Segurança do WordPress: Como proteger seu site de hackers

Esteja você lançando um site de negócios, uma loja online ou um blog de hobby, o WordPress oferece flexibilidade, facilidade de uso e funcionalidades avançadas que ajudarão a torná-lo um sucesso estrondoso.

Mas antes de estar pronto para entrar ao vivo, passe alguns minutos pensando em segurança. Proteja seu site o máximo possível para mantê-lo protegido contra hackers e trabalhando para fãs e clientes o tempo todo.

Por que a segurança do WordPress é importante?

Seu site informa aos visitantes quem você é, que tipo de conteúdo e serviços você oferece e o que eles podem esperar da sua marca. É um lugar para causar uma ótima primeira impressão e construir confiança e lealdade com os fãs existentes.

É por isso que é tão importante garantir que seu site esteja funcionando o tempo todo. Se de repente incluir links para malware, começar a ser executado muito lentamente após um hack ou ficar offline, isso afetará sua reputação.

Se seu site for invadido, você poderá perder dinheiro devido à diminuição de visualizações, vendas ou impressões de anúncios. Pode haver custos envolvidos em restaurá-lo para um bom funcionamento. Você também pode perder classificações nos mecanismos de pesquisa – às vezes permanentemente. Portanto, para economizar dinheiro (e salvar a cara!), certifique-se de que seu site esteja bloqueado e seguro.

Como os sites do WordPress são hackeados?

O Google divulgou recentemente uma lista das principais maneiras pelas quais os hackers acessam sites. Vejamos alguns deles em detalhes:

Senhas comprometidas

Ataques de força bruta são uma das formas mais comuns de hackers entrarem em um site. Eles usam bots para tentar diferentes nomes de usuário e senhas – milhares de combinações por segundo – até encontrar o correto.

Plugins e temas inseguros

Vulnerabilidades encontradas em plugins e temas são uma maneira relativamente fácil de agentes mal-intencionados entrarem. Os desenvolvedores de temas de alta qualidade lançam patches para essas vulnerabilidades em atualizações regulares, mas nem todos os usuários do WordPress atualizam seu site com frequência. E versões gratuitas e nulas de plugins e temas premium geralmente têm backdoors embutidos em seu código - pontos de acesso para hackers fazerem login remotamente em seu site e fazerem o que quiserem.

Políticas de segurança fracas

Práticas de segurança ruins, como dar acesso ao site a pessoas que não precisam dele ou permitir senhas inseguras, facilitam o acesso das pessoas ao seu site.

Por que alguém invadiria um site?

1. Eles querem roubar dinheiro . Eles podem querer coletar informações do cartão de crédito do cliente ou direcionar os visitantes para sites maliciosos projetados para enganar as pessoas.
2. Eles querem capturar informações. Eles podem vender dados pessoais a terceiros ou manter informações reféns em troca de dinheiro.
3. Eles querem derrubar seu site . Isso geralmente tem um motivo pessoal e raramente é uma ameaça para o proprietário de um site comum.
4. Eles querem vandalizar seu site. Novamente, isso geralmente é pessoal. O hacker pode desfigurar o site de alguém com quem não concorda para fazer uma declaração.
5. Eles querem atacar outra pessoa . Os invasores podem usar seu site para espalhar malware ou ransomware pela Internet ou usar seu servidor da Web para atacar outra pessoa de forma maliciosa.
6. Eles querem aprender. Os hackers têm que praticar de alguma forma, certo? Eles podem usar seu site como um campo de treinamento para alvos maiores e mais lucrativos no futuro.

Como proteger seu site WordPress de hackers

1. Escolha um host de qualidade

Sua empresa de hospedagem é seu parceiro de segurança e é importante escolher uma com boa reputação. Você recebe o que paga e muitos hosts com desconto não implementam práticas de segurança sólidas.

Mas como saber qual escolher? Aqui estão algumas indicações de um provedor de hospedagem seguro:

• Backups regulares, incluídos no seu plano ou por uma taxa adicional.
• Certificados SSL, que protegem os dados dos visitantes do seu site.
• Suporte 24 horas por dia, 7 dias por semana, caso seu site seja invadido.
• Um firewall embutido, que protege os arquivos e banco de dados em seu servidor.
• Verificações de segurança que o alertarão sobre códigos e atividades suspeitos em seu site.
• Uma boa reputação. Revisões e recomendações costumam ser a melhor maneira de determinar a qualidade de um host.

