O WordPress estabelece uma série de configurações padrões que acabam sendo comuns/iguais para diversas instalações. Invasores sempre testam as plataformas usadas pelas vítimas e assim acabam conhecendo toda a estrutura padrão do site que pretendem atacar. Levando isso em consideração, qualquer invasor ou até mesmo usuário sabe que o endereço padrão para a página de login do WordPress que é a seudominio.com.br/wp-login.php.
Proteger a página de login do WordPress é crucial para manter seu site seguro! Descubra deste artigo como solucionar de uma vez por todas esses problemas de ataques em seu wp-login.php!
Neste ponto, precisamos que seu site esteja configurado no CloudFlare e totalmente propagado, caso contrário a solução não irá funcionar. Acesse sua conta no CloudFlare e clique no menu Firewall:
Nesta nova tela, clique no submenu Firewall Rules e em seguida Create a Firewall rule:
Configure a regra da seguinte forma e clique em Deploy para finalizar:
A regra basicamente irá verificar se a URI contem WP-ADMIN ou se a URI contem WP-LOGIN.PHP, se HOUVER ele irá solicitar o CHALLENGE que nada mais é do que um captcha avançado do CloudFlare.
Como a solicitação do captcha vem da CDN (CloudFlare) os recursos do seu ambiente de hospedagem serão poupados, e só chegará até ao wp-admin os usuários que passarem pelo captcha, ou seja, o ataque não irá conseguir passar.
Se isso lhe ajudou, compartilhe com a comunidade para que mais devs saibam como é simples resolver este problema.