Proteja-se contra tentativas indesejadas de login com a proteção contra ataques de força bruta.
Ativação
Por padrão, esta funcionalidade é ativada quando você conecta o Jetpack à sua conta do WordPress.com. Ela pode ser desativada a qualquer momento (mesmo se você foi bloqueado) no painel do WordPress.com, na página de Configurações do site.
Configurações
Depois de ativar a funcionalidade, é possível incluir endereços de IP à lista de permitidos na mesma página de Configurações do site. Essa ação poderá ser necessária se você realizar muitas tentativas de login sem sucesso no seu site ou se o Jetpack detectar algum comportamento incomum do seu endereço de IP atual.
- Seu endereço de IP atual também é exibido na página para que você possa incluí-lo facilmente à lista de permitidos.
- Tanto os endereços de IPv4 quanto os de IPv6 são aceitos.
Dica avançada: você também pode incluir um endereço de IP na lista de permitidos ao configurá-lo como a constante JETPACK_IP_ADDRESS_OK no seu wp-config.php da seguinte forma: define('JETPACK_IP_ADDRESS_OK', 'X.X.X.X');
Painéis
Você pode visualizar o “total de ataques mal-intencionados bloqueados do seu site” na seção Segurança do painel do Jetpack.
Informações sobre solução de problemas
Está enfrentando problemas com o Protect no seu site? Confira as dicas abaixo para descobrir o motivo.
Por quanto tempo um IP fica bloqueado?
O período depende de diversos fatores, não é um tempo definido.
O Jetpack me bloqueou. O que posso fazer?
Se o Jetpack tiver sinalizado seu endereço de IP por qualquer motivo, ele poderá impedi-lo de fazer login. Nesse caso, você verá algo semelhante a isto:
Insira seu endereço de e-mail e clique em Enviar. Você receberá um e-mail com um link de recuperação do acesso ao formulário de login. Caso veja um erro ao clicar no link do e-mail, adicione seu endereço de IP a lista de permitidos como demonstrado acima em Configurações para se desbloquear. Se ainda assim você permanecer bloqueado, provavelmente há algum problema de configuração no seu servidor. Desative o Protect para recuperar o acesso ao seu site. Depois, fale conosco para obter mais ajuda com a solução de problemas.
Por que estou vendo um math captcha na minha página de login?
O math captcha é usado como alternativa à funcionalidade de proteção. Caso seu IP tenha sido bloqueado em decorrência de muitas tentativas de login sem sucesso, você ainda conseguirá acessar seu site depois de preencher o math captcha com as credenciais de login corretas. Em casos raros, você poderá ver o captcha se não tiver obtido uma chave de API ou em momentos de ataques severos.
O Jetpack Protect não consegue proteger seu site com eficiência porque há um erro na configuração do seu servidor
Quando alguém tenta fazer login no seu site, a funcionalidade Protect do Jetpack verifica se o endereço de IP da pessoa consta em nosso banco de dados global de endereços de IP mal-intencionados.
Para que isso funcione bem, contamos com endereços de IP armazenados e fornecidos pelo seu servidor. Em alguns casos, pode ocorrer de o servidor não retornar nenhum endereço de IP, impedindo o funcionamento correto do Protect. Nesse caso, a funcionalidade Protect será desativada, e você será notificado.
Caso isso ocorra, envie um link dessa página ao seu provedor de hospedagem para que ele possa analisar e corrigir o problema. Se o provedor precisar de mais informações, é possível entrar em contato conosco diretamente por meio deste formulário de contato.
Protect em redes multisite
Se você tentar fazer login no seu site várias vezes e não conseguir porque esqueceu a senha, é possível que seu acesso seja bloqueado pela funcionalidade Protect do Jetpack.
Em uma instalação multisite do WordPress, é possível fazer login em uma conta existente na rede por meio de qualquer página de login. Por isso, se você tiver o Jetpack Protect ativo apenas em alguns sites, mas não em todos, nenhum site estará realmente sendo protegido.
Para corrigir isso, ative o Jetpack na rede na instalação multisite e ative a funcionalidade Protect no site principal da rede. Depois, a funcionalidade Protect do Jetpack será ativada em todos os sites da sua rede, mesmo que o Jetpack não esteja conectado a eles.
