Um guia abrangente sobre como proteger seu site WordPress.

Publicados: 2018-10-16
A maioria das pessoas, quando começam a projetar e desenvolver seu site, estão principalmente preocupadas em fazer as coisas funcionarem da maneira que desejam e fazer com que o site tenha uma ótima aparência. A segurança do WordPress não é uma de suas principais preocupações.

Isso é engraçado porque quase todo mundo já ouviu ou leu sobre hacking, mas quando se trata de nossos sites, de alguma forma esperamos que isso não aconteça conosco. Porque por que um hacker estaria interessado em uma pequena parte do nosso negócio local, certo? Errado. A segurança do WordPress é altamente significativa e, portanto, seu site WordPress precisa ser adequadamente protegido e fixado. Vejamos os motivos!

Por que e como um hacker hackeia seu site?

É importante entender o raciocínio por trás de um hack de site antes de discutirmos maneiras de evitar que isso aconteça. Pode haver várias razões pelas quais um hacker estaria interessado em seu site, mesmo que seja um site de pequena empresa ou até mesmo um blog pessoal.

As duas principais razões pelas quais um site é invadido são: uma, por razões políticas, como desfigurar sites para divulgar e distribuir conteúdo que apóie uma ideologia ou grupo específico.

O outro visa ganhar dinheiro através de meios fraudulentos. Como isso funciona, o site invadido é usado como intermediário para distribuir software malicioso e, na maioria dos casos, o proprietário do site nem sabe disso.

Este é o mercado negro online que opera através de sites invadidos. Seu site tem o potencial de se tornar uma parte envolvida em atividades criminosas!

As outras repercussões negativas além destas são:

  • Um site hackeado e desfigurado resultará em manchar a reputação da sua marca e também causará um grande constrangimento.
  • Sites invadidos geralmente são bloqueados pelo servidor de hospedagem, resultando em perda de negócios.
  • Seu site, se cortado, pode ser usado como proxy de spam.
  • O custo de recuperação pode ser muito alto se o backup do seu site não for feito.

Agora que estabelecemos brevemente por que seu site pode ser invadido, vamos ver como um hacker encontraria e segmentaria seu site específico entre os milhões disponíveis online.

Deve ser altamente improvável que um hacker tenha como alvo seu site, certo? Afinal, é apenas uma gota no oceano de sites. Bem, desculpe estourar sua bolha, mas isso está errado!

Hacking não é feito manualmente. Os hackers empregam robôs/programas cuja única função é caçar sites vulneráveis. Esses programas geralmente são executados em servidores em nuvem, onde são configurados e destruídos conforme a necessidade, deixando pouco ou nenhum rastro para trás. Eles são criados para descobrir milhares de sites a cada hora. Ao encontrar um site, ele é pesquisado por vulnerabilidades, que são continuamente encontradas no WordPress e seus plugins. Eles também podem ser causados ​​devido a erros humanos, como usar senhas fáceis de adivinhar ou uma hospedagem não confiável ou não confiável.

Proteger seu site WordPress, portanto, não é uma opção, mas uma necessidade e estamos aqui para ajudá-lo no processo!

Seu guia para proteger o WordPress

Ao final da longa lista de medidas de segurança a seguir, você estará equipado para ter seu site WordPress totalmente garantido. Quando se trata de proteger sites, medidas primárias específicas precisam ser tomadas por todos.

Estas são coisas não negligenciáveis ​​e principalmente simples que percorrerão um longo caminho e manterão seu WordPress razoavelmente seguro. Depois, há outro conjunto de medidas para aqueles que são muito paranóicos com a segurança do seu site e não se importam em fazer um esforço extra para mantê-lo extremamente seguro.

Vamos primeiro discutir o antigo conjunto de medidas, ou seja, as tarefas de segurança necessárias que todos os proprietários de sites devem realizar:

Alterar o nome de usuário padrão

Uma das maneiras mais fáceis e rápidas de proteger seu WordPress é alterar o nome de usuário "Admin" padrão para algo que não seja fácil de adivinhar. Idealmente, você deve alterar seu nome de usuário de administrador durante a instalação do próprio WordPress, mas se você não tiver feito isso, você pode renomeá-lo usando phpMyAdmin ou executando um script de linguagem de consulta padronizada em seu banco de dados.

