Como proteger seu site WordPress: dicas de segurança de trabalho
Publicados: 2021-11-30
20% de desconto no WPMU Dev
Para este artigo, usaremos a hospedagem e as ferramentas do WPMU DEV. Você pode obter 20% de desconto no WPMU DEV na associação.
A segurança do WordPress é um tópico enorme. Há várias coisas que você pode tomar para proteger seu site WordPress e impedir que hackers e vulnerabilidades danifiquem seu site ou blog de comércio eletrônico.
Embora o software principal do WordPress seja bastante seguro e seja frequentemente revisado por centenas de engenheiros, ainda há muito que você pode fazer para manter seu site seguro.
Você não quer acordar uma manhã para encontrar seu site em desordem. Então, hoje, abordaremos uma variedade de métodos, táticas e abordagens que você pode utilizar para melhorar sua segurança do WordPress e permanecer seguro.
Por que a segurança do site é importante?
Qualquer site WordPress comprometido pode prejudicar significativamente seu fluxo de caixa e credibilidade. O invasor pode obter dados de clientes, senhas, injetar programas maliciosos ou até mesmo infectar seus usuários com malware.
Cenário de caso terrível, as empresas podem ser obrigadas a gastar ransomware para invasores para recuperar o acesso ao site. Mais de 50 milhões de usuários de sites foram avisados de que uma página da Web que estão visitando pode conter malware ou roubar dados, de acordo com o Google.
Este é um site de estatísticas ao vivo que é invadido em um dia.
Além disso, a cada semana, o Google coloca na lista negra aproximadamente 20.000 sites de malware e aproximadamente 50.000 sites de phishing. Se você estiver administrando uma página da empresa, dê importância à segurança do site.
É de fato seu trabalho, como proprietário de uma empresa on-line, proteger o site da sua empresa da mesma forma que é sua responsabilidade proteger suas instalações de loja real.
O WordPress é uma plataforma segura?
O WordPress é seguro?
Essa é provavelmente a primeira pergunta em sua mente. Sim, na maior parte.
O WordPress é seguro desde que os proprietários de sites levem a segurança a sério e sigam as práticas recomendadas. Empregar plugins e temas seguros, manter processos de login responsáveis, usar plugins de segurança para monitorar seu site e atualizar periodicamente são boas práticas.
O WordPress, por outro lado, tem a reputação de ser propenso a falhas de segurança e, portanto, não ser uma plataforma segura a ser utilizada para um negócio. Na maioria das vezes, isso se deve ao fato de os usuários continuarem a seguir as piores práticas de segurança comprovadas pelo setor.
Os hackers permanecem no topo de seu jogo de crimes cibernéticos usando software WordPress antigo, plugins nulos, administração de sistema ruim, gerenciamento de credenciais e falta de experiência necessária em Web e segurança entre usuários não técnicos do WordPress. Mesmo as melhores práticas nem sempre são seguidas pelos líderes do setor. Como eles estavam utilizando uma versão mais antiga do WordPress, a Reuters foi hackeada.
Isso não é para argumentar que as vulnerabilidades não estão presentes. O WordPress continua a dominar os sites infectados que a Sucuri, uma empresa de segurança multiplataforma, trabalhou em uma pesquisa do terceiro trimestre de 2017 (com 83%). Este é um aumento em relação ao valor do ano anterior de 74%.
Com o WordPress alimentando mais de 42% de todos os sites na internet e centenas de milhares de combinações de temas e plugins para escolher, não é surpresa que existam vulnerabilidades e sejam continuamente identificadas. No entanto, existe uma forte comunidade em torno da plataforma WordPress, o que garante que esses problemas sejam resolvidos o mais rápido possível. A partir de 2021, a equipe de segurança do WordPress consiste em cerca de 50 especialistas, incluindo desenvolvedores líderes e pesquisadores de segurança (contra 25 em 2017); cerca de metade são funcionários da Automattic e alguns trabalham na área de segurança na web.
Comece com a hospedagem adequada
Usar um host que forneça várias camadas de segurança é a maneira mais fácil de manter seu site seguro.
