12 maneiras vitais de aumentar a segurança do WordPress

O WordPress é um dos construtores de sites mais populares do mundo. É usado por milhões de pessoas, incluindo algumas das maiores marcas e organizações do mundo.

No entanto, grande responsabilidade vem com grande poder, o que inclui garantir que seu site WordPress seja o mais seguro possível. Vários sites WordPress de alto perfil foram invadidos nos últimos anos, por isso é essencial tomar medidas para proteger seu site.

Um estudo da Sucuri descobriu que 43% dos sites WordPress são vulneráveis ​​a ataques.

Aqui estão algumas maneiras de aumentar a segurança do WordPress.

Mantenha o WordPress atualizado

Uma das coisas mais importantes que você pode fazer para aumentar a segurança do WordPress é manter seu site WordPress atualizado.

Isso significa atualizar o próprio WordPress, bem como todos os temas e plugins que você instalou. Novas versões do WordPress são lançadas regularmente e cada nova versão inclui correções de segurança para vulnerabilidades que foram descobertas.

Para atualizar o WordPress, vá para a página Painel > Atualizações e clique no botão “Atualizar agora”.

Também é importante atualizar seus temas e plugins. A maioria dos desenvolvedores de temas e plugins lança atualizações regularmente para corrigir vulnerabilidades de segurança.

Você pode atualizar seus temas e plug-ins na página Painel > Atualizações ou instalar o plug-in WP Updates Notifier, que enviará um e-mail quando houver atualizações disponíveis.

Ocultar o número da versão do WordPress

À medida que o WordPress se tornou mais popular, os hackers o atacaram cada vez mais.

Uma das coisas que eles procuram é o número da versão do WordPress, que é exibido no código-fonte de cada site WordPress. Os hackers podem atingir vulnerabilidades específicas sabendo qual versão do WordPress você está executando. Além disso, alguns plugins de segurança do WordPress funcionarão apenas com versões específicas do WordPress.

Portanto, é essencial ocultar o número da sua versão do WordPress. A maioria dos temas do WordPress tem a opção de fazer isso, ou você pode instalar um plugin como o WP-Hardening Plugin.

Você também pode ocultá-lo manualmente colando este código em seu arquivo functions.php:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Use uma senha forte

Outra maneira importante de aumentar a segurança do WordPress é usar uma senha forte.

Uma senha forte deve ter pelo menos oito caracteres e incluir uma combinação de letras maiúsculas e minúsculas, números e símbolos. Usar uma senha diferente para cada site que você visita também é essencial. Dessa forma, suas outras contas estarão seguras se um site for invadido. Você pode usar um gerenciador de senhas como LastPass ou KeePass para ajudá-lo a gerar e lembrar senhas fortes.

Um estudo de pesquisa da Imperva descobriu que usar uma senha forte é a maneira mais eficaz de evitar ataques de força bruta, um hack comum do WordPress.

Use um site gerador de senhas para gerar uma senha altamente forte. Aqui estão alguns dos melhores geradores de senha:

• Última passagem
• Norton
• 1Senha

Usar autenticação de dois fatores

A autenticação de dois fatores (também conhecida como verificação em duas etapas) é uma camada adicional de segurança que pode ajudar a proteger seu site WordPress.

Com a autenticação de dois fatores, você precisa inserir sua senha e um segundo código, geralmente gerado por um aplicativo em seu smartphone. Dessa forma, mesmo que alguém consiga adivinhar sua senha, não poderá fazer login a menos que também tenha seu smartphone.

O WordPress não inclui autenticação de dois fatores por padrão, mas você pode instalar um plugin como o Google Authenticator ou o Duo Security.

Lembre-se, porém, que a autenticação de dois fatores não funcionará se você perder seu smartphone, por isso é essencial ter um método de backup, como um endereço de e-mail ou número de telefone alternativo.

Limitar tentativas de login

Outra maneira de aumentar a segurança do WordPress é limitar as tentativas de login.

Por padrão, o WordPress permite um número ilimitado de tentativas de login, o que dá aos hackers uma ampla oportunidade de adivinhar sua senha. Ao limitar as tentativas de login, você pode ajudar a evitar ataques de força bruta. Alguns plugins permitem que você faça isso, como Limitar tentativas de login e Bloqueio de login.

Uma pesquisa da Wordfence mostra que limitar as tentativas de login pode bloquear 99,99% dos ataques de força bruta.

Além disso, escolha um plug-in que não bloqueie usuários legítimos, como você, se você esquecer sua senha.

Usar SSL

SSL (Secure Sockets Layer) é um protocolo que criptografa os dados transmitidos entre um site e o navegador da web de um usuário. Isso significa que se alguém tentar interceptar os dados, não poderá lê-los. No passado, os sites de comércio eletrônico usavam principalmente SSL para proteger as informações do cartão de crédito.

Mas hoje em dia, mais e mais sites WordPress estão usando SSL para proteger dados confidenciais, como credenciais de login e envios de formulários de contato. Você pode adicionar SSL ao seu site WordPress de algumas maneiras diferentes. Por exemplo, algumas empresas de hospedagem oferecem certificados SSL gratuitos ou você pode comprar um certificado de uma empresa como Symantec ou Comodo. Depois de ter um certificado SSL, você precisará instalar e ativar o plug-in SSL do WordPress.

