14 Maneiras de Como Proteger Seu Site WordPress | Passo a Passo

Como proteger seu site wordpress? Essa é uma pergunta que todos gostariam de uma resposta.

E neste artigo completo você acaba de encontrar…

A segurança do WordPress deve ser uma prioridade para os proprietários de sites. Por quê? Porque existem até 90.000 ataques em sites WordPress a cada minuto.

Se isso não é preocupante o suficiente, a cada semana o Google coloca na lista negra cerca de 20.000 sites para malware e 50.000 para phishing. E quando um site é colocado na lista negra, e os usuários são obrigados a concordar com os risco, isso resulta em uma perda de cerca de 95% do tráfego.

Embora a versão mais recente do WordPress seja sempre a versão mais segura disponível, existe muita coisa que você pode fazer no seu site para garantir que seja impenetrável para hackers e bots.

Aqui estão algumas dicas práticas recomendadas para ajudar a proteger seu site.

1. Use um bom host
2. Use apenas temas e plugins de qualidade
3. Mantenha o WordPress Core, Temas e Plug-ins atualizados
4. Não use “Admin” como nome de usuário
5. Use uma senha forte
6. Usar autenticação de dois fatores
7. Limite tentativas de login
8. Instale um certificado SSL
9. Altere do prefixo do banco de dados
10. Proteja os arquivos wp-config.php e .htaccess
11. Adicione chaves de segurança
12. Desative edição de arquivo
13. Impeça que arquivos PHP sejam executados
14. Desative XML-RPC seletivamente

1. Use um bom host da Web

Um bom host é a sua primeira linha de defesa contra ataques no seu site. Portanto, não opte automaticamente por hospedagem compartilhada barata. Em vez disso, faça sua lição de casa .

Vá com um host respeitável que suporte as versões mais recentes de tecnologias básicas da Web, como PHP e MySQL. Certifique-se de verificar se o seu host suporta PHP 7 – é a versão oficial recomendada do PHP para WordPress .

Considere escolher um host gerenciado do WordPress . Esses serviços são configurados especificamente para o WordPress e cuidam de todos os aspectos técnicos importantes da hospedagem, incluindo segurança, backups, tempo de atividade e desempenho.

2. Use apenas temas e plugins de qualidade

De acordo com o WPScan , 52% das vulnerabilidades do site são causadas por plugins, enquanto 11% são causadas por temas. Combinando, isso representa mais de 60% da segurança do WordPress.

A maneira mais fácil de garantir que seus plugins e temas possam resistir a ataques é baixá-los apenas de fontes respeitáveis. Isso inclui WordPress.org e provedores premium. O download de desenvolvedores desonestos que ocultam códigos maliciosos em seus temas e plug-ins pode comprometer seu site.

Se você não tiver certeza se um site do qual deseja fazer o download é seguro, procure depoimentos e avaliações para garantir que o produto desejado seja de qualidade sonora.

Além disso, verifique se todos os plugins e temas que você usa também são bem suportados e atualizados regularmente. Se um plug-in ou tema não for atualizado há muito tempo, é provável que contenha brechas de segurança desatadas ou até mesmo códigos incorretos que possam deixá-lo vulnerável a hacks.

Por fim, mantenha apenas plug-ins e temas que você realmente precisa e usa. Quanto mais você tem, maior o risco de ser invadido. Portanto, revise regularmente sua lista de plug-ins e temas e desative e exclua os itens desnecessários.

3. Mantenha o WordPress Core, Temas e Plug-ins atualizados

O WordPress é um software de código aberto e desenvolvido e mantido por uma comunidade mundial de voluntários. A cada nova versão, todas as vulnerabilidades de segurança são corrigidas.

Por padrão, o WordPress instala automaticamente pequenas atualizações (por exemplo, WordPress X.X). Mas para os principais lançamentos, cabe a você atualizar manualmente para a versão mais recente.

Verifique se o seu site está sempre executando a versão mais recente do WordPress.

Essas atualizações principais são críticas para a segurança e o desempenho do seu site. Portanto, faça backup do site (para saber mais sobre backups no wordpress clique aqui) e aplique as atualizações principais quando elas estiverem disponíveis.

Da mesma forma, também é importante atualizar regularmente todos os plugins e temas, para que você esteja sempre usando as versões mais atualizadas e seguras do software.

4. Não use “Admin” como nome de usuário

Não use “admin” como o nome de usuário do seu site. As versões anteriores do WordPress usavam “admin” como o nome de usuário padrão, facilitando a invasão de hackers – menos uma peça do quebra-cabeça durante um ataque de força bruta.

