Como proteger o WordPress com o Wordfence Security

Gerenciar um site WordPress significa passar por diferentes emoções. Às vezes, há alegria, como quando você vê seu conteúdo sendo classificado lentamente no Google.

Às vezes, há raiva, quando seu site trava após uma atualização. E às vezes, você até sente medo . É quando seu site foi hackeado, um inconveniente que não acontece apenas com outras pessoas.

Para evitar suores frios no futuro e proteger seu site, use um plug-in de segurança.

O mais famoso no diretório oficial é chamado Wordfence Security . Como é difícil de ignorar, nós testamos para você descobrir o que ele tem na manga.

No final deste artigo, você saberá como configurá-lo e usá-lo.

Seus melhores projetos WordPress precisam do melhor host!

WPMarmite recomenda Bluehost: ótimo desempenho, ótimo suporte. Tudo o que você precisa para um ótimo começo.

Experimente Bluehost

O que é o Wordfence Security?

Wordfence Security é um plugin para fortalecer a segurança do seu site WordPress. Ele oferece vários recursos para proteger sua instalação, incluindo um firewall de aplicativo, um scanner de malware, autenticação de dois fatores e proteção contra ataques de força bruta.

Com mais de 4 milhões de instalações ativas, é o plug-in de segurança mais popular no diretório oficial de plug-ins, à frente do iThemes Security (mais de 1 milhão de instalações ativas), All in One Security (mais de 1 milhão de instalações ativas) e Sucuri 800 mil ou mais instalações ativas).

O plug-in Wordfence Security, também chamado de “Wordfence Free”, é gratuito. No entanto, o Wordfence também oferece várias opções pagas:

• Wordfence Premium : uma versão ainda mais completa que o plugin gratuito, com suporte incluso.
• Wordfence Care : a equipe de ferramentas de segurança instala o Wordfence, configura-o, otimiza-o e monitora seu site para você. Em caso de problemas relacionados à segurança, uma equipe dedicada intervém.
• Wordfence Response , um serviço dedicado a sites WordPress onde o tempo de inatividade tem um impacto financeiro. Este serviço destina-se principalmente a grandes sites com muito tráfego e a lojas de comércio eletrónico.
• Wordfence Intelligence : principalmente dedicado a hosts da web que desejam coletar dados sobre segurança em geral.

Observe que a equipe do WordFence também oferece dois outros plugins gratuitos no diretório oficial. O Wordfence Assistant é um plug-in que será útil se o Wordfence estiver ativo em seu site, mas você não puder mais acessar seu painel. O Wordfence Login Security contém alguns recursos já incluídos no plug-in gratuito: autenticação de dois fatores, proteção XML-RPC e CAPTCHA na página de login. Não há necessidade de ativá-lo se você já estiver usando o Wordfence Security.

Quais são os principais recursos do Wordfence Security?

O Wordfence Security é uma solução de segurança abrangente que funciona em vários níveis. Para aproveitá-lo, o usuário se beneficia de várias opções principais:

• Um firewall de aplicação web (WAF) que identifica e bloqueia o tráfego malicioso de seu servidor web (e não na nuvem, como oferecido por seu concorrente Sucuri, por exemplo)
• Um scanner de malware que bloqueia solicitações que incluem código ou conteúdo malicioso
• Proteção contra ataques de força bruta limitando o número de tentativas de conexão à sua página de login de administração
• Autenticação de dois fatores , para adicionar uma camada extra de segurança para fazer login no seu site WordPress
• reCAPTCHA em suas páginas de login para evitar que bots façam login e para limitar o spam
• Alertas por e-mail quando um problema de segurança é detectado
• Uma plataforma chamada Wordfence Central para gerenciar a segurança de vários sites em um só lugar. Ele funciona com o mesmo princípio do ManageWP, que permite que você mantenha seus sites WordPress.

Por que você deve usar um plugin de segurança como o WordFence?

Como você já deve saber, o WordPress é o CMS (Content Management System) mais utilizado no planeta, com 63,7% de participação no mercado.

Além disso, ele alimenta quase um em cada dois sites em todo o mundo (entre os milhões de sites que recebem mais tráfego).

