19 maneiras de proteger um site (7 são essenciais!)

Preocupado com a segurança do WordPress?

Você deveria estar! Mas não se preocupe muito – se você implementar algumas práticas recomendadas de segurança de sites WordPress em seu site, você pode ter certeza de que seu site não terá problemas.

O WordPress é seguro. Mas as ações que os usuários realizam (e os plugins que os usuários instalam) podem introduzir todos os tipos de vulnerabilidades do WordPress.

Para evitar cometer esses erros, tudo o que você precisa fazer é seguir as dicas deste post.

Para tornar este post o mais prático possível, vamos dividir nossas dicas de segurança do WordPress em duas categorias:

Sete melhores práticas de segurança do WordPress que DEVEM SEGUIR

Se você não tirar mais nada deste post, recomendo que você implemente pelo menos essas sete práticas recomendadas de segurança do WordPress em seu site.

Se você não estiver fazendo essas sete coisas, estará abrindo seu site para enormes vulnerabilidades.

1. Aplique as atualizações do núcleo e do plug-in o mais rápido possível

Uma das melhores coisas que você pode fazer para manter o WordPress seguro é sempre aplicar prontamente atualizações ao núcleo, plugins e temas do WordPress.

Não importa quão grande seja um software, é natural que novas vulnerabilidades sejam descobertas. No entanto, com uma equipe de desenvolvimento de qualidade, essas vulnerabilidades serão corrigidas antes que possam ser exploradas por agentes mal-intencionados... contanto que você aplique as atualizações imediatamente!

Muitas das explorações mais recentes do WordPress poderiam ter sido evitadas se as pessoas apenas atualizassem seus sites .

Para ser alertado sobre novas atualizações, preste atenção na área Dashboard → Updates em seu WP admin.

Se estiver preocupado com problemas de compatibilidade, teste as atualizações em um site de teste antes de aplicá-las ao site ativo. Você também vai querer fazer um backup antes de aplicar as atualizações – mais sobre isso mais tarde.

Observação – a única exceção a essa regra são as principais atualizações, que se concentram exclusivamente na adição de novos recursos e não incluem correções de segurança. Você pode esperar algumas semanas com segurança para aplicar essas atualizações importantes.

• Versão principal (recursos) – 5.0, 5.1, 6.0, etc. – você pode esperar para aplicar essas atualizações.
• Versão secundária (segurança/correções de bugs ) – 5.0.1, 5.1.2, 6.0.4, etc. – você SEMPRE precisa aplicá-las o mais rápido possível.

2. Use apenas plug-ins e temas de desenvolvedores respeitáveis ​​(e sem plug-ins anulados)

Embora o software principal do WordPress seja seguro, o mesmo não pode ser dito de todos os plugins e temas existentes ( principalmente plugins ).

Ao adicionar novo código e modificar a funcionalidade do seu site, os plugins podem introduzir todos os tipos de vulnerabilidades.

Ao mesmo tempo, não usar plugins não é realmente uma opção, pois os plugins são parte integrante de todos os sites WordPress.

Consequentemente, é importante focar apenas no uso de plugins e temas de desenvolvedores respeitáveis ​​com um histórico de boa qualidade de código e manutenção imediata.

Ou seja, tenha cuidado com quais plugins você instala em seu site .

Aqui estão algumas dicas para ajudá-lo a usar apenas plugins e temas de alta qualidade:

• Leia os comentários . Críticas ruins podem indicar uma qualidade de código ruim.
• Verifique a contagem de instalação ativa . Embora esta não seja uma regra rígida, plugins populares geralmente são mais propensos a receber atenção.
• Verifique se há atualizações recentes . Ter um desenvolvedor ativo é importante para corrigir quaisquer vulnerabilidades recém-descobertas.
• Não instale plugins desnecessários . Como cada plug-in que você instala é um possível vetor de ataque, você deve instalar apenas plug-ins que sejam importantes para o seu site.

Também temos um guia completo sobre como escolher plugins do WordPress.

Finalmente, você também vai querer evitar plugins nulos porque você não sabe qual código foi adicionado ao plugin.

3. Use Hospedagem WordPress Segura

Escolher um provedor de hospedagem WordPress de qualidade pode ajudar bastante a garantir a segurança do seu site.

Em primeiro lugar, um provedor de hospedagem WordPress de qualidade garantirá que seu ambiente seja otimizado para a segurança do WordPress, como permissões de arquivo adequadas e um arquivo wp-config.php seguro.

Muitos hosts WordPress também incorporam proteções mais proativas, como firewalls integrados ou varredura de malware.

