Ataques do tipo "força bruta" são os mais comuns contra todo tipo de site, o que inclui o popular WordPress. Já falei aqui sobre uma das muitas maneiras de fazer esta proteção (e no texto há um link para um outro post da Via Hospedagem ensinando um outro método), e agora vou apresentar um outro plugin que recém descobri que é muito simples e eficiente no mister de ocultar a página wp-login.php de olhares não autorizados.

Por que ocultar o wp-login.php

O script wp-login.php é a porta de entrada do WordPress. Qualquer um pode "bombardear" esta página e caso o dono do site tenha configurado senhas previsíveis, a chance de um estranho conseguir invadir o blog é bem alta.

Ao ocultar o wp-login.php os eventuais intrusos vão tentar acessar o blog pelo caminho normal, mas vão quebrar a cara porque não vão encontrar o formulário de login, e não vão nem saber aonde ir para procurar.

Como ocultar o wp-login.php

Existem vários jeitos de se fazer isso, mas minha recomendação de hoje é um plugin chamado Rename wp-login.php.

O nome já diz tudo.

Para usar o plugin basta instalar e ativar o plugin. Em seguida você deve ir à configuração de links permanentes do WordPress (/wp-admin/options-permalink.php) e informar numa nova opção que vai estar lá qual será a URL nova do wp-login.php.

Veja um exemplo:

Naturalmente que você não vai usar nomes óbvios (como "login"), e sim qualquer coisa que só faça sentido para você.

Cuidados com o cache

É claro que você usa plugin de cache no seu site. Neste caso você deve instruir o script para não fazer cache da nova URL de login que você acabou de criar. Com um pouco de sorte o plugin vai reconhecer o seu ambiente e orientar sobre o local correto para fazer a configuração adicional.

Desfazendo a alteração

Caso queira voltar seu WordPress ao comportamento normal, sem ocultar o wp-login.php, você só precisa desativar o plugin. Caso tenha esquecido da URL nova você pode desativar o plugin simplesmente removendo (via SFTP ou qualquer outro método de acesso aos arquivos) o diretório wp-content/plugins/rename-wp-login/.

Um passo além

Caso você se sinta corajoso (ou pelo menos confortável para mexer em configurações mais avançadas) você pode bloquear totalmente o acesso externo ao arquivo wp-login.php. Eu particularmente gosto de fazer este tipo de bloqueio diretamente no Varnish, mas bloquear diretamente no webserver, usando o .htaccess (no caso do Apache) também será muito eficiente.

<Files wp-login.php>  
    Order deny,allow
    Deny from all
</Files>  

O código acima não foi testado, use por sua conta e risco.