Porém, versões recentes do WordPress mudaram isso, dando aos usuários a oportunidade de inserir seu próprio nome de usuário durante a instalação. No entanto, algumas pessoas ainda optam por usar “admin” em vez de criar um nome de usuário original.

Você deseja dificultar a penetração de invasores mal-intencionados no site, para que os ataques demorem mais e você ou seu provedor de hospedagem possa identificar quaisquer ataques antes que eles sejam bem-sucedidos e pará-los.

5. Use uma senha forte

Sempre crie senhas fortes e exclusivas para sua conta de administrador do WordPress, banco de dados, conta de hospedagem, endereço de e-mail e quaisquer contas de FTP. Assim como os nomes de usuário, as senhas são outra peça do quebra-cabeça para os hackers adivinharem, e quanto mais forte sua senha, mais difícil será para os hackers fazerem login com sucesso no seu site.

Durante a instalação, o WordPress tentará forçar uma senha forte e solicitará que você marque uma caixa se você inserir uma senha fraca. Embora você queira criar sua própria senha, ferramentas como o Secure Password Generator podem criar uma senha forte para você.

O Secure Password Generator permite criar senhas únicas e aleatórias.

6. Use autenticação de dois fatores

Mesmo com um nome de usuário e senha fortes, os ataques de força bruta ainda são um problema para muitos sites. É aqui que a autenticação de dois fatores pode ajudar.

A autenticação de dois fatores adiciona outra etapa do processo de login, forçando os usuários a digitar um código enviado ao celular, além de inserir as credenciais habituais de login. Isso pode impedir ataques automáticos e garantir que seu site não seja vítima de hackers.

Plugins como o iThemes Security podem implementar autenticação de dois fatores. Também existem plugins gratuitos, como a Two Factor Authnticator, que podem adicionar essa camada extra de segurança ao seu site.

O plug-in gratuito de autenticação de dois fatores permite adicionar facilmente outra camada de proteção ao fazer login no seu site.

7. Limitar tentativas de login

Por padrão, você pode tentar fazer login na sua conta do WordPress quantas vezes quiser. Embora isso possa ser conveniente para você, se você esquecer e nem sempre acertar sua senha na primeira ou na terceira vez, também é conveniente para hackers que executam ataques de de força bruta – eles oferecem um número ilimitado de tentativas de quebrar sua combinação de nome de usuário e senha.

Isso pode ser facilmente corrigido limitando o número de tentativas de falhas de login que um usuário pode fazer no seu site. Plug-ins gratuitos, como WP Limit Login Attempts, permitem limitar as tentativas de login e bloquear endereços IP temporariamente.

8. Instale um certificado SSL

É necessário instalar um certificado SSL no seu site, especialmente se você tiver uma loja de comércio eletrônico. Não apenas porque dificultará a interceptação de informações confidenciais por hackers entre os navegadores de usuários e seu servidor, mas porque o Google agora insiste em que todos os sites devem ter um site até mesmo por questões de seo!

A partir de julho de 2018, com o lançamento do Chrome 68, as páginas da Web carregadas sem HTTPS serão marcadas como “não seguras”. Isso significa que os usuários que tentarem acessar sites que não possuem um certificado SSL receberão um aviso de que o site não é confiável.

Este anúncio é importante porque, de acordo com o Cloudflare, mais da metade dos visitantes da web verá esses avisos.

Let’s Encrypt é uma autoridade de certificação gratuita que fornece certificados SSL para os proprietários de site.

Obter um certificado SSL está se tornando cada vez mais fácil. Let’s Encrypt oferece certificados de código aberto gratuitos, enquanto as empresas de hospedagem geralmente fornecem um de graça (e às vezes até de graça).

9. Alterar prefixo do banco de dados

Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas no banco de dados do seu site. Isso significa que, se você estiver usando o padrão – que é um conhecimento comum do WordPress – os hackers podem adivinhar facilmente qual é o nome da sua tabela, tornando-a vulnerável a injeções de SQL.

Uma maneira simples de corrigir isso é mudar o prefixo para algo aleatório, como 123Tb_ usando um gerador de string aleatório . Para atualizar o prefixo da sua tabela, abra o arquivo wp-config.php na raiz do diretório de arquivos do seu site e localize esta linha:

$table_prefix = ‘wp_’;

Usando meu exemplo, você substituiria a linha da seguinte maneira:

$table_prefix = ‘123Tb_’;

Em seguida, você precisará atualizar o prefixo usado no seu banco de dados. Enquanto plug-ins de segurança como o iThemes Security podem ajudá-lo a fazer isso de maneira rápida e fácil.

