Segurança do WordPress – Dicas essenciais para todos os proprietários de sites

Você sabia que há mais de 90.978 ataques em sites WordPress a cada minuto? Felizmente, embora esse número pareça enorme, se você seguir as regras básicas de segurança, poderá impedir a maioria dos ataques em potencial e tornar seu site à prova de ataques.

Ou pelo menos torná-lo tão difícil de invadir que os hackers preferem atacar um dos milhares de mal protegidos. O que não é tão difícil de fazer, especialmente se você considerar que muitos ataques são executados depois que os scanners de vulnerabilidade automatizados encontram possíveis maneiras de entrar. Então, como disparar a segurança do seu site WordPress? Aqui estão as 6 dicas essenciais.

1. Mantenha sua instalação, temas e plugins do WP atualizados

Um acéfalo, mas frequentemente ignorado. De acordo com o WordPress.org , 1/3 de todos os sites WordPress não foram atualizados para a versão mais recente. Além disso, quase 2/3 de todos os hosts da web usam PHP anterior a 7.0. A instalação desatualizada do WordPress e as estruturas de servidor representam uma grande ameaça ao seu site e aumentam o risco de uma violação bem-sucedida, pois os hackers tentarão acessar seu site usando vulnerabilidades não corrigidas.

Na verdade, se você mantiver todos os seus temas, plugins e WordPress atualizados, você estará mais seguro do que 75% de todos os sites legítimos – já que estima-se que três em cada quatro sites contêm vulnerabilidades não corrigidas. Felizmente, obter as versões mais recentes de seus plugins, temas e WP em si é bastante simples – tudo o que você precisa é de alguns cliques em um botão.

Ao mesmo tempo, garantir que seu servidor esteja executando a versão mais recente do PHP pode ser um pouco mais demorado. É por isso que é melhor entrar em contato com o suporte de hospedagem e pedir que ele o aponte para um guia sobre como você mesmo pode atualizá-lo ou até mesmo pedir que atualizem para você.

2. Instale um verificador de malware e um firewall

Se você pensou que apenas o seu PC pode ser afetado por malware, vírus e ataques de força bruta, você não poderia estar mais errado. Não apenas o WordPress pode ser afetado, mas é, de fato, o CMS do site mais infectado , o que provavelmente tem muito a ver com sua popularidade.

A boa notícia é que existem muitos firewalls gratuitos e pagos e scanners de malware para WordPress. Um dos mais populares é o Wordfence Security , que oferece verificação de malware e firewall, e vem em versões gratuitas e pagas.

3. Obtenha um VPS e transforme-o em uma fortaleza

Comparado a uma hospedagem compartilhada, um VPS permite controlar todos os aspectos de sua configuração. Graças a isso, você pode não apenas tornar seu site mais rápido, mas também garantir que seu ambiente de hospedagem – o servidor – esteja devidamente protegido.

Em um VPS não gerenciado, cabe a você escolher o SO (por exemplo, o CentOS é considerado mais seguro em relação ao Ubuntu), o firewall e outros softwares que você instala, como scanners de malware (que você deve instalar tanto no WordPress quanto no próprio servidor).

Além disso, ao instalar seu WordPress em um VPS onde você tem acesso root, é fácil alterar coisas como senhas do MySQL ou renomear pastas do WordPress e reconfigurar seus arquivos para reduzir a chance de um possível ataque. Embora parte disso também possa ser feito usando plugins de segurança

Naturalmente, para colher todos os benefícios de um servidor virtual privado (velocidade, flexibilidade e escalabilidade, para citar alguns), você deve alugar um servidor de uma empresa que ofereça diferentes pacotes de preços que sejam fáceis de atualizar caso você precise de mais recursos. Você pode ver um ótimo exemplo de tal oferta aqui .

4. Oculte /wp-admin e sua instalação do WordPress

Por que dizer ao mundo que você está rodando no WordPress em primeiro lugar? Embora seja um ótimo sistema de gerenciamento de conteúdo, você não precisa necessariamente se gabar de executá-lo. Especialmente porque fornece ao intruso em potencial informações valiosas. Por exemplo, a menos que você oculte o WordPress, sites como What WordPress Theme is That? divulgue informações não apenas sobre o tema que você usa, mas também sobre alguns dos plugins. É como dizer ao hacker ei, é assim que você pode entrar:

Então, como você oculta as informações do seu site WP dos olhos curiosos de possíveis intrusos? Felizmente, você não precisa de nenhuma habilidade técnica. Onde há demanda, existem plugins do WordPress, que você pode usar para fazer isso – o mais popular é Hide My WP by the wave, que pode ocultar sua página de login e tornar os detalhes do seu site WordPress invisíveis (infelizmente, há nenhuma versão gratuita).