Economizar dinheiro na hospedagem de sites significa que você pode gastar o dinheiro em outro lugar dentro de sua organização, por isso pode ser tentador se inscrever em um provedor de hospedagem barato. Mas você deve resistir a essa tentação.
Um host barato pode causar dores de cabeça no futuro. Os dados associados ao seu URL podem ser excluídos completamente e seu URL pode começar a redirecionar para outro lugar. Apenas alguns exemplos, existem várias outras razões pelas quais você deve evitar se contentar com uma hospedagem barata que não é digna do seu negócio.
A segurança extra fornecida por um host de qualidade é atribuída automaticamente ao seu site se você pagar um pouco mais. Além disso, você pode melhorar o desempenho do seu site WordPress usando um bom serviço de hospedagem WordPress.
Criar um backup do site
Para começar, faça um backup do seu backup do WordPress antes de fazer qualquer modificação no seu site.
Existem vários plugins de backup do WordPress disponíveis que podem ser usados para atingir o mesmo objetivo.
Existem ambos gratuitos e pagos acessíveis. no entanto, apenas alguns dos sugeridos são gratuitos.
- UpdraftPlus
- BackWPup
Estou assumindo que você instalou e usou um dos plugins de backup do WordPress. Agora você está pronto para ir para a próxima etapa.
Eu recomendo que os backups sejam agendados assim que cada post for publicado. Depois de fazer qualquer modificação nas postagens ou no banco de dados do blog.
Crie senhas fortes
Você pode fazer muito para proteger seu site WordPress, mas poucas pessoas prestam atenção ao básico.
Criar senhas seguras é algo que você deve fazer para todos os seus sites de mídia social e contas de e-mail.
Da mesma forma, como os sites do WordPress são invadidos como todo o resto, é fundamental adotar as mesmas precauções para o seu site WordPress. Não importa mais o tamanho do seu blog. Todos despertam a curiosidade dos hackers. LOL!
Usar uma senha forte significava não usar nada que fosse pessoal para você. Quase tudo deve ser evitado, incluindo seu nome, data de nascimento, identificação do funcionário, nome da namorada e qualquer outra coisa que possa ser adivinhada.
Tempo leva para quebrar uma senha
Você está tendo problemas para ter ideias criativas de senhas? Para estabelecer uma senha segura, você sempre pode utilizar qualquer ferramenta geradora de senha online. Eu uso o gerador de senhas LastPass.
Alterar URL de login do WP
“yoursite.com/wp-admin” é a URL padrão para fazer login no WordPress.
Se você deixar como está, corre o risco de se tornar vítima de um ataque de força bruta destinado a quebrar sua combinação de nome de usuário/senha.
Você pode receber um grande número de registros de spam se permitir que os usuários se registrem para contas de assinatura. Altere o URL de login do administrador ou adicione uma pergunta de segurança à página de registro e login para evitar isso.
Você pode instalar um plugin como URL de login personalizado ou WPS Hide Login para alterar o URL de login do wp.
Alterar nome de usuário do WordPress
Ao criar um blog, você terá a opção de inserir um nome de usuário, que será usado para fazer login em seu blog ou site.
A maioria das pessoas o deixa como “ admin ” por padrão e esquece de alterá-lo depois.
Considere como seria simples para um hacker ruim prever isso. hahaha! Notei um sorriso em seu rosto.
Você precisa torná-lo único e impossível de adivinhar. Se você não tem certeza de como fazer isso, eu coloquei um tutorial simples sobre como alterar seu nome de usuário do WordPress.
Autenticação de dois fatores
Você já usou a autenticação de dois fatores para suas contas do Gmail antes? Se você conhece, provavelmente já deve ter percebido do que estou falando.
A autenticação de dois fatores é uma técnica simples para manter seu site WordPress protegido contra hackers.
Você receberá um OTP ao fazer login se conectar seu blog ao seu celular para autenticação de dois fatores. Você seria capaz de fazer login digitando esse número.
Isso leva a segurança a um novo nível e adiciona outra camada à mistura. Uma breve lição sobre a autenticação de dois fatores do WordPress pode ser encontrada aqui.