Restringir o acesso ao seu diretório de plugins

O diretório de plugins do WordPress é uma pasta em seu servidor que contém todos os plugins que você instalou em seu site.

Por padrão, qualquer pessoa pode acessar esta pasta e ver quais plugins eles usam. E se um hacker souber quais plug-ins você está usando, ele poderá direcionar quaisquer vulnerabilidades nesses plug-ins. Portanto, é essencial restringir o acesso ao diretório do seu plugin. Você pode fazer isso adicionando uma simples linha de código ao seu arquivo .htaccess.

Se você não se sentir confortável editando arquivos em seu servidor, você pode instalar um plugin como o iThemes Security, que adicionará o código para você. Se você editar seu arquivo .htaccess, certifique-se de criar um backup antes de fazer qualquer alteração.

Alterar o nome de usuário do administrador

Quando você instala o WordPress, o nome de usuário de administrador padrão é “admin”. Isso não é muito seguro porque é fácil para os hackers adivinharem.

Portanto, uma das primeiras coisas que você deve fazer após instalar o WordPress é alterar o nome de usuário do administrador. Você pode criar um novo usuário com privilégios de administrador e excluir o antigo usuário “admin”. Ou você pode instalar um plug-in como o WP Security Scan, que verificará seu site em busca de configurações inseguras, incluindo o nome de usuário de administrador padrão.

Depois de alterar o nome de usuário do administrador, saia da sua conta do WordPress e faça login novamente com o novo nome de usuário. Muitas pessoas esquecem de fazer isso e se perguntam por que não conseguem acessar seu site WordPress.

Use CAPTCHA ou reCAPTCHA em sua tela de login

CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) é um teste de desafio-resposta usado para garantir que apenas humanos possam acessar um site ou executar determinadas ações. reCAPTCHA é uma versão do CAPTCHA que o Google possui. É mais seguro do que o CAPTCHA tradicional porque usa técnicas avançadas de análise de risco para impedir que o software automatizado se envolva em atividades abusivas em seu site. Para adicionar CAPTCHA ou reCAPTCHA à sua tela de login do WordPress, você pode instalar um plugin como WP-reCAPTCHA.

Depois que o plug-in estiver instalado e ativado, você precisará se inscrever para uma conta gratuita com o reCAPTCHA. Você receberá uma chave do site e uma chave secreta, que você precisará inserir nas configurações do plug-in.

Desconectar usuários inativos automaticamente

Quando você está conectado ao seu site WordPress, você pode permanecer conectado indefinidamente, mesmo se você fechar a janela do navegador ou se afastar do seu computador. Isso não é muito seguro porque significa que qualquer pessoa com acesso ao seu computador também pode acessar seu site WordPress.

Você pode instalar um plugin como Idle User Logout para resolver este problema. Este plugin desconectará automaticamente os usuários inativos por um determinado período.

Por exemplo, você pode configurá-lo para desconectar usuários que não estiveram ativos por 15 minutos. Dessa forma, mesmo que alguém tenha acesso ao seu computador, ele não poderá permanecer conectado ao seu site WordPress. Um plug-in é essencial se você tiver um computador compartilhado ou usar Wi-Fi público.

Use SFTP para se conectar ao seu servidor

Quando você se conecta ao seu site WordPress, você está se conectando ao seu servidor.

Por padrão, a maioria das pessoas se conecta ao servidor usando FTP (File Transfer Protocol). Mas o FTP é um protocolo inseguro porque não criptografa seus dados. Isso significa que qualquer pessoa que monitore a conexão pode ver seu nome de usuário e senha.

Portanto, usar o SFTP (Secure File Transfer Protocol) é essencial. O SFTP é um protocolo seguro que criptografa seus dados, por isso é muito mais difícil alguém interceptar sua conexão e roubar suas credenciais. Para usar o SFTP, você precisará gerar um par de chaves SSH e adicionar a chave pública ao seu servidor. A maioria dos provedores de hospedagem tem instruções sobre como fazer isso.

Monitorar malware

Malware é um software malicioso que pode infectar seu site WordPress e causar muitos problemas.

Por exemplo, o malware pode redirecionar seus visitantes para outros sites ou exibir publicidade em seu site sem sua permissão. O malware também pode roubar informações confidenciais, como senhas e números de cartão de crédito. Portanto, é importante verificar regularmente seu site WordPress em busca de malware e remover qualquer um que encontrar. Existem algumas maneiras diferentes de fazer isso. Por exemplo, você pode usar um plug-in como o Wordfence Security, que verificará seu site em busca de malware e removerá automaticamente qualquer um que encontrar.

Como alternativa, você pode usar um serviço como o Sucuri SiteCheck, que verificará seu site e fornecerá um relatório de qualquer malware encontrado.

Conclusão

Estas são apenas algumas das muitas maneiras de aumentar a segurança do WordPress. Ao tomar essas medidas, você pode ajudar a proteger seu site WordPress de hackers e outros usuários mal-intencionados. Muitas dessas dicas são fáceis de implementar, então não há desculpa para não agir. Lembre-se, seu site WordPress é tão seguro quanto você o torna. Portanto, não espere até que seja tarde demais para começar a pensar em segurança. Aja agora e ajude a manter seu site WordPress seguro.