De qualquer forma, este simples hack de segurança do WordPress ajudará seu site a evitar muitas tentativas aleatórias de hackers.

Use uma senha forte e não a reutilize em diferentes plataformas

É do conhecimento dos hackers que nós, como humanos, tentamos manter senhas seguras e idênticas porque tendemos a esquecê-las. Os piratas sabem como tirar vantagem disso, e eles normalmente têm uma lista das senhas mais usadas que eles vão tentar várias vezes até encontrar uma. Essa técnica é chamada de força bruta de uma senha. Portanto, manter uma senha segura e complexa é um passo direto para proteger seu WordPress.

Outra coisa a ter em mente é nunca reutilizar senhas. O que a reutilização de senhas faz é dar aos hackers acesso a todo o resto de suas contas, se mesmo uma delas estiver comprometida. Sim, pode ser inconveniente e problemático para você lembrar de tantas senhas diferentes e complexas, mas para ajudá-lo com isso, muitos gerenciadores de senhas no mercado ajudam você a armazenar e manter suas senhas seguras. Sugerimos usá-los.

Sempre execute a versão mais recente do WordPress

É essencial manter seu WordPress atualizado porque, a cada atualização principal, o WordPress corrige seus problemas de segurança descobertos recentemente. Muitas vezes, as pessoas desativam as atualizações principais do WordPress porque a versão mais recente pode não ser compatível com alguns plugins. A coisa crítica a lembrar, porém, é que um site invadido é muito mais problemático do que um plugin temporariamente quebrado.

Não altere o núcleo do WordPress

Editar os arquivos de origem do WordPress é uma péssima ideia porque tira a facilidade de atualizar automaticamente seu WordPress para a versão mais recente, cuja importância discutimos no ponto anterior. Se você alterou o núcleo do WordPress, uma atualização para a versão mais recente fará com que você perca essas alterações.

Então, o que você deve fazer se desejar alterar a funcionalidade do WordPress?

Escrever um plugin é a resposta. Dá a você a liberdade de fazer o que quiser sem ter que comprometer o núcleo do WordPress.

O mesmo se aplica a temas e plugins também. Qualquer tentativa de ajuste do núcleo resultará na perda da capacidade de atualizar para a versão mais recente. Ao todo, sempre existem outras maneiras de obter a funcionalidade que você deseja e alterar o núcleo não é o caminho a seguir.

Verifique se todos os seus plugins e temas estão atualizados

A razão por trás da necessidade de atualizar seus plugins e ideias é a mesma por trás de manter seu WordPress atualizado. É sua responsabilidade mantê-los atualizados para a versão mais recente, seja manualmente ou automaticamente, para manter seu site protegido contra ataques de hackers.

Se você estiver usando plug- ins baixados do WordPress.org, poderá ativar atualizações automáticas em segundo plano e, para qualquer outra atualização de plug-in comercial, terá que lidar com isso por meio do mecanismo de plug-in. Além disso, certifique-se de manter suas associações de plugins sempre ativas para obter as atualizações mais recentes.

Agora, quando se trata de atualizar seus temas , você pode se preocupar com o que acontecerá com todas as alterações feitas em seu tema ao realizar uma atualização. O que você deve fazer ao fazer alterações nos temas é fazê-lo por meio de "temas filhos" em vez de fazer alterações diretamente no tema real.

Ao fazer isso, você pode atualizar facilmente seus temas para a versão mais recente sem perder as alterações feitas até agora. Para verificar quais temas precisam de atualizações, vá em "Aparência" e depois em "Temas" no seu WordPress. Você também pode habilitar atualizações automáticas em segundo plano da mesma forma que é feito com plugins.

Sempre baixe plugins, temas e scripts apenas de sua fonte oficial

Pode ser tentador adquirir temas e plugins de fontes não oficiais por um preço melhor ou de graça, mas não é uma ideia inteligente fazer isso. Isso ocorre porque muitos desses temas e plugins piratas são indevidamente ajustados por hackers para serem servidos como um backdoor para eles realizarem seus esquemas perversos.