Proteja com senha o administrador e a página de login do WordPress
Geralmente, os hackers têm acesso irrestrito à sua pasta wp-admin e página de login. Isso lhes dá a oportunidade de testar suas habilidades de hackers ou lançar ataques DDoS.
No lado do servidor, você pode implementar mais proteção por senha, o que basicamente interromperá essas solicitações.
Siga nossos passos passo a passo para proteger seu WordPress wp-admin com uma senha.
Limitar tentativas de login
No WordPress, por padrão, os usuários podem tentar fazer login quantas vezes quiserem. Se você costuma esquecer quais letras são maiúsculas, isso pode ajudar, mas também abre espaço para ataques de força bruta.
Você pode limitar o número de tentativas de login até que os usuários sejam bloqueados temporariamente. Isso reduz suas chances de ser atacado por força bruta, já que o hacker é bloqueado antes que o ataque seja concluído.
Usando um plug-in de tentativas de limite de login do WordPress, você pode ativar facilmente esse recurso.
Usando Configurações > Tentativas de limite de login, você pode alterar o número de tentativas de login depois de instalar o plug-in.
Desconectar usuários inativos no WordPress
Os usuários que estão logados podem ocasionalmente se afastar de suas telas, representando um risco de segurança. Alguém pode assumir o controle de sua sessão, alterar suas senhas e modificar sua conta.
É por isso que muitos sites bancários e financeiros bloqueiam usuários ociosos automaticamente. Funcionalidade semelhante também pode ser implementada em seu site WordPress.
O plugin Inactive Logout deve ser instalado e ativado. Para definir as configurações do plug-in, clique em Configurações » Logout inativo após a ativação.
Defina o cronômetro e uma mensagem de logout e pronto. Não se esqueça de salvar suas alterações clicando no botão Salvar alterações.
Adicionar pergunta de segurança na tela de login do WordPress
Adicionar uma pergunta de segurança à tela de login do WordPress dificulta muito o acesso não autorizado.
A instalação do plugin WP Security Questions permitirá que você adicione perguntas de segurança. Para definir as configurações do plug-in, vá para Configurações » Perguntas de segurança após a ativação.
Veja nosso tutorial sobre como adicionar perguntas de segurança ao WordPress para obter mais informações.
Desabilitar a navegação no diretório
Outra etapa que um webmaster examina é esta. Quando se trata de segurança de sites, esse é um fato pouco conhecido.
No entanto, se a navegação do seu diretório raiz estiver ativada. Os arquivos como temas, plugins, imagens e muito mais podem ser acessados por um leitor, visitante ou hacker.
Veja como evitar a navegação em diretórios no WordPress usando o arquivo .htaccess.
Desativar edição de arquivo
No seu painel do WordPress, há uma ferramenta de edição de código que permite alterar seu tema e plugins enquanto você configura seu site.
Aparência>Editor é onde você o encontrará. Você também pode acessar o editor de plugins indo para Plugins>Editor.
Recomendamos que você desative essa funcionalidade quando seu site estiver online. Os hackers podem introduzir códigos sutis e prejudiciais em seu tema e plugin se obtiverem acesso ao seu painel de administração do WordPress.
A codificação geralmente é tão sutil que você não perceberá que algo está errado até que seja tarde demais.
Basta digitar o seguinte código em seu arquivo wp-config.php.
define('DISALLOW_FILE_EDIT', true);Este processo irá ajudá-lo a evitar a capacidade de alterar plugins e arquivos de tema do painel.
Desabilitar XML-RPC no WordPress
Desde o WordPress 3.5, o XML-RPC foi ativado por padrão para ajudá-lo a conectar seu site WordPress com aplicativos móveis e serviços da web.
Um ataque de força bruta pode ser significativamente amplificado pelo XML-RPC devido à sua natureza poderosa.
No passado, se um hacker quisesse experimentar 500 senhas diferentes em seu site, ele teria que fazer login 500 vezes. O plug-in de bloqueio de login capturaria e bloquearia essas tentativas.