Como alternativa, você pode obter a versão gratuita do iThemes Security , que não oferece tantas opções de ocultação (embora permita ocultar a página de login), mas vem com muitas outras vantagens de segurança.

5. Altere seu nome de usuário WP e mantenha-o oculto

Assim como você não deve usar a palavra senha como sua senha real, deixar o nome de usuário padrão do WordPress como administrador pode ter consequências terríveis. No final, é provavelmente a primeira coisa que qualquer intruso em potencial tentaria adivinhar, então, ao usá-lo, você torna incrivelmente fácil para eles descobrirem os detalhes da sua conta de administrador.

Como mudá-lo? Existem duas maneiras pelas quais você pode fazer isso. Você pode procurar um plugin que possa fazer isso por você ou seguir o caminho manual. Pessoalmente, prefiro o último – pois é rápido e fácil, e qualquer um pode fazer isso. Mas, como o WordPress não oferece uma opção pronta para alterá-lo, você precisa usar uma pequena solução alternativa. Primeiro, faça login no seu site e vá para Usuários > Adicionar Novo.

Uma vez lá, insira o nome de usuário de sua nova conta de administrador e certifique-se de definir a função de usuário como Administrador. Feito isso, clique em Mostrar senha e altere ou copie a senha padrão (segura).

Depois que o usuário for criado, saia do site e faça login usando o novo usuário. Vá para Usuários > Todos os usuários e remova a antiga conta de administrador do WordPress. Mas isso não é tudo. Você precisa de uma conta para publicar seus posts, certo? Em vez de publicá-los usando um administrador que, devido aos permalinks, torna seu nome de usuário fácil de adivinhar (a menos que você brinque com eles), vá em frente e crie uma conta separada. Desta vez, em vez de definir sua função como administrador, defina-a como uma que não tenha recursos de administrador (como autor ou editor).

Uma vez feito, vá em frente e defina o autor de todas as postagens existentes para o novo usuário (você pode fazer isso em Todas as postagens> Edição rápida em cada artigo).

6. Proteja as contas de usuário existentes do WordPress

Você trabalha com assistentes virtuais ou tem funcionários que podem acessar seu site WordPress? Nesse caso, é melhor não dar acesso a todos os plugins e dados. No final, eles provavelmente não precisam configurar todos os plugins do seu site. E, a menos que eles sejam um desenvolvedor confiável, eles definitivamente não devem ter acesso ao editor de temas. Como restringir seu acesso? Uma das maneiras é criar suas contas e definir seus papéis para um dos padrões do colaborador, autor ou editor.

Mas e se você quiser bloqueá-los de mais do que essas funções restringem, dando-lhes acesso a partes do site que as configurações padrão não fornecem? Nesse caso, você pode usar um plugin gratuito como o User Role Editor , que permite criar novos papéis e definir quais elementos do site podem ser acessados ​​por eles.

7. Monitore a atividade por meio do registro de auditoria

E se você não puder apenas restringir seus usuários de acessar a maioria dos elementos vulneráveis ​​em seu site, mas quiser pelo menos saber quem mudou ou editou o quê, caso algo dê errado? Para obter uma visão geral na forma de um log de auditoria abrangente, você pode instalar o WP Security Audit Log . Sua versão gratuita é mais do que suficiente para fornecer uma visão geral conveniente da atividade de seus funcionários e VAs:

8. Torne o login mais seguro usando o Google Authenticator

Falando em usuários, há mais uma coisa que você pode fazer para tornar seu site ainda mais seguro. Imagine ter suas credenciais do WordPress (ou de seus funcionários) roubadas. Nesse caso, dependendo da função de usuário do seu funcionário, um invasor pode ter acesso a todo o site do WP. Para evitar que isso aconteça, considere adicionar uma autenticação de dois fatores no login. A maneira mais fácil de fazer isso é o plug-in Google Authenticator . Feito isso, mesmo que alguém obtenha seu nome de usuário e senha, não poderá fazer login sem o código fornecido pelo aplicativo Google Authenticator.

Como você pode ver, embora o WordPress seja considerado o sistema de gerenciamento de conteúdo mais vulnerável de todos os populares, não é tão difícil minimizar ou até mesmo se livrar completamente dos riscos mais comuns e proteger os elementos mais ameaçados em seu site.

Se você seguir as dicas acima, fique cauteloso ao dar acesso ao seu site para outras pessoas, e mantenha os elementos do seu site atualizados, seu site, e com ele, seu negócio estará a salvo de qualquer potencial intruso. Sem mencionar o quanto você pode economizar apenas evitou a violação de segurança.