Essa posição dominante aguça o apetite dos hackers humanos e, principalmente, dos bots maliciosos que funcionam automaticamente, como:

• bots de spam
• Robôs que raspam (extraem) seu conteúdo
• Bots que lançam ataques de negação de serviço (DoS) ou negação de serviço distribuída (DDoS).

No total, 90% dos ataques perpetrados contra um CMS afetam o WordPress. E 2.800 ataques por segundo visam especificamente as instalações do WordPress, em todo o mundo!

Fique tranquilo: felizmente, o WordPress não é uma peneira. De acordo com um relatório publicado em 2021 pelo especialista em segurança Patchstack, apenas 0,58% das falhas de segurança vêm do WordPress Core .

O principal culpado são seus plugins, que sozinhos respondem por 92,81% das vulnerabilidades (em comparação com 6,61% dos temas).

Algumas das descobertas do estudo do Patchstack falam por si e exigem levar a questão da segurança muito a sério:

• Em média, 42% dos sites WordPress têm pelo menos um componente vulnerável (plugin ou tema) instalado
• Vulnerabilidades aumentaram 150% entre 2020 e 2021
• 29% dos plugins WordPress contendo vulnerabilidades críticas não foram corrigidos

Então, você entende o que quero dizer: é imperativo que seu site WordPress seja protegido para fortalecer sua segurança.

Para isso, um plugin como o Wordfence pode fazer o trabalho. Eu vou te mostrar como instalá-lo abaixo.

Como instalar o Wordfence em três etapas

Etapa 1: Ative o plug-in no painel do WordPress

O primeiro passo é instalar o plug-in na interface de administração do WordPress.

Vá para o menu Plugins > Adicionar novo e digite “Wordfence” na barra de pesquisa:

Clique no botão “Instalar agora” ao lado de “Wordfence Security – Firewall & Malware Scan” e ative o plug-in.

Etapa 2: obtenha uma chave de licença do Wordfence

Depois que o plug-in for ativado, uma janela será exibida solicitando que você obtenha uma licença do Wordfence. Este é um pré-requisito necessário para aproveitar todas as opções do plugin gratuito .

Clique no botão “Obter sua licença do Wordfence”:

Você será redirecionado para a página de preços do Wordfence no site oficial. Clique no botão “Obter uma licença gratuita” para obter uma chave para a versão gratuita do plug-in:

Uma nova janela se abre em sua tela. O Wordfence pergunta se você tem certeza de que deseja usar sua versão gratuita e explica a principal vantagem de sua versão premium: assim que a equipe do plug-in implanta uma medida de proteção em seu firewall ou scanner de malware, ele é atualizado em tempo real no versão premium (em comparação com 30 dias depois na versão gratuita).

Como eu só quero usar o plug-in gratuito, cliquei em “Estou bem, esperando 30 dias para proteção contra novas ameaças”:

Na próxima janela, digite seu endereço de e-mail, marque as caixas e clique em “Registrar”:

Passo 3: Instale sua licença no WordPress

Agora vá para sua caixa de entrada de e-mail. Você deve ter recebido um e-mail do Wordfence.

Dentro, você encontrará sua chave de licença para ativá-la manualmente. Para se mover ainda mais rápido, o Wordfence também se oferece para ativá-lo automaticamente para você . Para fazer isso, clique no botão “Instalar minha licença automaticamente”:

Você será redirecionado para o painel do WordPress, com os campos “Email” e “Chave de licença” já preenchidos. Finalize clicando em “Instalar licença”:

Muito bem: o plug-in está instalado e funcionando. Na barra lateral esquerda, em sua interface de administração, agora você tem um novo menu chamado “Wordfence”, contendo todas as configurações oferecidas pelo plugin:

Vamos dar uma olhada neles agora, apenas para ver o que está sob o capô do plug-in.

Como configurar o plug-in Wordfence Security

Como funciona o painel de segurança do Wordfence?

O núcleo do plug-in é seu painel.

Oferece atalhos rápidos para acessar as diferentes opções oferecidas pelo plugin , que você também pode encontrar no menu localizado na barra lateral esquerda.

