3 maneiras de proteger seu site WordPress contra ataques

Publicados: 2017-12-27

Atualmente, todo site precisa levar a segurança a sério. Isso é particularmente verdadeiro se ele usar um sistema de gerenciamento de conteúdo (CMS), como o WordPress. Esse tipo de plataforma geralmente armazena muitas informações confidenciais, o que a torna um alvo. Se alguém invadir seu site, você precisará gastar um tempo valioso descobrindo como eles entraram e reparando os danos.

A boa notícia é que o WordPress é muito flexível quando se trata de aumentar as medidas de segurança do seu site. Por exemplo, existem várias maneiras de proteger sua página de login contra ataques e escondê-la de pessoas que você não conhece. Com alguns ajustes aqui e ali, seu site pode rapidamente se tornar uma fortaleza.

Neste artigo, vamos discutir a importância da segurança do WordPress. Em seguida, apresentaremos três métodos que você pode usar para tornar seu site mais seguro. Vamos lá!

Por que a segurança do WordPress é importante

Só para deixar claro, o WordPress já é uma plataforma muito segura pronta para uso. No entanto, também é um software enorme com milhões de usuários e milhares de opções de plugins e temas. Com tanta coisa acontecendo, é natural que alguns usuários acabem tendo que lidar com problemas de segurança. Na maioria dos casos, você pode rastrear esses problemas até credenciais facilmente decifradas, uma falha na atualização consistente e outros erros do usuário.

Por outro lado, você estará muito mais seguro se for o tipo de pessoa que se mantém atualizado com a versão mais recente do WordPress e monitora todos os plugins e temas que você usa. Manter a segurança do seu site pode parecer muito trabalhoso, mas ser cauteloso é o melhor curso de ação. Aqui está o porquê:

  • WordPress é um alvo para ataques. A popularidade do Content Management System (CMS) o torna o favorito dos invasores online. Afinal, encontrar uma vulnerabilidade em um único plugin ou tema pode ajudá-los a obter acesso a milhares de sites.
  • Você precisa proteger as informações confidenciais do usuário. Mesmo que você não esteja lidando com nenhum número de cartão de crédito em seu site, isso não significa que você não deva proteger a privacidade de seus usuários.
  • Os sequestradores podem espalhar malware pelo seu site. Atualmente, é uma prática comum os invasores usarem sites invadidos para fornecer malware a seus visitantes. Escusado será dizer que você não quer que os dispositivos de seus usuários sejam infectados por causa de práticas de segurança negligentes do seu lado.

Felizmente, há muito que você pode fazer para proteger seu site WordPress preventivamente. Por exemplo, usar um tema bem codificado que recebe atualizações constantes é sempre uma ideia inteligente. Nosso próprio tema Uncode tem excelentes classificações e recursos de segurança, por exemplo, e estamos sempre disponíveis para responder a quaisquer perguntas que você possa ter sobre como proteger ainda mais seu site. Depois de ter seu tema resolvido, existem algumas outras medidas simples que você pode tomar.

3 maneiras de proteger seu site WordPress contra ataques

Nesta seção, ensinaremos três maneiras de proteger seu site WordPress contra ataques, com e sem plugins. Como você fará algumas alterações bastante significativas na funcionalidade do seu site, crie um backup antes de começar. Dessa forma, se algo der errado (o que não deve acontecer!), você poderá restaurar seu site em minutos e tentar novamente.

1. Use autenticação de dois fatores (2FA)

Normalmente, tudo o que é necessário para fazer login em um site é seu nome de usuário e senha. Alguns sites dão um passo adiante, no entanto, e solicitam que você insira um código de uso único enviado para seu e-mail ou smartphone. Isso é conhecido como autenticação de dois fatores (2FA). Usando esse método, mesmo que alguém obtenha suas credenciais, ele ainda não poderá acessar sua conta.

O WordPress não suporta 2FA pronto para uso. No entanto, você pode implementá-lo usando as ferramentas certas. Existem muitos plugins 2FA excelentes disponíveis, mas somos parciais com a autenticação de dois fatores miniOrange por causa de todos os recursos que ela oferece:

O plug-in de autenticação de dois fatores miniOrange.

Para começar com esta técnica, primeiro você precisa instalar e ativar o plugin. Em seguida, você poderá acessar uma nova guia miniOrange 2-Factor do seu painel. A primeira vez que você clicar nele, você terá que preencher alguns campos para registrar uma conta miniOrange:

Registrando uma conta miniOrange.

Depois, você receberá um código único por e-mail ou mensagem de texto, que pode ser usado para ativar o plug-in.

Quando isso for feito, você pode pular para a guia Configurar dois fatores na parte superior da tela e escolher quais tipos de 2FA seus visitantes poderão usar. Para oferecer mais opções aos usuários, recomendamos usar a Verificação de e-mail como seu método padrão:

Escolhendo a verificação de e-mail como seu método 2FA.

Depois de escolher os métodos desejados, você pode sair. Na próxima vez que você tentar acessar seu painel, verá uma opção para habilitar o 2FA para sua conta. Agora, todos os usuários do seu site poderão optar pelo 2FA. Seu site WordPress será mais seguro por isso!

2. Coloque na lista branca os endereços IP que podem acessar seu painel

O painel do WordPress é onde a maior parte da mágica acontece. Como tal, você não quer que qualquer pessoa tenha acesso. Somente membros confiáveis ​​da equipe devem poder acessar o painel do seu site e usar seus principais recursos.