Você deve sempre confiar em sites seguros para encontrar plugins e temas de qualidade para garantir que seu WordPress seja seguro. O mais comum deles é o WordPress.org. Outros sites confiáveis ​​são WordPress.com, ThemeForest.net, CodeCanyon.net, etc.

Seu site deve sempre executar a versão mais recente do PHP

PHP é o mecanismo subjacente do WordPress e apresenta algumas atualizações de versão.

Mas de acordo com a página Global WordPress Statistics, quase 80% das instalações do WordPress são executadas em versões do PHP que não são mais suportadas! Isso é motivo de preocupação porque, em primeiro lugar, seu site não se beneficia dos recursos de desempenho que vêm com as versões mais recentes e isso também leva à não correção de falhas de segurança encontradas na versão anterior.

É por isso que é essencial garantir que seu site execute a versão mais recente do PHP.

Ao atualizar o núcleo do WordPress, plugins e temas são uma tarefa bastante clara. As atualizações de versão do PHP dependem principalmente do seu servidor de hospedagem. Esta é uma das razões pelas quais é essencial escolher um servidor de hospedagem seguro . Ele disponibilizará as versões mais recentes do PHP para você com a instalação do WordPress. Um serviço de hospedagem WordPress seguro também terá uma equipe proativa cujo trabalho é verificar as vulnerabilidades mais recentes às quais seu site está exposto e tomar medidas para mitigá-las.

Atualize seu site apenas por meio de redes confiáveis

Quem não gosta de usar internet Wifi grátis em lugares como o aeroporto ou até mesmo um café local, não é mesmo? Mas lembre-se de que essas conexões Wi-Fi abertas são fáceis de espionar. Você deve evitar acessar seu site de administração do WordPress por meio dessa rede. E especialmente quando se trata de atualizar seu site, sempre use sistemas confiáveis ​​como o de sua casa ou escritório.

Use um antivírus

Se houver um vírus em sua área de trabalho, ele pode se espalhar rapidamente replicando-se em seu site. Este é um esquema normalmente usado por vírus para infectar seu site. Ele pode então espionar e obter acesso às suas senhas ou até mesmo aos seus dados bancários e pessoais. É por isso que você deve certificar-se de que sua estação de trabalho esteja usando um antivírus confiável e atualizado.

Proteja seu site usando plugins de segurança do WordPress

Um plug-in de segurança permite que você saiba a quais vulnerabilidades seu site está exposto e fornece orientações sobre como corrigi-las. Usar um plug-in é uma maneira simples e segura de proteger seu site WordPress e exige muito pouco ou nenhum esforço de você. Eles executam verificações e fornecem uma análise detalhada de quaisquer problemas rastreados em seu site.

Alguns plugins de segurança confiáveis ​​são Total Security, Vulnerable Plugin Checker, iThemes Security Pro e Plugin Inspector.

Mantenha o backup do seu site

Se todas as medidas acima falharem e a segurança do seu site ainda estiver comprometida, essa etapa é o que o salvará.

É essencial criar e agendar backups para o seu site. Esses backups planejados são uma parte indispensável da política de segurança de um site, pois garantem que, se o site for comprometido, ele será restaurado para uma versão anterior ao dano com facilidade.

Não apenas no caso de um hack, mas também no caso de um acidente ou erro técnico, ter backups garante que seu site volte a funcionar rapidamente.

A lista de nossas principais medidas de segurança essenciais termina aqui!

Chegamos agora à segunda parte, onde discutiremos dicas de segurança do WordPress para nossos fanáticos por segurança. Isso é para os administradores que desejam várias camadas de proteção para seu site.  

Verifique se você definiu as chaves de autenticação secretas do WordPress

Você encontrará 8 chaves de segurança e autenticação do WordPress em seu wp-config.php. Essas são nada além de variáveis ​​arbitrárias que tornam mais difícil deduzir suas senhas do WordPress adicionando um elemento de aleatoriedade à forma como elas são armazenadas no banco de dados.