Alguns hosts gerenciados do WordPress até limparão seu site gratuitamente se algo acontecer com ele.

Basicamente, com um host de qualidade (especialmente um host WordPress gerenciado), eles cuidarão de muitas dessas práticas recomendadas para que você possa se concentrar apenas no crescimento do seu site.

Para encontrar algumas opções de qualidade, confira nossos posts com a melhor hospedagem WordPress gerenciada e a melhor hospedagem WordPress em geral.

Se você puder pagar, considere opções como Flywheel (o que usamos para o WPKube – nossa análise do Flywheel) ou Kinsta (nossa análise da Kinsta).

4. Bloqueie sua página de login e acesso à conta

Todas as dicas de segurança do WordPress no mundo não podem ajudá-lo se um agente mal-intencionado conseguir acessar uma de suas contas de usuário legítimas do WordPress ( especialmente uma conta de administrador ).

Pense nisso no mundo real – você poderia ter o melhor sistema de segurança residencial do mundo, mas não adiantará nada se um ladrão tiver a chave da sua casa e o código de segurança.

Isso significa que é essencial que você encontre maneiras de proteger o processo de login e as contas de usuário do seu site WordPress.

Para começar, use credenciais de conta fortes:

• Nome de usuário – nunca use “admin” como nome de usuário. Em vez disso, escolha um nome de usuário exclusivo que você não usa em nenhum outro lugar.
• Senha – use uma senha forte e exclusiva. Para melhores resultados, use um gerenciador de senhas como LastPass ou Bitwarden para gerar senhas exclusivas para cada site.

Além disso, você também pode usar táticas para proteger a página de login do WordPress:

• Altere o URL de login – isso também reduz muito tráfego de bot. Como? Use o plugin gratuito WPS Hide Login.
• Limite as tentativas de login – bloqueie temporariamente um endereço IP se ele fizer muitas tentativas de login incorretas (assim como os bancos fazem). Como? Use o plugin gratuito Limitar tentativas de login recarregadas.
• Exigir autenticação de dois fatores (2FA) – faça as pessoas inserirem um código de um aplicativo autenticador, SMS ou e-mail, além de suas credenciais. Como? Use plugins gratuitos como WP 2FA ou Two-Factor.

Todos os sites devem alterar o URL de login e limitar as tentativas de login, mas usar a autenticação de dois fatores do WordPress é realmente necessário apenas para sites de missão crítica.

5. Instale um certificado SSL e use HTTPS

Um certificado SSL permite que você use HTTPS em seu site em vez de HTTP.

Com HTTPS, todos os dados que passam entre seu navegador e seu servidor são criptografados. Além de geralmente ser bom para a privacidade, isso é essencial para proteger dados importantes, como seu nome de usuário e senha.

Sem HTTPS, um agente malicioso em sua rede de internet pode ver todos os dados que passam entre seu navegador e seu site. Por exemplo, se você fizer login em seu site em sua cafeteria local usando HTTP, alguém nessa rede poderá ver seu nome de usuário e senha em texto simples.

No entanto, quando você usa HTTPS, seu nome de usuário e senha (junto com todos os outros dados) são criptografados com segurança, o que significa que atores mal-intencionados veriam apenas um monte de caracteres aleatórios.

Atualmente, a maioria dos provedores de hospedagem WordPress de qualidade oferece certificados SSL gratuitos.

Depois de instalar um certificado SSL por meio do painel de hospedagem, você pode configurar seu site para usar HTTPS. Se você precisar de ajuda para mover seu site para HTTPS, o plug-in Really Simple SSL gratuito oferece uma configuração de um clique.

Siga nosso guia WordPress HTTPS para mais detalhes.

6. Use versões suportadas do PHP

WordPress é escrito na linguagem de programação PHP. No entanto, existem diferentes versões do PHP que você pode usar em sua conta de hospedagem.

Versões mais antigas do PHP não recebem mais manutenção, o que significa que podem ter problemas de segurança não corrigidos.

A partir de 2022, a versão mais antiga do PHP que recebe atualizações de segurança é o PHP 7.4. No entanto, a partir de 2023, você desejará usar o PHP 8.0 no mínimo.

Você pode verificar o suporte à versão atual do PHP nesta página.

Como um bônus adicional, as versões mais recentes do PHP também oferecem grandes melhorias de desempenho, o que significa que seu site carregará mais rápido, além de ser mais seguro.

Se você não tem certeza de como atualizar o PHP, você pode perguntar ao suporte do seu host. Também temos um guia sobre como atualizar o PHP em hosts populares do WordPress.

