Segurança do WordPress: melhore a segurança do seu site com estas etapas

Publicados: 2018-05-23

Na web, o maior número de sites está rodando na plataforma WordPress. Isso significa que o WordPress está dominando a web. Ele chama a atenção de elementos maliciosos na web. Portanto, o Google proíbe quase 20 mil sites por malware e 50 mil sites por phishing a cada ano.

Nesse cenário sombrio, a segurança do site se torna vital. Os incidentes de ataques registrados são os mais altos na plataforma WordPress devido ao maior número de sites executados com código WordPress. Portanto, hoje gostaria de destacar algumas etapas acionáveis ​​que ajudariam você a proteger seu site WordPress.

Protegendo a entrada de usuários do seu site WordPress

Na vida real, quando queremos proteger uma premissa como casa, escritório ou fábrica, primeiro examinamos os pontos de acesso onde elementos maliciosos ou maliciosos podem tentar obter uma entrada. A mesma estratégia precisa ser aplicada para proteger seu site WordPress.

Agora, vamos avaliar os possíveis pontos de entrada por meio de hackers ou usuários mal intencionados que podem ter acesso ao seu backend ou ao código-fonte. Por padrão, o URL de acesso de back-end do WordPress termina com:

/wp-login.php ou /wp-admin/

Portanto, você precisa tomar as medidas apropriadas para bloquear a entrada de usuários indesejados na sua página de back-end do WordPress.

Alterar URL de login

Se você é um desenvolvedor do WordPress, já sabe como alterar o URL padrão do back-end do site, mas para usuários avançados ou usuários do tipo DIY, um plug-in ou extensão de segurança avançada pode capacitá-lo a fazê-lo. Assim, você pode mudar

  • /wp-login.php para /Your-Domain-Name-login.php
  • /wp-admin/ou /Your-Domain-Name-admin/
  • /wp-login.php?action=register ou /Your-Domain-Name-registration

Assim, esse tipo de URL personalizado pode ajudá-lo a se proteger muito dos ataques de força bruta.

Mudar nome de usuário

Por padrão, a maioria dos desenvolvedores do WordPress define a palavra-chave 'Admin/admin' como nome de usuário. Isso facilita o trabalho de hackers e usuários indesejados de acessar o back-end do seu site WordPress e eles precisam empregar seu Guess Work Database (GWDb) apenas para adivinhar a senha.

Se você alterar seu nome de usuário padrão para algo imprevisível, como seu endereço de e-mail, poderá reduzir a ameaça de invasores e seus softwares.

Alterar a senha

There are many ways to protect the password.

Assim como o nome de usuário, a senha está sempre ameaçada. Há muitas maneiras de proteger as atividades de adivinhação de senha. Por exemplo, usando uma senha altamente complexa com uma combinação de letras minúsculas, maiúsculas, números e símbolos.

No entanto, as tendências recentes de autenticação de dois fatores são uma maneira excelente e sólida de proteger o acesso ao seu back-end para todos os níveis de usuários. Celulares/smartphones são dispositivos úteis para acessar OTP (One-Time Password) para autenticar o sistema 2FA.

Configuração de bloqueio e proibição

Para evitar tentativas de força bruta e implementar o bloqueio ou proibição desses endereços IP, existem muitos plugins e softwares disponíveis para reconhecer tentativas repetidas de login ou registro. Os plug-ins permitem que você defina várias tentativas com falha e forneça outros recursos para impedir que o back-end do seu site tenha acesso não autorizado.

Protegendo o painel de administração do seu site WordPress

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

Para usuários de back-end do WordPress, o painel é a parte mais envolvente e mais usada do back-end. Ele fornece todas as ferramentas e opções para gerenciar todo o site, desde o uso padrão até a personalização. Se alguém hackear o painel com sucesso, será a maior vitória para os hackers e a mais prejudicial para os proprietários do site.