E lembre-se, uma empresa com bons conhecimentos e forte segurança vale bem a pena quaisquer custos adicionais. Aqui está uma lista de hosts WordPress recomendados para você começar.

2. Mantenha o software atualizado

A maneira número um de manter seu site seguro é atualizar regularmente seu software: WordPress, temas e plugins. Novos lançamentos geralmente corrigem vulnerabilidades de segurança, portanto, quanto mais cedo você atualizar, melhor.

Você também pode minimizar os riscos de segurança do WordPress escolhendo plugins confiáveis ​​que sejam estáveis ​​e atendam a mais de uma necessidade por vez. Por exemplo, o Jetpack Security oferece um conjunto completo de ferramentas de segurança do WordPress incorporadas ao único plug-in do Jetpack. Assim, você também pode se beneficiar de funcionalidades adicionais sem instalar dezenas de plugins e aumentar o risco de um ataque ao seu site.

3. Crie nomes de usuário e senhas seguros

Mantenha os hackers adivinhando escolhendo um nome de usuário exclusivo e uma senha segura. Use pelo menos 20 caracteres, uma letra maiúscula, uma letra minúscula, um número e um símbolo.

Se você estiver criando um site com usuários adicionais, certifique-se de definir as permissões corretas para cada um. Você pode não querer que seu novo estagiário tenha acesso a arquivos principais ou outros dados importantes, por exemplo. Aqui está um ótimo artigo sobre permissões de usuário para WooCommerce, mas muito dele se aplica a qualquer tipo de site.

E se você criar uma conta para um terceiro – como um desenvolvedor, agência de marketing ou pessoa de suporte – certifique-se de remover o acesso assim que eles concluírem seu trabalho.

4. Configure backups externos

Os backups são essenciais para proteger seu conteúdo, trabalho árduo e dados de clientes ou visitantes. Não importa o problema com o seu site, ter um backup completo à mão significa que você pode voltar a funcionar rapidamente.

Mas é importante escolher o tipo certo de backups. Por exemplo, certifique-se de que seus backups sejam armazenados fora do local, na nuvem e não em seu servidor. Isso significa que, mesmo que você perca o acesso ao seu site ou seu servidor seja comprometido, você ainda poderá restaurar uma versão limpa.

É aí que o Jetpack Backup brilha. Eles não apenas armazenam todos os backups nos mesmos servidores seguros que usam para seu próprio site, como também mantêm vários backups criptografados para uma camada extra de proteção.

Além disso, você pode escolher entre duas opções: em tempo real e diariamente.

Os backups em tempo real são a melhor opção para lojas online, fóruns de associação ou sites que são atualizados regularmente. O Jetpack salva uma cópia do seu site sempre que algo muda: uma venda é feita, uma página é atualizada ou um comentário é adicionado. Isso significa que você não perderá uma única venda ou informação, não importa o que aconteça.

Os backups diários são adequados para sites estáticos que não são atualizados com frequência. O Jetpack salva seus arquivos e banco de dados uma vez por dia, e não conforme as alterações são feitas.

A melhor parte? É super fácil de configurar — não há necessidade de configuração complicada do servidor. Basta seguir algumas etapas simples e entrar em contato com a equipe de suporte ao cliente incomparável do Jetpack se precisar de ajuda.

Você pode usar o melhor plugin de backup do WordPress como uma ferramenta autônoma ou como parte do pacote de segurança completo.

5. Adicione proteção contra ataque de força bruta

Ataques de força bruta ocorrem quando hackers usam bots para adivinhar milhares de combinações de nome de usuário/senha por segundo até que finalmente tenham acesso ao seu site. Esses ataques não apenas colocam em risco as informações do seu site, mas também podem tornar as coisas mais lentas ao sobrecarregar seu servidor.

Embora as informações de login seguras definitivamente ajudem, a melhor prevenção é uma ferramenta que os impedirá. O recurso gratuito de proteção contra ataques de força bruta do Jetpack bloqueia endereços IP suspeitos antes mesmo que eles cheguem ao seu site!

A configuração não poderia ser mais fácil - tudo que você precisa fazer é ativar o recurso - e você pode visualizar o número de ataques bloqueados diretamente do seu painel. Dica: a média é 5.193!