10. Protegendo os arquivos wp-config.php e .htaccess

O arquivo wp-config.php do seu site, que geralmente está localizado na pasta raiz do seu site, contém informações críticas sobre a instalação do WordPress, incluindo o nome, host, nome de usuário e senha do seu banco de dados. Enquanto isso, .htaccess é um arquivo oculto que define a configuração do servidor no nível do diretório, permite permalinks bastante e permite redirecionamentos.

Impedir o acesso a esses arquivos críticos é fácil. Basta adicionar o seguinte ao seu arquivo .htaccess para proteger o wp-config.php:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Como alternativa, você pode simplesmente mover o arquivo wp-config.php para o diretório superior, pois o WordPress o procurará automaticamente lá.

Para interromper o acesso indesejado ao .htaccess, tudo o que você precisa fazer é alterar o nome do arquivo no código:

<Files .htaccess>
order allow,deny
deny from all
</Files>

11. Adicione chaves de segurança

As chaves e sais de segurança do WordPress criptografam as informações armazenadas nos cookies do navegador, protegendo senhas e outras informações confidenciais.

Há quatro chaves de segurança total: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, e NONCE_KEY.

Essas chaves de autenticação são basicamente um conjunto de variáveis ​​aleatórias e dificultam a quebra de suas senhas. Uma senha não criptografada como “wordpress” não exige muito esforço para os invasores quebrarem. Mas uma senha longa e aleatória como “L2(Bpw6#:S.}nrR~.Dys5c *” é muito mais difícil de decifrar.

Adicionar chaves de segurança e sais é um processo manual e fácil de executar. Veja como fazê-lo:

1. Obtenha um novo conjunto de chaves e sais de segurança. Você pode gerá-los aleatoriamente aqui .
2. Em seguida, atualize seu arquivo wp-config.php. Abra seu arquivo e role para baixo até encontrar a seção abaixo e substitua os valores antigos por suas novas chaves e sais:

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'add unique variables here');
define('SECURE_AUTH_KEY', 'add unique variables here');
define('LOGGED_IN_KEY', 'add unique variables here');
define('NONCE_KEY', 'add unique variables here');
define('AUTH_SALT', 'add unique variables here');
define('SECURE_AUTH_SALT', 'add unique variables here');
define('LOGGED_IN_SALT', 'add unique variables here');
define('NONCE_SALT', 'add unique variables here');

/**#@-*/

3. Salve seu arquivo wp-config.php. Você será desconectado automaticamente do seu site WordPress e precisará fazer login novamente.

12. Desativar edição de arquivo

O WordPress possui um editor de código interno para arquivos de plugins e temas. Embora isso seja útil para administradores que desejam fazer alterações rápidas nos arquivos, também significa que hackers e usuários de alto nível também podem fazer alterações nos arquivos. Você pode encontrar esse recurso em Aparência> Editor em seu administrador do WordPress.

Você pode desativar a edição do arquivo no seu arquivo wp-config.php. Basta abrir seu arquivo e adicionar esta linha de código:

define(‘DISALLOW_FILE_EDIT’, true);

Você ainda poderá editar seus plugins e temas via FTP ou cPanel, mas não no administrador do WordPress.

13. Impedir a execução de arquivos PHP

Uma pasta comum para hackers fazer upload de malware no WordPress wp-content/uploads,mas também wp-includes/. Para impedir que arquivos sejam executados nessas pastas, crie um novo arquivo de texto em um editor de texto e cole neste código:

<Files *.php>
deny from all
</Files>

Em seguida, salve este arquivo como .htaccess e faça o upload para as pastas /wp-content/uploads e wp-includes/ via FTP ou cPanel.

14. Desativar XML-RPC seletivamente

XML-RPC, ou XML Remote Procedure Call, é uma API que ajuda a conectar aplicativos da Web e mobile ao seu site WordPress. Ele foi ativado por padrão no WordPress, mas foi encontrado para ampliar significativamente os ataques de força bruta .

Por exemplo, se um hacker quisesse tentar 500 senhas diferentes no seu site, normalmente ele teria que fazer 500 tentativas de login separadas. Mas com o XML-RPC, o hacker pode usar a função system.multicall para tentar um grande número de combinações de nome de usuário e senha em uma única solicitação HTTP

Embora fosse fácil simplesmente desativar esse recurso no seu site, isso significaria perder a funcionalidade de plug-ins como o Jetpack. Em vez disso, é melhor selecionar a maneira como você implementa e desativa o XML-RPC usando plug-ins especialmente projetados pra isso .

Bônus: Como verificar se há vulnerabilidades

Existem duas maneiras diferentes de verificar seu site em busca de vulnerabilidades: com um scanner de site online ou com um plug-in.