Com um clique, você pode aproveitar:

• O firewall do aplicativo
• O scanner de malware
• Wordfence Central. Para usufruir deste serviço, que permite atualizar a segurança de seus sites a partir do mesmo painel, você deve criar uma conta gratuita. Isso pode ser útil se você precisar gerenciar a segurança de vários sites ao mesmo tempo. Para uso individual, pule.
• Opções gerais para configurar seus alertas de e-mail, firewall e configurações do scanner
• Acesso à documentação do plugin
• Um registro de notificação
• Um resumo dos ataques bloqueados em seu site WordPress
• Um gráfico mostrando o número total de ataques bloqueados em toda a rede Wordfence

O painel é claro e compreensível; é fácil encontrar o caminho através das diferentes opções.

Como usar o firewall do aplicativo

Proteção contra múltiplos ataques

Uma das principais características do Wordfence é seu firewall de aplicativo.

Ele pode identificar tráfego malicioso e bloquear hackers e outros bots maliciosos antes que eles possam acessar seu site.

O firewall é acessível através de Wordfence > Firewall . Ele protege seu site contra os seguintes ataques:

• Injeções de SQL , ou seja, ataques ao seu banco de dados
• Cross-site scripting (XSS): código malicioso é injetado no conteúdo de suas páginas
• Downloads de arquivos maliciosos
• Ataques de travessia de diretório
• Vulnerabilidades de inclusão de arquivo local (LFI), nas quais arquivos remotos são adicionados ao seu servidor da web

Por padrão, o firewall fica no modo de aprendizado por uma semana, a partir do momento em que você instala o plug-in.

“Isso permite que o Wordfence conheça seu site para entender como protegê-lo e como permitir que visitantes normais passem pelo firewall”, diz Wordfence. “ Recomendamos que você deixe o Wordfence no modo de aprendizado por uma semana antes de ativar o firewall.”

Se você deseja substituir essas recomendações, clique em “Ativado e protegendo” no menu suspenso abaixo:

Conforme mencionado anteriormente, apenas a versão premium do plug-in recebe uma atualização de firewall em tempo real sempre que uma nova ameaça é detectada pela equipe do Wordfence (globalmente, não necessariamente um ataque destinado a atingir seu site). A versão gratuita do firewall é atualizada 30 dias após a detecção da ameaça.

Junte-se aos assinantes do WPMarmite

Obtenha as últimas postagens do WPMarmite (e também recursos exclusivos).

INSCREVA-SE AGORA

Como funciona o firewall Wordfence Security

Por padrão, o plug-in definiu configurações básicas para fortalecer a segurança do seu site. Mas você ainda pode personalizar configurações um pouco mais técnicas aproveitando as opções adicionais:

Entre eles estão:

• Lista de permissões de determinados endereços IP
• Inserção de endereços IP a serem ignorados pelo firewall
• Configurando a proteção contra ataques de força bruta . Por exemplo, você pode especificar quantas tentativas de login com falha são necessárias para impedir o acesso à sua página de login (e por quanto tempo).
  Isso economiza o uso de um plug-in adicional como Limit Login Attempts Reloaded.
  

Quando o firewall está funcionando corretamente, os círculos mostram seu nível de proteção (em porcentagem). Quando o círculo estiver cinza, o firewall está no modo de aprendizagem.

O objetivo é atingir uma pontuação de 100% (cor verde). Você pode conseguir isso seguindo as recomendações fornecidas, passando o mouse sobre cada círculo:

No entanto, uma pontuação de 100% nem sempre será alcançável com a versão gratuita do plug-in.

Para conseguir isso, você terá que usar opções premium, como bloqueio em tempo real de endereços IP.

A guia Bloqueio do firewall do aplicativo

Além das regras de firewall que protegem contra vários ataques, o Wordfence também possui recursos personalizados para bloqueio adicional. Estes podem ser acessados ​​através da aba “Bloqueio”:

Você pode criar regras de bloqueio com base em:

• endereço de IP
• Uma área geográfica
• Um conjunto de critérios (padrão personalizado), como uma rede de endereços IP ou navegadores da web

Para mais informações sobre isso, assista a este vídeo:

Como usar o scanner de malware

Vamos passar para o scanner oferecido pelo plugin, acessível via Wordfence > Scan .