6. Verifique se há malware

Se um hacker conseguir entrar, você quer saber imediatamente para poder solucionar o problema. Afinal, quanto mais tempo seu site estiver inativo ou inseguro, maiores serão os danos à sua reputação e aos seus dados.

Mas o Jetpack Scan pesquisa automaticamente em seu site por malware, agentes mal-intencionados e atividades suspeitas, alertando você imediatamente se algo for encontrado. Você pode até corrigir a maioria dos hacks conhecidos com apenas um clique, economizando tempo e dinheiro.

E você não terá que perder tempo decifrando uma linguagem técnica complicada — o painel do Jetpack Scan explica tudo em termos leigos e orienta você em todas as etapas que você precisa seguir. Você pode simplesmente configurá-lo e esquecê-lo, ficando tranquilo sabendo que seu site é monitorado 24 horas por dia, 7 dias por semana.

Saiba mais sobre nossa ferramenta de verificação de malware do WordPress.

7. Implemente o monitoramento do tempo de inatividade

Seja o resultado de um ataque malicioso ou um simples erro, se o seu site ficar inativo, você precisa agir imediatamente. Mas você não tem tempo para recarregar seu site o dia todo para ter certeza de que está funcionando!

A ferramenta de monitoramento de tempo de inatividade do WordPress do Jetpack vigia seu site 24 horas por dia, 7 dias por semana e notifica você se ele parar de responder. Você pode usar o registro de atividades para determinar exatamente o que deu errado e quando, para que possa responder adequadamente e voltar a funcionar em minutos, não em horas ou dias.

8. Exclua plugins e temas não utilizados

Quanto mais temas e plugins você instalou em seu site, mais oportunidades existem para um hacker tirar vantagem deles. Embora os plug-ins sejam uma ótima maneira de adicionar funcionalidades adicionais, faça um pouco de limpeza e remova os que você não está mais usando.

E, além de um tema padrão ao qual você pode recorrer ao solucionar erros do site, não há necessidade de armazenar temas adicionais.

Bônus: excluí-los também pode melhorar a velocidade do seu site!

9. Ative a autenticação de dois fatores para administradores

A autenticação de dois fatores é uma maneira extremamente eficaz de proteger sua página de login porque exige que um hacker tenha sua senha e um item físico - uma combinação improvável. Quando um administrador faz login no seu site, ele precisa inserir um código de uso único que é enviado ao telefone.

O Jetpack oferece esse recurso gratuitamente, tornando-o uma maneira fácil de ir um passo além das senhas fortes. Você tem vários usuários? Exija facilmente autenticação de dois fatores para todos eles.

10. Configure um firewall do WordPress

Um firewall WordPress monitora todo o tráfego que chega ao seu site, agindo como uma barricada contra hackers. Enquanto um bom plano de hospedagem inclui um firewall que protege seu servidor, você também vai querer instalar um especificamente para WordPress.

Um bom plug-in de firewall tem um banco de dados de informações sobre agentes mal-intencionados – endereços IP suspeitos, bots maliciosos e tráfego que parece “desligado” – e os bloqueia antes que eles possam atacar seu site. Você pode ver algumas das opções mais populares no repositório de plugins do WordPress.

11. Fique de olho na atividade do seu site

Quando você tem um registro de tudo o que acontece em seu site, você pode facilmente passar por ele e identificar qualquer coisa suspeita. E se seu site for invadido, você também poderá identificar a hora em que ocorreu, saber quais ações foram tomadas e descobrir quais contas foram comprometidas com muito mais facilidade.

O registro de atividades do Jetpack para WordPress acompanha todas as principais alterações que ocorrem, desde tentativas de login e páginas publicadas até plugins excluídos, temas atualizados e configurações alteradas. Para cada evento, você pode ver um carimbo de data/hora, o usuário que fez a alteração e uma descrição do que ele fez. Você pode usar essas informações para solucionar problemas ou restaurar um backup imediatamente antes da ocorrência de um problema.

O que acontece se meu site WordPress não for seguro?

