Como tornar meu site wordpress mais seguro?
Publicados: 2022-07-19
No cenário atual onde a tecnologia avança a cada dia, a segurança se tornou um grande desafio. A cada minuto, os hackers tentam quebrar a segurança do seu site. Mas por que? Por que os hackers tentam invadir seu site? Conheça a verdade aqui.
É comum ver sites do WordPress sendo comprometidos nos dias de hoje. À medida que a tecnologia da web está aumentando, também aumenta a chance de hackers. Os hackers encontram facilmente brechas em seu site. A opinião é que um script de código aberto é vulnerável a todos os tipos de ataques. O WordPress está disponível abertamente e facilita a criação de sites por meio de temas e plugins interativos, além de criar sites em uma hora. Essas qualidades o tornam um centro de atração para hackers. Mas quem é o responsável por essa vulnerabilidade? Provedor de hospedagem/servidor? Não, um grande NÃO. Geralmente é sua culpa que seu site tenha sido invadido. Você é quem deve tomar cuidado excessivo ao desenvolver um site. A maior questão é sempre, o que VOCÊ está fazendo para evitar que seu site seja hackeado?
Então, aqui você vai aprender alguns passos para tornar seu site mais seguro.
Proteja sua página de login :
Como o WordPress usa o mesmo URL da página de login padrão, ou seja, wp-login.php ou wp-admin, torna-se muito fácil saber o URL de login do administrador. Isso o torna ativo para ataques de força bruta. Monitorar tentativas de login com falha e colocar regulamentações sobre elas pode ajudá-lo nesse sentido.
Autorização de dois fatores :
Com os procedimentos de segurança padrão exigindo apenas um simples nome de usuário e senha, tornou-se cada vez mais fácil para os criminosos obter acesso aos dados privados de um usuário e usar essas informações para cometer atos fraudulentos, geralmente de natureza financeira. A autenticação de dois fatores, também conhecida como 2FA, verificação em duas etapas ou TFA (como um acrônimo), é uma camada extra de segurança conhecida como “autenticação multifator” que requer não apenas uma senha e nome de usuário, mas também algo que apenas , e somente aquele usuário tem sobre eles, ou seja, uma informação que somente ele deve saber ou ter imediatamente à mão – como um token físico.
Renomeie seu URL de login :
Como já discutido acima, a página de login do WordPress é uma url padrão que é conhecida por todos, será uma boa abordagem alterar a url de login. Existem alguns plugins disponíveis no site oficial do WordPress que te ajudam nessa tarefa.
Use plugins e temas genuínos :
O WordPress precisa de temas e plugins para realizar várias tarefas. Toda nova funcionalidade desejável no WordPress pode ser feita através de plugins. Hackers usam isso como uma ferramenta poderosa. Eles geram plugins comprometidos ou nulos dentro dos quais colocam alguns códigos ou arquivos maliciosos. Quando carregamos esses plugins (especialmente os nulos) no WordPress, esses códigos maliciosos começam a funcionar e prejudicam o site. Portanto, é FORTEMENTE recomendado que use apenas e apenas plugins 100% genuínos. Nunca vá para plugins comprometidos/nulos.
Exclua plugins ou temas não utilizados :
Às vezes, quando não usamos certos plugins ou temas, apenas os desativamos, mas esquecemos de excluí-los. Como as pastas desses temas e plugins ainda existem na sua conta de hospedagem, os arquivos são executáveis a partir de url. Portanto, se houver algum arquivo de malware que possa ser executado a partir do navegador, pode causar danos ao seu site. A melhor ideia é DELETAR plugins não usados ou temas especialmente embutidos como 2016, 2017, etc. Você pode simplesmente fazer login no seu painel de hospedagem (como Cpanel) e ir para a respectiva pasta (geralmente, está dentro do arquivo manager -> public_html -> wp-content -> themes/plugins) e exclua a pasta theme/plugin. Existem certos provedores de hospedagem como o GoDaddy que não dão acesso ao seu cpanel, nesse caso, eu preferiria mudar para uma plataforma de hospedagem melhor. Uma dessas sugestões é escolher a melhor hospedagem linux aqui.
Desative a visualização de conteúdo da pasta :
É um erro muito comum que acontece na maioria das hospedagens, que se você abrir uma url de qualquer pasta então o navegador exibe todos os arquivos e pastas presentes dentro dessa pasta. Com isso, fica fácil conhecer a lista de arquivos disponíveis em sua hospedagem. Para desabilitar este recurso você precisa editar seu arquivo .htaccess e escrever este código dentro dele:
——————————————————————————————
Opções - Índices
——————————————————————————————
Esse código desabilitará os índices de diretório em todo o site.
Use SSL para criptografar seus dados :
SSL ( Secure Socket Layer ) é muito útil para aumentar a segurança do site. Ele é usado para manter as informações confidenciais enviadas pela Internet criptografadas para que apenas o destinatário pretendido possa entendê-las. Isso é importante porque as informações que você envia na Internet são passadas de computador para computador para chegar ao servidor de destino. Qualquer computador entre você e o servidor pode ver seus números de cartão de crédito, nomes de usuário e senhas e outras informações confidenciais se não estiver criptografado com um certificado SSL. Quando um certificado SSL é usado, as informações ficam ilegíveis para todos, exceto para o servidor para o qual você está enviando as informações. Isso o protege de hackers e ladrões de identidade.”
Use senhas fortes :
Senhas fortes são extremamente importantes – elas impedem o acesso não autorizado ao seu site e banco de dados. Se você escolher uma senha muito complicada e longa, será muito difícil para um hacker decifrá-la, seja por um ataque de força bruta (ou seja, tentando todas as combinações possíveis de números, letras ou caracteres especiais) ou uma máquina automatizada ataque tentando milhares de combinações por segundo para adivinhar o seu primeiro e único. Portanto, quanto mais complexa for sua senha, mais segurança ela fornecerá para sua conta.
Use nome de usuário difícil :
Nomes de usuário fáceis como 'admin', 'administrador', 'myadmin', etc. são fáceis de adivinhar. Esta é uma brecha, usando um difícil ou não tão fácil de adivinhar vai parar o ataque de força bruta. Um nome de usuário tão fácil de adivinhar é acessível para hackers. Tudo o que eles precisam saber é a senha, e todo o seu site cai nas mãos erradas.
Faça backup do seu site regularmente :
Os backups provam ser uma solução muito boa quando seu site é invadido e você pensa em redesenhar tudo do zero. Nesse momento, se você tiver backups, poderá simplesmente reverter para uma posição anterior do seu site que não esteja comprometida. Programe seus backups para serem gerados e baixados uma vez por semana para que possam ser um resgate para você em uma situação de emergência.
Portanto, esses são alguns pontos muito básicos que você deve ter em mente ao desenvolver um site WordPress. Isso protege seu site e dados contra perda de dados e acesso não autorizado.