No entanto, com XML-RPC, um hacker pode usar a função system.multicall para tentar milhares de senhas com apenas 20 ou 50 solicitações.
Portanto, se você não usar XML-RPC, deverá desativá-lo. Isso pode ser tratado por um firewall se você estiver usando o firewall de aplicativo da Web mencionado acima.
Ocultar arquivos wp-config.php e .htaccess
Embora ocultar os arquivos .htaccess e wp-config.php do seu site para evitar que hackers os acessem seja um método sofisticado para aumentar a segurança do seu site, é uma prática inteligente se você leva sua segurança a sério.
Recomendamos fortemente que desenvolvedores experientes adotem essa opção, pois é fundamental fazer um backup do seu site primeiro e continuar com cautela. Qualquer erro pode tornar seu site indisponível.
Depois de fazer um backup, há duas coisas que você precisa fazer para ocultar os arquivos:
Para começar, adicione o seguinte código ao seu arquivo wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>Você adicionará o seguinte código ao seu arquivo .htaccess de maneira semelhante.
<Files .htaccess> order allow,deny deny from all </Files>Embora o procedimento seja simples, você deve certificar-se de ter um backup caso algo dê errado.
Remover versão WP
Já discutimos as atualizações do WordPress. Agora também é lógico manter sua versão do WordPress escondida de hackers.
Estou curioso para saber como eles podem ver a versão do WordPress em que você está, já que você tem as credenciais de login.
Os hackers podem verificar facilmente a versão do WordPress olhando a página de origem. Tudo o que eles têm a fazer agora é
CTRL F – clique com o botão direito do mouse (na página da web) – Exibir fonte da página (Pesquisar versão). Ele se parecerá com a tag vista abaixo.
Habilitar um firewall de aplicativo da Web
Você provavelmente conhece o conceito de firewall, que é um programa que ajuda a proteger seu computador contra vários tipos de ataques maliciosos. Você quase certamente tem um firewall instalado no seu PC.
Um Web Application Firewall (WAF) é um tipo de firewall projetado especificamente para proteger sites. Servidores, sites específicos ou grandes grupos de sites podem ser protegidos.
Um firewall de aplicativo da web (WAF) em seu site WordPress atuará como um firewall entre seu site e o resto da Internet. Um firewall observa comportamentos suspeitos, detecta ataques, vírus e outras ocorrências indesejadas e bloqueia qualquer coisa que considere perigosa.
Instalar certificado SSL
SSL, ou Secure Sockets Layer, agora é amplamente usado para todos os tipos de sites. Inicialmente, o SSL era necessário para tornar um site seguro para processos específicos, como processamento de pagamentos. Hoje, no entanto, o Google percebeu sua importância e oferece aos sites habilitados para SSL uma classificação mais alta em seus resultados de pesquisa.
O SSL é necessário para qualquer site que lide com dados confidenciais, como senhas ou números de cartão de crédito. Todos os dados entre o navegador da Web do usuário e seu servidor da Web são transferidos em texto simples se você não tiver um certificado SSL.
Os hackers podem ler isso. O uso de um SSL criptografa informações importantes antes de serem enviadas entre o navegador e o servidor, dificultando a leitura e aumentando a segurança do site.
O preço médio do SSL para sites que aceitam informações confidenciais é de aproximadamente US$ 70 a US$ 199 por ano. Você não precisa pagar por um certificado SSL se não aceitar dados confidenciais. Quase todos os provedores de hospedagem fornecem um certificado SSL Let's Encrypt gratuito que você pode usar para proteger seu site.
Diga não aos temas nulos
Um tema WordPress premium parece mais profissional e oferece mais opções de personalização do que um tema gratuito. Independentemente disso, é difícil argumentar que você obtém o que paga com um tema gratuito.
Todos os temas premium são projetados por desenvolvedores altamente experientes e são testados antes de serem publicados. Se algo der errado com seu site, você poderá obter suporte total. Não há restrições para personalizar um tema. Além disso, a atualização de um tema é regular.