Portanto, devemos tomar medidas especiais para o painel de administração do WordPress . A seguir, são possíveis medidas que podemos levar em consideração a partir de agora.

Cuide do diretório 'wp-admin'

Tudo é colocado em um diretório wp-admin que permite gerenciar todos os sites, incluindo recursos e arquivos. Portanto, impedir o acesso não autorizado ao diretório significa eliminar a maioria dos piores desde o início.

Existem alguns plugins desenvolvidos pela comunidade WordPress para tornar o diretório protegido por senha. Assim, os usuários administradores do WordPress precisam usar duas senhas diferentes para acessar o painel. Um para a página de login enquanto outro para o painel. Esses plugins geram automaticamente o arquivo [.htpasswd], depois criptografam a senha e configuram as permissões do arquivo.

Adicionar usuários administradores com bastante cuidado

Além do superadministrador que tem todos os privilégios do backend, outros usuários também têm acesso ao backend com diferentes níveis de acesso aos recursos e funções do backend. O acesso baseado em função ao back-end é possível e você pode conceder a eles nomes de usuário diferentes, bem como senhas que você considera mais seguras.

Monitorar arquivos importantes no diretório de administração

Você pode usar alguns plugins para monitorar atividades suspeitas para todos os usuários administradores para medir em tempo real sempre que ameaças de segurança forem detectadas.

Criptografar dados

Security Socket Certificate (SSL)

Se você implementou o Security Socket Certificate (SSL) que usa a mais recente tecnologia de criptografia para proteger seus dados armazenados e trocados, você pode evitar que algo aconteça de errado no meio e proteger todas as áreas de administração do WP, bem como o site.

Protegendo o banco de dados do seu site WordPress

A plataforma WordPress depende muito do banco de dados porque todos os ativos do site são armazenados em bancos de dados em formatos principalmente tabulares em tipos de bancos de dados SQL, sejam textos, imagens, código de layout, conteúdo multimídia e qualquer coisa em um site WordPress tem um lugar no banco de dados.

Para proteger bancos de dados de SQL Injections e outros ataques cibernéticos, você pode proteger seu banco de dados com as seguintes medidas.

Definir senha para banco de dados

Você pode definir uma senha forte para seu banco de dados e restringir o acesso ao banco de dados até a função de superadministrador para que a adulteração do banco de dados ou as possibilidades de erros possam ser minimizadas.

Alterar prefixo WP

Se você for instalar um site WordPress, poderá encontrar uma configuração para uma tabela de banco de dados e é o prefixo da tabela WP. Por padrão, é wp- e você precisa alterá-lo para evitar injeções de SQL, como ataques de banco de dados. Você pode alterá-lo de wp- para Your-Domain-Name como um prefixo personalizado.

Faça backup regular do banco de dados

Você pode ter o backup regular de todo o site ou não, mas organizar o backup do banco de dados pode salvá-lo da perda de dados devido a vários motivos conhecidos e desconhecidos. Hoje temos plugins de backup com privilégios especiais para fazer backup de banco de dados com frequência diferente .

Protegendo a hospedagem do seu site WordPress

Hoje, hospedar um site é fundamental para seu sucesso, porque os mecanismos de pesquisa exigem uma hospedagem ideal para SEO para atender aos seus requisitos de classificação. Da mesma forma, os usuários do site, incluindo usuários de back-end e usuários de front-end, otimização de desempenho, otimização de conversão e experiências do usuário dependem muito do ambiente de hospedagem e da qualidade da hospedagem como um todo.

Hoje, temos várias opções de hospedagem além dos serviços padrão de hospedagem da comunidade WordPress, como hospedagem compartilhada, hospedagem VPS, hospedagem dedicada e, mais importante, serviços de hospedagem baseados em nuvem, como Kinsta , para diferentes escalas e tamanhos de sites.

Arquivo wp-config.php seguro

Secure wp-config.php File.

O acesso ao arquivo wp-config.php do WordPress é uma conquista crítica para os hackers realizarem suas más intenções facilmente, pois contém informações altamente críticas sobre toda a instalação do WordPress.