A ferramenta de verificação verifica seu site (arquivos principais, temas e plug-ins) em busca do seguinte: malware, URLs ruins, backdoors, acesso remoto ao seu site, spam de SEO, redirecionamentos maliciosos e outras injeções de código.

Durante a verificação, o plug-in “compara seus arquivos principais, temas e plug-ins com o que está no diretório WordPress.org”, detalha o Wordfence Security. “Ele verifica sua integridade e notifica você sobre qualquer alteração.”

Inicialmente, a verificação se concentra em verificações de spam e endereços IP na lista negra (somente para a versão premium). Em seguida, ele examina os arquivos do seu site e fornece os resultados.

No meu caso, o plugin me avisa que estou usando um login de administrador muito inseguro (“admin”). Posso resolver esse problema clicando em “Editar” ou simplesmente ignorá-lo:

Quanto ao firewall, os círculos me mostram os elementos a serem otimizados para atingir uma pontuação de 100%.

Ao clicar em “Opções e agendamento de digitalização”, também é possível editar configurações mais específicas.

Para otimizar o desempenho, você pode, por exemplo:

• Escolha executar o scanner de forma limitada , para economizar largura de banda (lembre-se de que o Wordfence é executado em seu servidor da Web, portanto, usa recursos)
• Limite manualmente o número de itens a serem verificados

Como ativar a autenticação de dois fatores

Após o firewall e o scanner do site, o WordFence Security sugere que seus usuários habilitem a autenticação de dois fatores (Wordfence 2FA).

A autenticação de dois fatores adiciona uma medida de segurança adicional para fazer login no seu site WordPress .

Depois de inserir seu nome de usuário e senha, você será solicitado a usar um dispositivo, geralmente seu smartphone ou tablet, para validar o processo de login.

Este é um método já utilizado pelas instituições bancárias quando efetua pagamentos online. É muito eficaz em protegê-lo contra ataques de força bruta.

Para usá-lo, vá para o menu Wordfence > Login Security . Em resumo, você precisa:

• Instale um aplicativo em seu smartphone para se autenticar , como Google Authenticator, Sophos Mobile Security ou FreeOTP Authenticator.
• Digitalize o código QR oferecido pelo Wordfence no aplicativo de autenticação escolhido (1).
• Digite o código de 6 dígitos exibido após a verificação do código QR para autorizar a conexão entre seu site WordPress e o aplicativo (2).

Se você quiser ver esse processo de ativação visualmente, confira este recurso:

A autenticação de dois fatores pode ser configurada para todas as funções de usuário, do administrador ao assinante, por meio da guia Configurações:

Ainda na aba “Configurações” do menu “Segurança de Login”, você também pode habilitar o Google reCAPTCHA versão 3, para proteção contra spam na página de login do administrador. Para funcionar, este serviço requer uma chave de licença gratuita do Google.

Outras ferramentas oferecidas pelo Wordfence Security

O tour do proprietário do WordFence Security está bem avançado. Para finalizar, vamos nos aprofundar nos dois últimos menus oferecidos pelo plugin de segurança do WordPress.

O menu Ferramentas

O menu Ferramentas consiste em quatro guias:

• “Live Traffic” mostra o que está acontecendo em seu site em tempo real, incluindo logins de usuários, tentativas de hacking e solicitações que foram bloqueadas pelo firewall Wordfence. Um código de cores (verde, cinza, amarelo e vermelho) informa quem está tentando acessar seu site (humanos ou bots) e o status (aviso ou bloqueio):

• “Whois Lookup” para saber quem é o proprietário de um endereço IP ou nome de domínio que visita seu site ou se envolve em atividades maliciosas em suas páginas
• “Opções de importação/exportação” para exportar ou importar suas opções do Wordfence para outro site WordPress
• “Diagnóstico” fornece informações que podem ser usadas para resolver conflitos, problemas de configuração ou compatibilidade com outros plugins, temas ou ambiente do servidor.

O menu Todas as opções

O menu “Todas as opções” contém todas as opções que estão espalhadas em outros menus (como firewall, scanner ou opções de conexão) na mesma página.

A vantagem é que você encontra tudo no mesmo lugar . Não vou entrar em todas as opções, pois você já viu as principais.