Sua página de login é sua principal linha de defesa contra invasões indesejadas. No entanto, às vezes, os invasores podem obter acesso às credenciais de um membro da sua equipe. Se isso acontecer, você precisará de uma segunda linha de defesa para detê-los. É aí que entra o seu arquivo .htaccess .

Este arquivo permite que você forneça instruções específicas ao seu servidor. Por exemplo, você pode dizer para bloquear o acesso ao seu painel para qualquer pessoa cujo IP não esteja em uma lista pré-aprovada. Quando você adiciona um endereço IP a essa lista, você o coloca na lista de permissões. Esse método requer um pouco de trabalho inicial, mas pode transformar seu site em uma fortaleza.

Primeiro, você precisará saber os endereços IP de todos os seus colegas de trabalho. Para obter melhores resultados, você também deve garantir que esses IPs sejam estáticos. Os membros da equipe podem usar um site como O que é meu IP para descobrir quais são seus endereços e entrar em contato com seus provedores de Internet para que possam receber um endereço estático, caso ainda não tenham um.

Descobrir qual é o seu endereço IP.

É melhor resolver essas tarefas primeiro, para que você possa inserir todos os IPs da lista de permissões de uma só vez. Quando tiver a lista de endereços pronta, você precisará localizar e acessar o arquivo .htaccess do seu site. Para fazer isso, recomendamos usar o File Transfer Protocol (FTP) e uma ferramenta como o FileZilla.

Basta fazer login em seu site usando suas credenciais de FTP e acessar sua pasta public_html . Em seguida, procure o arquivo .htaccess em:

Seu arquivo htaccess.

Agora, clique com o botão direito do mouse no arquivo e escolha a opção Visualizar/Editar . Isso abrirá o arquivo em seu computador usando seu editor de texto padrão. Já deve haver algumas linhas de código dentro, que você não deseja alterar. Em vez disso, role até o final do arquivo e procure a linha #END WordPress .

Você precisará colar o seguinte snippet logo antes dessa linha:

 <IfModule mod_rewrite.c>
RewriteEngine ligado
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Regra de regravação ^(.*)$ - [R=403,L]
</IfModule>

Essas cinco linhas de código dizem ao WordPress para verificar o endereço IP de qualquer pessoa que tente acessar seu painel. Se o endereço deles não corresponder a um dos da sua lista de permissões (há dois no exemplo acima), eles receberão um erro 403:

Um exemplo de um erro 403.

Você pode adicionar quantos endereços quiser usando o mesmo formato e bloquear outras páginas também. Por exemplo, se você deseja bloquear sua página de login para qualquer pessoa, exceto aqueles que estão na sua lista de permissões, tudo o que você precisa fazer é adicionar uma linha extra de código:

 <IfModule mod_rewrite.c>
RewriteEngine ligado
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Regra de regravação ^(.*)$ - [R=403,L]
</IfModule>

Quando terminar de fazer as alterações em .htaccess , salve o arquivo e feche o editor de texto. Você ainda poderá acessar seu painel e página de login como de costume, a menos que tenha esquecido de colocar seu próprio endereço IP na lista de permissões!

3. Use um plug-in de segurança abrangente do WordPress

Se você optar por tomar apenas uma medida para proteger seu site WordPress, usar um plug-in de segurança pode gerar mais milhagem. Há uma tonelada de plugins de segurança populares disponíveis, e muitos são capazes de proteger seu site da maioria dos tipos de ataques.

Um dos nossos favoritos é chamado All In One WP Security & Firewall. Ele oferece uma ampla gama de recursos e uma interface amigável:

Tudo em um plugin WP Security Firewall.

Até agora, falamos muito sobre como proteger suas páginas de login e painel do WordPress. Este plug-in permite que você faça as duas coisas, usando a funcionalidade integrada que você pode ativar com alguns cliques. Por exemplo, você pode limitar o número de tentativas de login que alguém pode fazer antes de ficar temporariamente bloqueado no site. Esse recurso está disponível na guia WP Security > User Login :

Configurando um número máximo de tentativas de login.

Você também pode configurar o plug-in para que você saiba quando alguém for bloqueado na página de login e bloquear completamente os endereços IP. O All In One WP Security & Firewall também inclui um firewall abrangente, que você pode configurar na guia WP Security > Firewall :

Habilitando um firewall para seu site.

Assim que você ativar o plugin, seu primeiro passo deve ser dar uma olhada em sua documentação. Há muitas configurações que você precisa aprender a usar, mas um curso rápido deve dizer tudo o que você precisa saber para proteger seu site.

Por último, mas não menos importante, Kinsta tem ótimas ideias para bloquear seu site, confira se precisar de mais dicas sobre segurança do WordPress.

Conclusão

A segurança do WordPress é algo sobre o qual você deseja ser proativo. Um pouco de esforço gasto para proteger seu site desde o início vai lhe poupar muitas dores de cabeça no futuro. Se você tiver sorte, nunca terá que lidar com as consequências de invasões indesejadas em seu site e poderá se concentrar em melhorá-lo.

A boa notícia é que existem muitas maneiras fáceis de proteger seu site. Mais uma vez, aqui estão três dos nossos favoritos:

  1. Use 2FA em sua página de login.
  2. Coloque na lista de permissões os endereços IP dos membros da sua equipe.
  3. Use um plugin de segurança WordPress abrangente.

Você tem alguma dúvida sobre como proteger seu site WordPress? Pergunte na seção de comentários abaixo!