A melhor maneira é mover o arquivo para um nível mais alto do que o diretório raiz. Você pode fazer isso facilmente porque o WordPress pode vê-lo mesmo se estiver localizado fora do diretório raiz do WordPress. Assim, o servidor pode encontrá-lo facilmente em um nível superior.

Banir edição de arquivo

Em um servidor de hospedagem, a fonte do seu site possui vários arquivos com informações críticas e permissões para rodar seu site sem problemas. Se hackers ou elementos maliciosos invadirem o servidor e acessarem esses arquivos, eles podem causar danos de diferentes intensidades.

Se você não permitir a edição de arquivos para qualquer pessoa, exceto o superadministrador, poderá economizar facilmente com essas perdas. Você pode fazer isso simplesmente adicionando uma linha de código no final do arquivo wp-config.

Tenha cuidado ao definir permissões de diretório

Diretórios, subdiretórios e arquivos em seu servidor de hospedagem são aspectos importantes de segurança do WordPress. Se você definir as permissões incorretamente para esses componentes do seu site. Você pode aumentar as chances de ataques quando o servidor comprometer de qualquer maneira.

Portanto, você deve definir a permissão 755 para diretórios/subdiretórios e a permissão 644 para arquivos. Usando as ferramentas do Gerenciador de Arquivos disponíveis no hosting/c-Panel, você pode definir ou alterar as permissões facilmente. Para obter mais informações sobre permissões de arquivo – Noções básicas sobre permissões de arquivo e como usá-las para proteger seu site .

Conexão correta do servidor

Tradicionalmente, usamos o protocolo FTP para conexão do servidor. Mas SFTP ou SSH é a maneira mais segura e confiável hoje de fazer a conexão do servidor.

Protegendo temas e plugins do seu site WordPress

WordPress Security - Securing Themes of Your WordPress Site.

A maioria dos temas e plugins do WordPress são desenvolvidos por desenvolvedores de terceiros. Esses não são completamente confiáveis ​​do ponto de vista da segurança. Portanto, você deve tomar algumas medidas para renderizá-los com segurança. Por exemplo:

Receba atualizações regulares

Assim como seu site WordPress, desenvolvedores/empresas de plugins e temas também emitem atualizações para acompanhar as versões do WordPress e corrigir bugs e problemas que eles conhecem pelo feedback dos usuários. Portanto, tente instalar suas atualizações regularmente através do painel usando um plug-in apropriado.

Ocultar informações da versão do WordPress

Para os invasores, conhecer as informações da sua versão do WordPress, como o número, pode ajudar a desenvolver um ataque sob medida, e as informações da versão estão facilmente disponíveis na fonte do WordPress. Se você pode remover essas informações de versão DIY, ou com a ajuda de seu desenvolvedor dedicado do WordPress , você pode tornar a vida dos invasores um pouco difícil.

Conclusão

Eu escrevi o post acima tendo em mente os desenvolvedores iniciantes e de nível médio do WordPress, bem como o desenvolvedor dedicado de plugins do WordPress. Portanto, a implementação das dicas descritas para proteger seu site WordPress seria difícil sem a ajuda de plugins de segurança apropriados e os mais recentes do WordPress. Eu recomendo seguir os plugins para instalar no seu site e torná-lo mais seguro do que nunca:

  • Segurança e firewall tudo em um WP
  • Proteção de login de força bruta
  • Segurança à prova de balas
  • Autenticador do Google
  • iThemes Security, anteriormente Better WP Security
  • Plugin WordPress de Segurança Sucuri
  • WordFence
  • Proteção de sites antivírus WP

Se você ainda tem confusão e deseja ter a ajuda de mãos experientes. A Perception System fornece serviços de desenvolvimento WordPress, bem como facilidades para contratar desenvolvedores WordPress para ajudar clientes carentes a tornar seu site completamente seguro e protegido.