A maioria dos invasores não está mirando em você especificamente, eles estão apenas procurando o site mais fácil de acessar. Portanto, se o seu site WordPress não estiver devidamente protegido, é mais provável que seja vítima de um hack. Em última análise, isso pode levar a:

• Uma reputação danificada . Se o seu site tiver avisos de segurança, ficar inativo ou redirecionar para um site suspeito, ele não parecerá bom para os visitantes do site. Eles podem perder a confiança em seu blog ou empresa, perdendo suas vendas ou receita de anúncios.
• Dados de clientes roubados . Se um hacker acessar sua loja de comércio eletrônico, ele poderá coletar informações pessoais que podem ser usadas ou vendidas a terceiros.
• Arquivos de site danificados . Você pode perder parte ou todo o seu site, potencialmente anos de trabalho duro!
• Remoção dos resultados da pesquisa . Se seu site for invadido, ele poderá ser bloqueado pelo Google e removido totalmente dos resultados de pesquisa.
• Perdeu o tráfego do site . Entre classificações mais baixas (ou inexistentes) nos mecanismos de pesquisa e pessoas que não desejam visitar um site com um aviso de segurança, o tráfego do seu site pode diminuir significativamente.
• Redução da receita de publicidade . As redes de anúncios não querem que os anúncios de seus clientes sejam veiculados em sites inseguros. Portanto, se seu site for invadido, ele poderá ser removido das redes de anúncios e você poderá ser banido completamente, reduzindo ou eliminando sua receita com anúncios. Mesmo que não seja removido, o tráfego reduzido afetará negativamente os cliques nos anúncios.

Como saber se meu site WordPress foi invadido?

Às vezes, pode ser difícil saber se seu site foi invadido ou se está passando por algum outro tipo de problema. No entanto, aqui estão algumas indicações de um hack de site:

• Seu site tem um aviso de segurança quando você carrega seu URL.
• Seu plug-in de segurança relata um problema.
• Seu host envia um e-mail para você sobre um problema.
• Seu site redireciona para outro lugar inteiramente e você não fez esse redirecionamento.
• Você vê linhas de código estranhas nas páginas do seu site.
• Seu site está completamente fora do ar, embora isso também possa ser devido a outras causas.
• Os anúncios em seu site redirecionam para sites suspeitos.
• Seu site carrega de repente muito lentamente ou está agindo de forma estranha de outras maneiras.

O que eu faço se meu site WordPress for invadido?

Se o seu site WordPress for invadido, há algumas etapas que você pode seguir para corrigir o problema e recuperar seus arquivos e banco de dados:

1. Determine o que aconteceu. Se você estiver usando o Jetpack, dê uma olhada no log de atividades para ver quem fez login, quando e o que eles mudaram. Isso pode ajudá-lo a identificar contas comprometidas e descobrir quais arquivos são afetados.
2. Execute uma verificação de malware. Use uma ferramenta como o Jetpack Scan para pesquisar os arquivos do seu site em busca de malware ou outras indicações de um hack. Se você usa a ferramenta de verificação de malware do Jetpack para WordPress, também pode corrigir a maioria dos problemas com um clique.
3. Restaurar um backup. Se você fizer backups regulares do seu site, restaure um antes da ocorrência do hack. Se você estiver usando o Jetpack Backup, seus arquivos serão armazenados separadamente do servidor para que não sejam comprometidos.
4. Redefina todas as senhas e exclua usuários suspeitos . Redefina todas as senhas do seu site WordPress e provedor de hospedagem. Se você vir contas de usuário suspeitas que não criou, exclua-as.
5. Contrate um especialista em segurança de sites. Se você não conseguir remover malware por conta própria ou apenas quiser ter certeza de que seu site é seguro, considere contratar um especialista em segurança de um serviço como o Codeable.
6. Atualize seus plugins, temas e versão do WordPress. Isso ajudará a proteger quaisquer vulnerabilidades que o hacker possa ter aproveitado.
7. Reenvie seu site para o Google. Se seu site foi bloqueado, use o Google Search Console para solicitar uma revisão e removê-lo da lista.

Para obter mais detalhes, leia nosso guia que aborda o que fazer se seu site WordPress for invadido.

Pronto para lançar

Colocar o trabalho na segurança adequada do WordPress desde o início prepara seu site para o sucesso e o ajuda a ser executado com segurança e eficiência nos próximos anos. Lembre-se, prevenir hacks de sites é muito mais fácil do que corrigi-los depois que eles ocorrem.

Com o pacote Jetpack Security, você pode marcar a maioria dos itens desta lista em apenas alguns minutos - sem necessidade de um desenvolvedor ou configuração complicada.

Comece com o melhor plugin de segurança do WordPress.