Hardening WordPress: Como manter seu site WordPress seguro
Publicados: 2022-06-30Se você já foi hackeado, sabe o pesadelo que pode ser. Pode ser difícil entender quais etapas de segurança do WordPress ajudarão a manter seu site WordPress seguro.
Continue lendo para saber como manter seu site WordPress seguro. Aprenda as etapas adequadas para fortalecer o WordPress e obtenha uma lista de verificação de segurança do site WordPress.
O que é o WordPress Hardening?
O WordPress representa cerca de 40% de todos os sites. Por causa disso, as pessoas que sabem como explorar o WordPress podem facilmente encontrar muitos alvos. Felizmente, há muitas coisas que você pode fazer para tornar o trabalho muito mais difícil para eles. Isso é conhecido como endurecimento do WordPress.
Por que a segurança do WordPress é importante
Ser hackeado não é apenas embaraçoso, mas pode levar a tempo de inatividade, perda de dados e vazamento de informações. Isso pode se traduzir em perda de vendas e má reputação da marca. Além disso, pode dar muito trabalho para colocar tudo em funcionamento novamente.
Protegendo o WordPress: 10 etapas de segurança do WordPress a serem seguidas
Existem quatro maneiras principais pelas quais os hackers podem obter acesso para invadir seu site Wordpress:
- Obtendo sua senha ou sessão e fazendo login.
- Por meio de acesso indireto, como FTP, SSH ou banco de dados.
- Ao descobrir informações em sua raiz da web.
- Através de vulnerabilidades no código ou plugins do WordPress.
A maneira mais simples de obter acesso ao seu site é simplesmente fazer login. Aqui estão algumas maneiras de proteger o WordPress contra ladrões de senhas.
1. Proteja a máquina da qual você está se conectando
Uma coisa importante que é fácil de ignorar é o computador do qual você está se conectando. Se não for seguro, isso também pode tornar seu servidor vulnerável. Por isso é muito importante ter antivírus e firewall, manter seu computador atualizado e praticar hábitos de navegação seguros.
2. Proteja a conexão com o servidor
Mesmo que seu computador seja seguro, sua senha ou suas sessões ainda podem ser roubadas no caminho para o servidor. Para evitar isso, é importante garantir que você esteja usando HTTPS ao fazer login no back-end do WordPress.
Leitura relacionada: Guia para iniciantes para otimização de desempenho do WordPress >>
É preferível sempre se conectar ao seu servidor usando sua conexão com fio doméstica ou comercial ou uma conexão Wi-Fi que use uma senha Wi-Fi longa e aleatória. Se você precisar se conectar usando um ponto de acesso público, certamente desejará investir em uma VPN.
3. Evite que as pessoas adivinhem sua senha
Quando um invasor usa um script para tentar rapidamente diferentes combinações de nome de usuário e senha até adivinhar a correta, isso é chamado de ataque de força bruta. Para evitar ataques de força bruta, use uma senha longa que contenha números de letras maiúsculas e minúsculas e caracteres especiais.
Para tornar essa técnica ainda mais difícil, você pode obter plugins que ajudarão. Procure por plugins de autenticação de dois fatores, plugins que adicionam um captcha ao formulário de login e plugins que limitam o número de tentativas incorretas que você pode fazer.
4. Não use administrador
Outra maneira de evitar ataques de força bruta e outros métodos de roubo de senhas é nomear sua conta de administrador com outro nome. Se eles não conseguirem adivinhar seu nome de usuário, eles não conseguirão adivinhar sua senha. Quaisquer contas de administrador adicionais devem ser excluídas quando não forem mais necessárias. Quaisquer novas contas que você fizer devem ter apenas o acesso necessário.
Se os hackers não puderem acessar sua conta de administrador diretamente, eles poderão acessar seu site indiretamente por meio de SSH, FTP ou banco de dados. Tudo o que foi mencionado sobre manter seu PC local seguro, escolher senhas seguras e usar uma VPN na Internet pública também se aplica a SSH, FTP e conexões ao banco de dados, mas aqui estão algumas considerações adicionais.
5. Use SFTP ou FTPS
O FTP transmite seus dados e senhas pela Internet em texto simples, o que significa que qualquer pessoa que possa interceptar seus dados pode ver suas senhas e seus dados. O SFTP e o FTPS criptografam seus dados.
6. Fechar ou limitar o acesso às portas
Geralmente, se seu banco de dados e seu site estiverem no mesmo servidor, você não precisa ter a porta do banco de dados aberta ao público. Se você pode gerenciar seu banco de dados por meio do portal ou de dentro do servidor, essa geralmente é uma opção melhor porque oferece aos invasores uma maneira a menos de explorar seu site.
Leitura relacionada: Quando o WordPress precisa de um impulso: dicas, ferramentas e estratégia de ajuste >>
Da mesma forma com o FTP, se você puder usar o SFTP para se conectar ao servidor, não há necessidade de ter a porta FTP aberta. Se você precisar usar uma dessas portas para se conectar ao seu servidor, pode ser uma boa ideia definir o escopo das portas apenas para seu endereço IP.
Se o seu endereço IP mudar muito, pode ser inconveniente ter que ligar para obter acesso ao seu servidor toda vez que seu endereço IP mudar. Uma maneira de contornar isso é usar uma VPN. Uma VPN não apenas criptografa as conexões entre você e o servidor, mas também permite que você use um endereço IP estático que pode ser adicionado ao seu firewall para impedir que outras pessoas acessem as portas.
Um erro que muitas pessoas cometem é armazenar arquivos e dumps de banco de dados na raiz da web. Lembre-se de que qualquer coisa em sua raiz da web é acessível a qualquer pessoa na internet e não deve ter nada que você não gostaria que alguém tivesse.