7. Faça backup do seu site regularmente

Fazer backup de seu site não impedirá que problemas de segurança ocorram em seu site. No entanto, isso evitará que problemas de segurança se transformem em problemas maiores.

Sem um backup, qualquer incidente de segurança em seu site pode ser absolutamente devastador. Você pode perder dados, ter muito tempo de inatividade e assim por diante.

No entanto, com um backup recente, o pior caso de um incidente de segurança geralmente é que você só precisa restaurar o backup limpo do seu site. Ainda irritante – mas muito menos catastrófico.

Se o seu host ainda não oferece backups automáticos seguros, ferramentas pagas como Jetpack Backup ou BlogVault oferecem a maneira mais simples de habilitar backups externos seguros.

Se você não tem orçamento para pagar por uma ferramenta, o UpdraftPlus também é uma ótima opção gratuita – apenas certifique-se de conectá-lo a um provedor de armazenamento externo, como Google Drive ou Amazon S3.

Aqui está nosso post completo sobre os melhores plugins de backup do WordPress.

Doze dicas adicionais de proteção de segurança do WordPress

Se você implementar fielmente as práticas recomendadas de segurança de sites WordPress obrigatórias acima, você evitará 99% dos problemas em seu site.

No entanto, se você quiser aumentar ainda mais as coisas, existem algumas dicas adicionais de proteção que você pode implementar para proteger ainda mais seu site.

8. Configure um firewall

Um firewall pode proteger proativamente seu site contra ameaças bloqueando tráfego ou ações maliciosas antes que elas afetem seu site ou servidor.

Muitos hosts já implementam seus próprios firewalls, e é por isso que isso pode não ser obrigatório para sites se você estiver usando hospedagem WordPress de qualidade ( veja acima ).

Se o seu host não (ou se você quiser mais proteção), você pode adicionar um firewall no nível do aplicativo com um plugin como Wordfence ou no nível DNS com um serviço como Cloudflare ou Sucuri.

9. Use um plug-in de segurança do WordPress

Você pode criar sites WordPress seguros sem um plug-in de segurança dedicado, portanto, um plug-in de segurança definitivamente não é necessário para criar um site seguro.

Com isso dito, um plug-in de segurança ainda pode ser útil por alguns motivos:

1. Os plug-ins de segurança podem oferecer firewalls em tempo real para proteção contra ameaças emergentes.
2. Um plug-in de segurança de qualidade facilitará a implementação de muitas outras dicas de proteção nesta lista, o que pode simplificar as coisas para você e economizar seu tempo.

Em caso de dúvida, o plugin Wordfence é uma ótima opção para começar. Você pode encontrar mais opções em nossa coleção completa dos melhores plugins de segurança do WordPress.

10. Ocultar a versão do WordPress

Ocultar o número da versão do WordPress adiciona uma quantidade insignificante de “segurança por obscuridade”, tornando um pouco mais difícil para os agentes maliciosos detectarem o número da versão do seu site.

Para ocultá-lo, você pode adicionar o seguinte código ao arquivo functions.php do seu tema filho ou a um plugin como Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Se você quiser ir mais longe, temos um guia sobre como ocultar que seu site usa o WordPress.

11. Verifique as permissões do arquivo

Se você estiver usando um host de qualidade, as permissões de arquivo do seu site já devem estar corretas. No entanto, pode valer a pena verificar novamente porque é importante ter as permissões de arquivo corretas.

Para saber mais, confira nosso guia completo de permissões de arquivo do WordPress.

12. Use apenas conexões seguras para FTP

Sempre que você se conectar ao seu site via FTP ou outras tecnologias, certifique-se de usar protocolos seguros, como SFTP.

Assim como o HTTPS protege os dados que se movem entre seu navegador e seu site, o SFTP protege a conexão entre seu cliente FTP e seu servidor.

Você também deve evitar armazenar suas senhas de FTP em seu cliente de FTP, a menos que essas senhas sejam criptografadas com segurança.

13. Configure o registro de atividades

O registro de atividades permite rastrear o que os usuários fazem em seu painel, o que pode ajudá-lo a detectar atividades suspeitas (especialmente se você conceder acesso ao painel a outros usuários).

Para configurar isso, você pode usar um plugin como o WP Activity Log. Temos um tutorial sobre como configurar o registro de atividades, bem como um cupom exclusivo do WP Activity Log para economizar algum dinheiro.

