pode verificar os logs do seu site em busca de tentativas de login. Se for esse o caso, altere sua senha.

Ao criar um formulário de redefinição de senha com anti-spam ativado no WPForms, você adiciona uma camada extra de segurança que ajudará a eliminar tentativas de bots.

Posso desativar completamente o recurso de redefinição de senha do WordPress?

Você pode, embora exija um pouco de código personalizado ou um pequeno plugin que remova o link de "senha perdida" e bloqueie o endpoint de redefinição. Isso funciona para um site de autor único onde ninguém mais precisa recuperar um login.

Para a maioria dos sites, no entanto, desativar completamente as redefinições também bloqueia usuários legítimos, portanto, um formulário de redefinição protegido contra spam é o meio-termo mais seguro. Ele mantém o recurso funcionando para pessoas reais enquanto filtra os bots.

Que etapas adicionais posso tomar para manter meu site seguro contra redefinições não autorizadas de senha do WordPress?

Sempre crie uma senha forte que seja exclusiva para o site. Muitos navegadores ou ferramentas como o 1Password até ajudarão a fazer sugestões para você. Altere sua senha regularmente também.

Também é aconselhável ativar a 2FA (autenticação de dois fatores). Ela adiciona uma etapa ao seu processo de login, mas cria outra camada de segurança do WordPress no processo.

Por exemplo, você pode precisar inserir sua senha e, em seguida, também inserir um código de autenticação que você recebe por e-mail, mensagem de texto ou um aplicativo de autenticação.

Que tipo de segurança de site devo considerar para o meu site WordPress?

Além do que já foi sugerido, use criptografia SSL em seu site para proteger dados. Você também pode implementar limites de taxa, o que ajudará a prevenir ataques de força bruta que geralmente vêm de bots.

Se outros usuários tiverem contas em seu site, também é uma boa ideia ter algum tipo de processo de verificação de usuário.

Em seguida, Tente Personalizar Suas Páginas Protegidas por Senha

Agora você tem as etapas necessárias para finalmente eliminar redefinições de senha não autorizadas no WordPress. Agora leia sobre como personalizar uma página protegida por senha no WordPress.

Pare o Spam de Redefinição de Senha Agora

Pronto para criar seu formulário? Comece hoje mesmo com o plugin de criação de formulários WordPress mais fácil. WPForms Pro inclui muitos modelos gratuitos e oferece uma garantia de devolução do dinheiro em 14 dias.

Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais tutoriais e guias gratuitos do WordPress.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso importa e como você pode nos apoiar.

Renee DeCoskey

Renee DeCoskey escreve em blogs desde 2001 e usa o WordPress desde 2007. Quando ela não está escrevendo sobre plugins do WordPress, você pode encontrá-la enrolada com um livro ou se divertindo no Rotary. Saiba Mais

O Melhor Plugin Construtor de Formulários de Arrastar e Soltar para WordPress

Fácil, Rápido e Seguro. Junte-se a mais de 6 milhões de proprietários de sites que confiam no WPForms.

Adicionar um comentário

Ficamos felizes que você tenha escolhido deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

Este formulário é protegido pelo Cloudflare Turnstile e aplicam-se a Política de Privacidade e Termos de Serviço da Cloudflare.