Com essas ferramentas online gratuitas, tudo o que você precisa fazer é inserir o URL do site e elas começarão a verificar se há vulnerabilidades conhecidas:

Verificação de segurança do WordPress – Esta ferramenta verifica passivamente problemas básicos de segurança. Você precisará atualizar para um plano premium para testes avançados.

Sucuri SiteCheck – Verifique se há malwares conhecidos, status de lista negra, erros de site e software desatualizado no seu site. Com uma atualização premium, essa ferramenta fará limpeza de malware, proteção contra DDoS/força bruta, remoção de lista negra e monitoramento de segurança.

WPScan – Este scanner de vulnerabilidades WordPress hospedado no GitHub permite que você verifique o seu site em busca de vulnerabilidades conhecidas no core, plugins e temas. Você precisará usar o Terminal para executar este aplicativo. É gratuito para uso pessoal e patrocinado pela Sucuri.

Bônus: Melhores Plugins de Segurança para WordPress

A instalação de um plug – in de segurança no seu site WordPress adiciona outra linha de defesa contra possíveis ataques. Eles oferecem uma ampla variedade de recursos para ajudar a proteger seu site – incluindo verificações – e podem notificá-lo quando seu site for comprometido.

Aqui estão os 3 principais plugins:

Wordfence

O WordFence é um plugin de segurança gratuito extremamente popular, com mais de 3.5 milhões de instalações ativas e uma opção premium disponível. Ele possui um “Feed de defesa contra ameaças”, que reúne as mais recentes regras de firewall, assinaturas de malware e endereços IP maliciosos, mantendo o blog seguro.

Um firewall de aplicativo da web identifica e bloqueia o tráfego malicioso, enquanto uma lista negra de IP em tempo real bloqueia todas as solicitações de IPs maliciosos, protegendo o site e reduzindo a carga.

Este plug-in protege contra ataques de força bruta, limitando as tentativas de login, aplicando senhas fortes e outras medidas de segurança de login. Se encontrar algum tipo de infecção no seu site, ele será notificado por e-mail. Você também pode monitorar o tráfego do seu site em tempo real para verificar se está sendo atacado.

Sucuri

Para um plug-in de segurança gratuito, o plug-in de segurança da Sucuri fornece um conjunto abrangente de recursos, incluindo auditoria de atividades de segurança, para que você possa acompanhar todas as alterações feitas no site, monitoramento de integridade de arquivos, verificação remota de malware, monitoramento de malware, monitoramento de lista negra e medidas de proteção de segurança.

Uma seção de “ações de segurança pós-hack” do plug-in mostra as três principais ações que você deve fazer após um comprometimento do site. Você também pode ativar as notificações de segurança para que, quando uma infecção for encontrada no site ou comprometida, você será imediatamente alertado.

Ao atualizar para a versão premium, você obtém acesso a um firewall de site para proteção adicional.

ITheme Security

Embora a versão gratuita do iThemes Security ajude a bloquear o WordPress, corrija “buracos” comuns e fortaleça as credenciais do usuário, a versão pro apresenta praticamente todas as medidas de segurança que você pode precisar.

Há autenticação de dois fatores, agendamento de verificação de malware e registro de ações do usuário, para que você possa acompanhar quando os usuários editam o conteúdo, fazem login ou fazem logout. Você pode atualizar chaves e sais de segurança, definir a expiração da senha e adicionar o Google reCAPTCHA ao seu site.

Outros recursos incluem comparação de arquivos on-line, integração WP-CLI e escalonamento temporário de privilégios para que você possa conceder acesso temporário de administrador ou editor ao seu site.

Conclusão

Após entender o principal sobre como proteger seu site wordpress, o que temos que concluir é…

Não existe uma maneira correta de proteger seu site WordPress contra ameaças à segurança. O melhor que você pode fazer é manter o core, os temas e os plugins do WordPress atualizados e implementar várias soluções diferentes que corrijam vulnerabilidades, protegem arquivos críticos e forçam os usuários a fortalecer suas credenciais.

Agendar backups regulares também é essencial . Você nunca sabe quando seu site pode sucumbir a um ataque, por isso é importante que você esteja pronto e tenha um plano para restaurar rapidamente seu site em caso de emergência.

Investir em um sólido plug-in de segurança que permite verificar vulnerabilidades, monitorar ações e alertá-lo quando algo não estiver certo também ajudará a fortalecer seu site e garantir que ele esteja bem protegido contra ameaças.

Para mais informações sobre segurança no wordpress acesse aqui.

Gosttou do artigo sobre como proteger seu site wordpress? Deixe seu comentário abaixo com suas dúvidas. 🙂

Siga o Marketing Digital Love no Instagram, Facebook e Linkedin e recebe todas nossas atualizações de wordpress, marketing digital, branding, copy e muito mais.