Existem alguns sites que também oferecem temas nulos ou quebrados. Temas nulos são versões de temas premium que foram hackeados e estão disponíveis ilegalmente. Isso pode colocar seu site em risco. Códigos maliciosos ocultos nesses temas podem destruir seu site e banco de dados ou roubar suas credenciais de login.
Embora seja possível economizar um pouco de dinheiro, é importante que qualquer proprietário de site evite usar esses temas WordPress nulos.
Atualização regular da versão do WordPress
A maneira mais eficaz de manter seu site WordPress seguro é mantê-lo atualizado. Algumas alterações geralmente são feitas a cada atualização, incluindo atualizações de segurança. Atualizar seu software regularmente pode impedir que você se torne um alvo de explorações e brechas que os hackers costumam aproveitar para obter acesso ao seu site.
As mesmas razões se aplicam à atualização de plugins e temas.
Atualizações menores são baixadas automaticamente pelo WordPress por padrão. As atualizações que exigem grandes alterações, no entanto, devem ser feitas diretamente através do painel de administração do WordPress.
Alterar prefixo da tabela de banco de dados
Você deve ter notado uma janela de diálogo solicitando um determinado prefixo para iniciar algo como wp_ durante a instalação do WordPress em seus servidores. É isso que implica. Este é o banco de dados do seu site WordPress. O nome da pasta é wp_.
Não é surpresa que tudo o que é comum possa ser deduzido pelos chamados hackers. Também é uma boa ideia modificar o prefixo de qualquer coisa que você criou. Qualquer coisa vai em mywpsite_, friendswp_ e assim por diante.
Eu posso simplesmente conseguir isso acessando o banco de dados do seu site. No entanto, se você não estiver familiarizado com todos os detalhes técnicos, os plugins estão sempre disponíveis.
Instale o melhor plug-in de segurança do WordPress
Existem vários plugins de segurança para WordPress, gratuitos e premium. E é uma ótima opção instalar um dos plugins para o seu site WordPress.
Neste guia, veremos como podemos criar um ambiente de segurança sólido em torno do nosso site WordPress por meio do Defender Pro criado pelo WPMU DEV.
Recursos de destaque do Defender Pro
As poderosas barreiras de segurança WordPress do Defender e tecnologias de camuflagem contra hackers, brute forcers e bots nocivos.
- Verificações de segurança regularmente
- Bloqueio de IP de geolocalização
- Mascaramento e proteção de logins
- Registro de Auditorias
- Autenticação usando dois fatores
- Monitoramento da lista de bloqueio
- Relatórios sobre vulnerabilidades
- Restaurando e reparando arquivos alterados
Instale o plugin Defender Pro WordPress
Depois de instalar o Defender Pro, você encontrará a opção categorizada disponível, que é fácil de entender mesmo para o iniciante.
Painel, recomendações, verificação de malware, registro de auditoria, firewall, WAF, ferramentas 2FA, configurações, tutoriais.
Depois de concluir a verificação, você verá uma tela como esta no painel do Defender Pro.
Quando o site encontra um problema de segurança, o plug-in fornece conselhos sobre como proceder com a solução. Isso é interessante.
O Defender Pro leva as coisas um passo adiante, fornecendo sugestões completas e acionáveis que são adaptadas ao site e abordam os riscos atuais e futuros.
O que destaca essas sugestões é que você pode ajustar a ação que executa.
Se você acidentalmente ativou “ atualizar chaves de segurança antigas ”, ainda poderá desativar ou alterar a frequência do lembrete. Isso mantém o site seguro e atualizado.
Conclusão – Segurança WordPress
Um método para proteger seu site WordPress pode levar algum tempo, mas valerá a pena no final. Em vez de acabar dizendo que meu site WordPress foi hackeado.
Eu mostrei a você os dois métodos para usuários de bricolage e também o de plug-in. De qualquer forma, você opta pela segurança de um site WordPress é crucial para qualquer usuário.
20% de desconto no WPMU Dev
Defender Pro é o plugin de segurança fantástico para proteger seu site WordPress. Você pode obter 20% de desconto no WPMU DEV na associação.