Vamos ver como você pode usá-lo.

  • Primeiro, use o WordPress Random Generator para gerar um conjunto de chaves.
  • Em seguida, edite seu arquivo wp.config. Você encontrará um local para adicionar as chaves exclusivas geradas na etapa anterior na seção "Chaves exclusivas de autenticação".

Você não deve compartilhar ou tornar essas chaves públicas.

Limitar tentativas de login

Já falamos sobre força bruta e como os hackers a usam para descobrir sua senha. Colocar em prática um mecanismo para limitar as tentativas de login é essencial por esse motivo.

Felizmente, existe um plugin que faz isso para você. O plug-in "Limit Login WordPress" detecta muitas tentativas de senha erradas e desativa outras tentativas por um período específico de tempo, o que resulta em esforços malsucedidos de força bruta e melhora a segurança do seu site.

Ativar autenticação de dois fatores

A autenticação de dois fatores ou 2FA é uma maneira extremamente eficiente de proteger seu login do WordPress. Ao habilitar o 2FA, toda vez que você fizer login no seu administrador do WordPress, você precisará de um token de segurança baseado em tempo (exclusivo para cada usuário) além de sua senha normal. Esse token de segurança expira em um breve período, que geralmente é de 60 segundos.

Isso torna extremamente difícil para qualquer pessoa ter acesso ao seu login, mesmo que tenha suas credenciais de login (porque não terá o token de segurança atual).

Ativar o 2FA, portanto, é uma maneira completa de fortalecer seu login e escapar de ataques de força bruta em seus detalhes de login.

Desabilite a execução do PHP

Quando os hackers obtêm acesso ao seu site, uma das primeiras coisas que eles fazem é executar o PHP de dentro de um diretório. Uma coisa inteligente a fazer é desabilitar isso completamente. Então, mesmo que alguma vulnerabilidade estivesse presente em seu site WordPress, essa proteção quebraria proativamente o restante dos esforços de um hacker para dificultar seu site.

Este é um passo poderoso para a segurança do WordPress e pode levar à quebra de certos temas e plugins que podem exigir isso, mas ainda é aconselhável implementá-lo nos diretórios mais arriscados wp-includes e uploads.

Você pode implementar essa proteção por meio de seu arquivo .htaccess adicionando o seguinte código a ele:

  • <Arquivos *.php>
  • Ordem Permitir, Negar
  • Negar de todos
  • </Arquivos>

Desativar edição de arquivo

Geralmente lidamos com arquivos de plugins e temas enquanto ainda estamos nos estágios iniciais de criação de um site, pois, por padrão, os administradores do WordPress têm permissão para editar arquivos PHP. No entanto, uma vez que nosso site esteja desenvolvido, teremos muito pouco uso dessa opção de edição.

Portanto, é aconselhável desabilitar a edição de arquivos para administradores do WordPress assim que o site estiver ativo e ativo. Isso ocorre porque, mesmo que um hacker consiga fazer login no seu site, ele não terá privilégios de edição e não poderá alterar os arquivos para executar seus esquemas perversos. Para desabilitar a edição de arquivos, insira o seguinte comando no arquivo wp-config.php: define('DISALLOW_FILE_EDIT', true);

Separe seus bancos de dados do WordPress

Se você criar todos os seus sites no mesmo banco de dados e até mesmo um deles for comprometido, todos os outros sites WordPress hospedados no mesmo banco de dados também correm uma grande ameaça de serem invadidos. Ao instalar seu WordPress, você deve sempre criar um novo banco de dados e fornecer um nome de banco de dados, banco de dados e senha separados. Certifique-se de que eles sejam diferentes de quaisquer outros sites ou logins que você usa.

O que isso faz é que, se um de seus sites for invadido, a infecção deixará de se espalhar para outros locais, mesmo na mesma conta de hospedagem compartilhada.

Se não estiver em uso, desative o XML-RPC

Um aplicativo pode acessar seu WordPress por meio de algo conhecido como API (Application Programming Interface). Para explicar a você em termos diretos, um exemplo do XML-RPC é usar seu aplicativo de telefone para atualizar seu site. Existem também plugins específicos que usam a funcionalidade XML-RPC.