No entanto, é interessante notar que é aqui que você pode definir suas preferências de alerta de e-mail. Tem uma dezena de checkboxes que lhe permitem, por exemplo, ser alertado (ou não):

• Quando um endereço IP é bloqueado
• Quando uma pessoa é banida da sua página de login
• Quando um número significativo de ataques é detectado em seu site WordPress

É isso para este tour completo dos recursos de segurança do Wordfence. Agora vamos dar uma olhada mais de perto no preço dessa ferramenta.

Quanto custa o Wordfence?

O Wordfence Security está inicialmente disponível gratuitamente no diretório oficial do WordPress. Claro que, como qualquer versão gratuita, não inclui todas as opções oferecidas na versão paga do plugin.

O Wordfence Premium custa US$ 119/ano. Além do suporte prioritário, a principal diferença em relação à oferta gratuita é a frequência de atualização das ferramentas oferecidas pelo Wordfence .

Com premium, assim que os servidores do Wordfence detectarem ameaças em tempo real, eles atualizarão suas regras de firewall, detecção de malware e lista de bloqueio de IP em um piscar de olhos.

Com o plug-in gratuito, você deve aguardar 30 dias após a ativação para se beneficiar das atualizações.

Além disso, o Wordfence também oferece duas licenças nas quais uma equipe dedicada instalará, configurará e gerenciará o Wordfence para você:

• Wordfence Care : $ 490 / ano
• Resposta Wordfence: $ 950 / ano. Esta licença oferece acesso às mesmas opções do Wordfence Care, mas você também tem um tempo de resposta garantido de no máximo uma hora e as respostas estão disponíveis sete dias por semana.

Estas duas últimas ofertas são principalmente para sites grandes e pessoas que não têm tempo para cuidar da segurança de seu site (e que têm orçamento para delegar essa tarefa).

Para o seu site ou blog pessoal, o plug-in gratuito ou premium do Wordfence será suficiente.

Nossa opinião final sobre o plugin Wordfence

Para concluir, vamos recapitular o que vimos desde o início deste artigo, com um resumo dos pontos fortes e fracos deste plugin de segurança.

Vantagens do plug-in Wordfence Security

• A interface agradável e clara, que facilita o aprendizado
• Ele aplica automaticamente as configurações básicas de segurança para você
• Os muitos recursos oferecidos na versão gratuita, incluindo um firewall de aplicativo
• Autenticação de dois fatores
• O scanner de segurança
• Alertas de e-mail para que você saiba quando há um problema

Desvantagens do plug-in

• Algumas configurações são muito complexas para um iniciante, mas esse também é o caso de outros plugins de segurança
• O fato de que as atualizações mais recentes das ameaças detectadas são aplicadas apenas 30 dias após serem lançadas
• O uso do Wordfence pode causar lentidão em suas páginas porque consome muitos recursos do servidor. Se o seu host não acompanhar, o desempenho do seu site poderá ser afetado.

Você deve usá-lo?

No geral, o Wordfence é um plugin de segurança muito bom . Como a maioria de suas opções funciona automaticamente, é adequado para iniciantes.

Usuários mais avançados apreciarão poder editar configurações mais técnicas e avançadas.

Graças ao plug-in gratuito, você terá um escudo valioso para bloquear a maioria dos ataques maliciosos, especialmente por meio do firewall do aplicativo. Este último já será eficaz em fornecer um primeiro nível de segurança para o seu site.

Isso é importante notar porque outros plugins concorrentes (por exemplo, Sucuri) não oferecem um firewall em sua versão gratuita. No entanto, é uma proteção básica para qualquer site.

E se você também quiser se proteger das ameaças mais recentes detectadas pela equipe do Wordfence (é sempre melhor), mude para o pacote premium se seu orçamento permitir.

Finalmente, não se esqueça que usar um plugin de segurança não é tudo. Em primeiro lugar, porque nenhum site é infalível. Em segundo lugar, porque você precisa aplicar boas práticas no dia a dia. Por exemplo, lembre-se de atualizar e fazer backup de seu site regularmente.

Então, o que você acha do Wordfence? Me dê sua opinião nos comentários.