14. Execute verificações regulares de malware/segurança

Embora seu site não apresente problemas se você tiver implementado as práticas recomendadas acima, ainda é uma boa prática executar periodicamente verificações de malware/segurança em seu site.

Para verificar quaisquer problemas no frontend do seu site, você pode usar a ferramenta gratuita Sucuri SiteCheck.

Para executar uma verificação completa dos arquivos do seu servidor, você pode considerar ferramentas como MalCare ou Wordfence.

Seu host WordPress também pode executar suas próprias verificações diárias de malware, o que pode tornar essas ferramentas redundantes.

15. Desabilitar XML-RPC

O XML-RPC ajuda ferramentas externas a se conectarem ao seu site WordPress, como o aplicativo WordPress para desktop.

No entanto, se você não estiver usando essas ferramentas, apenas adicionará um vetor de ataque desnecessário ao seu site. Para desativá-lo totalmente, você pode usar o plug-in gratuito Desativar XML-RPC.

16. Bloquear Hotlinks

Hotlinking é quando alguém incorpora conteúdo do seu servidor em seu site (por exemplo, uma imagem). Isso pode afetar a segurança do seu site, esgotando os recursos do seu servidor sem sua permissão.

Para bloquear hotlinking, você pode adicionar algum código ao arquivo .htaccess do seu site.

Para gerar o código .htaccess necessário para bloquear hotlinking, você pode usar esta ferramenta gratuita. Ele permitirá que você coloque na lista segura de determinados provedores de hotlinking (como a Pesquisa de imagens do Google), enquanto bloqueia outros.

17. Altere o prefixo do banco de dados do WordPress

Alterar o prefixo do banco de dados do WordPress adiciona uma pequena quantidade de “segurança por obscuridade”, embora alguns especialistas (incluindo o Wordfence) digam que os benefícios de segurança são bastante triviais.

Se você tiver um site WordPress existente, não recomendo fazer isso porque os riscos de quebrar seu site superam quaisquer benefícios potenciais de segurança.

No entanto, se você estiver configurando um novo site WordPress, também poderá usar um prefixo de banco de dados personalizado, mesmo que não tenha um grande efeito.

18. Desabilite a execução de arquivos PHP na pasta wp-content/uploads

Você pode bloquear alguns ataques de casos extremos desabilitando a execução de arquivos PHP em sua pasta wp-content/uploads .

Veja como:

1. Use o Bloco de Notas para criar um novo arquivo .htaccess.
2. Adicione o trecho de código abaixo.
3. Carregue esse arquivo para a pasta wp-content/uploads .

 <Files *.php> deny from all </Files>

19. Desative a edição de código no painel

Por padrão, o WordPress permite editar arquivos de temas e plugins no painel do WordPress, o que permitiria que um invasor adicionasse código malicioso se tivesse acesso a uma conta de administrador.

Para evitar isso, você pode desabilitar a edição de arquivos adicionando este trecho ao seu arquivo wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Perguntas frequentes sobre segurança do site WordPress

Para finalizar, aqui estão algumas perguntas comuns sobre a segurança do WordPress.

O WordPress tem problemas de segurança?

O WordPress em si não tem problemas de segurança, mas instalar plugins em seu site pode introduzir vulnerabilidades de segurança, especialmente no caso de plugins mal codificados e/ou mantidos.

O WordPress é facilmente hackeado?

A grande maioria dos sites do WordPress é invadida por causa de erro do usuário, não por causa do software em si. Seguir algumas práticas recomendadas de segurança essenciais tornará seu site muito difícil de hackear.

Você pode tornar o WordPress seguro?

Sim absolutamente. Contanto que você siga as melhores práticas, o WordPress pode ser muito seguro. Há uma razão pela qual tantas grandes marcas confiam no WordPress.

Você precisa de um plugin de segurança do WordPress?

Você pode criar um site WordPress seguro sem um plugin de segurança abrangente. No entanto, esses plug-ins podem simplificar o processo de implementação de práticas recomendadas de proteção de segurança e fornecer acesso a recursos úteis, como firewalls e verificação de segurança.

Implemente essas práticas recomendadas de segurança do WordPress hoje

Se você não tirar mais nada deste post, espero que você implemente pelo menos as sete dicas de segurança do WordPress que você deve seguir acima.

Se você fizer apenas essas sete coisas, pode ter certeza de que evitará 99,9% dos problemas de segurança em seu site.

Se você deseja uma proteção ainda melhor, pode continuar e implementar todas as 19 dicas desta lista.

Você ainda tem alguma dúvida sobre a segurança do WordPress? Deixe-nos saber nos comentários!