7. Remova qualquer coisa desnecessária da sua raiz da Web
Vale a pena dar uma olhada na sua raiz da web e certificar-se de que não há nada que seja desnecessário para o seu site funcionar armazenado nela.
Por exemplo, pode ser conveniente despejar o banco de dados no webroot para que você possa baixá-lo mais tarde. Mas lembre-se de que seu banco de dados contém seus hashes de senha e pode conter outras informações que você não deseja que sejam públicas.
Uma ideia melhor seria despejar o banco de dados em outro lugar e usar o SFTP para baixá-lo. Se você quiser mantê-lo no servidor como backup, basta movê-lo um nível para cima ou colocá-lo em qualquer lugar, exceto no webroot.
Da mesma forma, cópias compactadas do código do site podem ser usadas para aprender sobre seu código e podem ser baixadas por qualquer pessoa na Internet. Outra prática comum é fazer um backup de um arquivo como o .htaccess ou um arquivo de código antes de modificá-lo.
Certamente é uma boa ideia fazer backup de seus arquivos antes de modificá-los, mas se você planeja mantê-los na raiz da web, você deve alterar as permissões para que eles não possam ser acessados.
Leitura relacionada: Desmistificando os mitos de segurança da hospedagem WordPress >>
Por exemplo, você pode digitar chmod 000 .htaccess. Por fim, até mesmo arquivos README ou qualquer outra coisa que possa expor os números de versão devem ser removidos com segurança — e removê-los pode melhorar a segurança.
A última coisa a considerar é o próprio código. A segurança do código de aplicativo da Web é um tópico muito complexo com livros inteiros escritos sobre o assunto. Como você está usando o WordPress, a imensa tarefa de manter o código seguro é feita para você, tudo o que você precisa fazer é instalar os patches.
Se você estiver hospedando com o Nexcess, nós cuidamos da atualização do núcleo do WordPress para você, mas os temas e plugins também podem conter vulnerabilidades.
8. Remova qualquer código não utilizado
Uma maneira fácil de manter seu site WordPress seguro é simplesmente remover qualquer coisa que você não esteja usando. Veja todos os seus plugins e remova-os se eles não estiverem agregando valor ao seu site.
Leitura relacionada: O Guia Essencial para Plugins WordPress >>
Isso não apenas melhora a segurança, mas também pode acelerar o WordPress e melhorar a estabilidade do seu site. Lembre-se de que, em alguns casos, até os plug-ins desativados podem introduzir bugs ou fornecer uma superfície de ataque aos hackers.
Se você tiver algum tema do WordPress que não esteja usando, você também deve desinstalá-lo – embora você possa considerar deixar o tema padrão do WordPress mais atualizado para solucionar problemas posteriormente.
Por fim, é mais importante remover instalações antigas que você não está usando. Se você tiver um subdiretório inteiro com um blog antigo ou uma versão antiga do site que não está mais usando, é muito importante removê-lo da raiz da web. Se você quiser salvá-lo como backup, ele pode ser armazenado com segurança acima da raiz da web.
9. Certifique-se de que todos os seus plugins e temas sejam mantidos ativamente
Novas vulnerabilidades são descobertas todos os dias e, uma vez conhecidas, podem ser rapidamente exploradas por scripts em massa em toda a Internet. É por isso que é importante ter certeza de que você tem programadores experientes que estão respondendo ativamente a qualquer falha encontrada em seu código e lançando patches regularmente para fechar as vulnerabilidades.
10. Aplique os Patches
Como as vulnerabilidades são encontradas no WordPress o tempo todo e como as vulnerabilidades do WordPress são exploradas de forma tão rápida e completa, é muito importante aplicar patches assim que estiverem disponíveis. É muito importante fazer isso para evitar o tempo de inatividade.
No entanto, há algum risco de que um dos patches não seja compatível com o restante do seu código, portanto, a melhor maneira de fazer isso é fazer um backup regularmente, aplicar manualmente os patches e testar seu site.
Se você encontrar algo que não esteja funcionando, poderá recuperar o backup e recuperar seu site rapidamente. Se você tiver os recursos, um método ainda melhor é manter uma cópia do seu site e aplicar todos os patches na cópia primeiro. Isso evita qualquer tempo de inatividade e permite solucionar problemas antes que os patches sejam aplicados ao site ativo.
Lista de verificação de segurança do site WordPress
- Mantenha seu PC seguro
- Use protocolos seguros
- Use uma senha forte
- Use plugins para tornar mais difícil adivinhar sua senha
- Renomeie a conta de administrador
- Feche ou limite o acesso às portas do seu firewall
- Limpe despejos de banco de dados, backups e especialmente código antigo de sua raiz da web
- Escolha plugins e temas com cuidado e remova os que você não usa
- O mais importante é mantê-los atualizados
Nexcess mantém seu site WordPress seguro
Ter seu site invadido pode ser um desastre. Isso não apenas faz você parecer mal, mas pode levar a um tempo de inatividade prolongado ou até mesmo a pedidos perdidos.
Hospedagem WordPress com Nexcess é um primeiro grande passo para manter seu site WordPress seguro.
Nexcess fornece uma plataforma segura para hospedar seu site WordPress. Com o Nexcess, você obtém monitoramento de segurança sempre ativo, backups diários gratuitos, certificados SSL e IThemes Security Pro.
E com uma equipe de especialistas em WordPress e profissionais de suporte disponíveis 24 horas por dia para ajudar com qualquer dúvida que você tenha, você sempre terá os recursos necessários 24 horas por dia, 7 dias por semana.
Explore nossos planos de hospedagem WordPress totalmente gerenciados para começar hoje.