O Protect relata milhares de tentativas de login mal-intencionadas bloqueadas
A melhor forma de explicar essa funcionalidade é dizer que há milhares de “bots” tentando acessar sites por toda a internet. Não importa o tamanho do seu site, há sempre alguém ou algo tentando invadi-lo. O WordPress é muito seguro, mas o ponto mais fraco costuma ser a senha pessoal. Logo, os bots tentam adivinhar essa senha para obterem acesso.
A funcionalidade Protect do Jetpack coleta informações de tentativas falhas de milhões de sites e protege você contra esses ataques. Por exemplo, se um bot tentar acessar o site A e depois o B, o Protect já saberá quem ele é e, antes mesmo de o bot tentar acessar o site B, o acesso dele já estará bloqueado.
Além disso, é muito importante ter senhas fortes e seguras.
Onde é possível obter mais informações sobre os ataques bloqueados?
Por exemplo:
- Quais nomes de usuário precisam de mais proteção?
- Esses ataques ocorrem via wp-login ou XMLRPC?
- Quais os endereços de IP de origem desses ataques?
- Quando eles ocorreram? Há algum padrão?
- Se algum tipo de ataque foi descoberto, quanto outros ocorreram sem serem detectados?
Não temos acesso a essas informações. O Jetpack Protect foi desenvolvido para ser simples e leve. Ele foi criado para que você não precise tomar decisões nem se preocupar com essas questões. Com isso, o único tipo de dado que armazenamos é o número total de ataques bloqueados.
Informações de privacidade
Por padrão, esta funcionalidade encontra-se ativada. Ela pode ser desativada a qualquer momento ao selecionar a configuração Protect na seção Segurança em Jetpack → Painel → Agora, no seu painel.
Para funcionalidades gerais e perguntas frequentes, veja as funcionalidades do Jetpack Security.
Mais informações sobre o uso de dados no seu site
| Dados usados | |
|---|---|
| Proprietários de sites/usuários
Para verificar atividades de login e possíveis tentativas fraudulentas de bloqueio, são usadas as seguintes informações: endereço de IP do usuário suspeito, nome de usuário/endereço de e-mail do usuário suspeito (de acordo com o valor que ele estava tentando usar durante o processo de login) e todos os cabeçalhos HTTP relacionados ao IP associados ao usuário suspeito. Além disso, para o rastreamento de atividade (detalhado abaixo): endereço de IP, ID do usuário do WordPress.com, nome de usuário do WordPress.com, URL e ID do site conectado ao WordPress.com, versão do Jetpack, agente do usuário, URL de visitante, URL de referência, carimbo de data/hora do evento, idioma do navegador, código do país. |
Visitantes do site
Para verificar atividades de login e possíveis tentativas fraudulentas de bloqueio, são usadas as seguintes informações: endereço de IP do usuário suspeito, nome de usuário/endereço de e-mail do usuário suspeito (de acordo com o valor que ele estava tentando usar durante o processo de login) e todos os cabeçalhos HTTP relacionados ao IP associados ao usuário suspeito. |
| Atividade rastreada | |
| Proprietários de sites/usuários
Falha em tentativas de login. Rastreamos quando e por qual usuário a funcionalidade é ativada e desativada. Além disso, definimos um cookie ( |
Visitantes do site
Falha em tentativas de login. Definimos um cookie ( |
| Dados sincronizados (leia mais) | |
| Proprietários de sites/usuários
Opções que identificam se a funcionalidade está ou não ativada e como as configurações disponíveis estão definidas. Além disso, sincronizamos as entradas da lista de permitidos do site (como configuradas pelos proprietários do site), a chave de API específica do Protect para verificação de login e falhas em tentativas de login, que contêm o endereço de IP do usuário, o endereço de e-mail ou o nome de usuário usados e as informações do agente do usuário. |
Visitantes do site
Falha em tentativas de login, que contêm o endereço de IP do usuário, o endereço de e-mail ou o nome de usuário usados e as informações do agente do usuário. |
Jetpack por WordPress.com 