No entanto, se você não estiver usando nenhum aplicativo de terceiros e tiver certeza de que nenhum de seus plugins do WordPress está usando seu site por meio de XML-RPC, é aconselhável desativá-lo porque o XML-RPC pode ser usado como uma ferramenta para hackear seu local.

Proteja seu arquivo wp-config.php

O arquivo wp-config.php é um dos dados mais críticos que armazenam muitas configurações necessárias, como detalhes de login do banco de dados, sais de senha de hash, etc. Você não gostaria que ninguém invadisse aqui e, portanto, medidas de segurança para proteger este arquivo de configuração crítica do WordPress deve ser tomado.

Se você não desativou a execução do PHP (discutido no ponto 15), adicione este comando aos seus arquivos .htaccess:

  • <arquivos wp-config.php>
  • ordem permitir, negar
  • negar de todos
  • </files>

Instalar firewall

Para mantê-lo muito simples, o Software Fireballs impede que as coisas entrem ou as impeçam de sair. Nesse caso, eles ajudam a impedir que hackers se aproximem do seu site (ou da parte do seu site). Você precisa usar um Web Application Firewall (WAF), e um dos firewalls mais confiáveis ​​e de código aberto geralmente disponíveis gratuitamente com os serviços de hospedagem do WordPress é o firewall "ModSecurity".
Você pode descobrir se o seu serviço de hospedagem oferece isso e, se for, você pode aproveitá-lo e habilitá-lo.

Idealmente, você também deve usar um firewall de rede de entrega de conteúdo (CDN) para melhorar o desempenho do seu site, servindo recursos abundantes rapidamente. As CDNs também protegem seu site contra vários problemas de segurança do WordPress.

Parar o relatório de erros do PHP

O relatório de erros é benéfico no momento do desenvolvimento de um site, pois o informa sobre os erros e você pode corrigi-los imediatamente. Mas quando o relatório de erros é ativado em um site que está ativo e ativo, ele serve como pistas muito importantes para os hackers e torna seu trabalho muito mais confortável do que deveria. Os relatórios de erros podem fornecer informações vitais para qualquer pessoa que o procure.

Assim , desabilitar o relatório de erros do PHP assim que o site estiver ativo garante que pelo menos os riscos de segurança do WordPress causados ​​pela divulgação de informações confidenciais relacionadas ao seu site sejam minimizados. Para desabilitar o relatório de erros do PHP, faça alterações no seu arquivo php.ini conforme indicado abaixo:

  • relatório_erro = 4339
  • display_errors = Desligado
  • display_startup_errors = Desativado
  • log_errors = Ativado
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = Ativado
  • ignore_repeated_source = Desativado
  • html_errors = Desativado

Use o Security Logging para monitorar sua segurança do WordPress

Observar seus logs ajuda você a descobrir quais ataques estão acontecendo em seu site e equipá-lo para detê-los. É uma boa maneira de melhorar a segurança do seu WordPress. Para dar um exemplo mínimo, se você descobrir que a maioria das tentativas de hackers vem de uma área específica, possivelmente uma que seu site não atende, você pode bloquear essa área usando seu firewall. É aconselhável usar um plug-in de auditoria de segurança para manter registros de auditoria regulares.

Isso é tudo!

Com isso, chegamos ao fim do nosso longo e abrangente guia para proteger totalmente o seu site WordPress. Não há dúvida de que esta lista de verificação poderia ter sido um pouco esmagadora para você se você não tivesse pensado muito em garantir seu site antes. Mas o bom é que a maioria dessas etapas não exigirá muito esforço de você para executá-las e, com o passar do tempo, isso se tornará uma parte regular de sua rotina de manutenção do WordPress. Para ser justo, a maioria de vocês não seguirá todas as etapas mencionadas acima, e tudo bem. Mas quanto mais dessas medidas de segurança você adotar, mais seguro será o seu site. Um pouco de esforço extra de você agora vai percorrer um longo caminho!