Como proteger o site de hackers e protegê-lo facilmente

Seu site é valioso: para você e para os visitantes do seu site. E também, para hackers.

Para construir boas defesas contra ataques maliciosos, você precisa de um guia prático sobre como proteger um site contra hackers .

Este é o guia de proteção contra hackers!

Como estamos tão confiantes? O MalCare protege mais de 25.000 sites, e nossa equipe de suporte descobre o malware mais esquivo de sites todos os dias. Sabemos algumas coisas sobre como proteger seu site contra hackers e outros ataques mal-intencionados.

TL;DR: A melhor medida de segurança é instalar um plug-in de segurança executado no piloto automático. Também recomendamos que você implemente todas as medidas de segurança descritas neste artigo.

Antes de você começar

Ver uma longa lista de medidas de segurança para proteger o site de hackers pode ser um pouco assustador. Nós percebemos isso. Portanto, para facilitar a implementação dessas medidas de segurança, organizamos esta lista de proteção contra hackers com facilidade. Sugerimos marcar este artigo como favorito e voltar a ele enquanto você trabalha nele.

Há uma mistura de etapas de proteção nesta lista: coisas que você deve fazer, coisas que não deve fazer e alguns mitos desfeitos também.

O objetivo deste artigo é desmistificar a segurança, eliminando a confusão que está disponível em outros lugares. No entanto, a maior conclusão deve ser que proteger seu site contra hackers e vírus não é uma atividade única; mas mais sobre isso à medida que progredimos.

6 etapas básicas para proteger seu site contra hackers imediatamente

As medidas de proteção nesta seção são as mais fáceis de implementar e, honestamente, irão prepará-lo razoavelmente bem. À primeira vista, eles podem parecer técnicos ou avançados, mas acredite em alguém que não é engenheiro: você conseguiu!

1. Instale um bom firewall

Os hackers não invadem sites manualmente. Um bom hacker criará um bot que fareja sites vulneráveis ​​e automatiza a maior parte do processo. Agora, os bots são programados para realizar ações muito específicas. Eles não são sencientes.

Basicamente, um firewall é um código que identifica solicitações maliciosas. Cada solicitação de informação feita ao seu site primeiro passa pelo firewall. Se o firewall detectar que a solicitação é maliciosa ou feita a partir de um endereço IP sabidamente malicioso, a solicitação é bloqueada em vez de processada.

Evite alterar a configuração do firewall

Alguns firewalls permitirão que você defina as configurações. No entanto, não o recomendamos, a menos que você seja um profissional de segurança de sites genuíno. As regras de firewall são criadas após pesquisas de segurança significativas e muita remoção de malware em primeira mão.

Por exemplo, a maioria dos plug-ins de segurança do WordPress possui regras que impedem que qualquer pessoa sem acesso de administrador acesse o arquivo wp-config.php. O arquivo wp-config.php é um arquivo central do WordPress que contém muitas informações confidenciais. Assim, o firewall verifica cada requisição feita ao site para ver se contém o texto “wp-config.php”. Se essa regra for acionada, a solicitação será negada pelo firewall.

Além disso, como os hackers tentam invadir o maior número possível de sites quando uma vulnerabilidade é descoberta, isso revela os IPs dos hackers. Os firewalls do WordPress rastreiam e bloqueiam IPs maliciosos preventivamente, com base nesses ataques.

Claro, nenhum firewall é 100% inviolável. Mas é muito melhor ter um firewall que bloqueia a maioria dos softwares mal-intencionados do que não ter nenhum firewall. Mas todos os firewalls não são iguais e alguns são muito mais eficazes do que outros. Então, fizemos uma lista dos melhores firewalls WordPress para você escolher.

2. Tenha uma política de senha forte e use um gerenciador de senhas

Estamos na segurança do WordPress há mais de uma década. Você ficaria surpreso ao saber quantos sites foram invadidos simplesmente porque a senha era fraca.

Senhas fáceis de adivinhar são usadas por centenas de milhares de sites. 5% dos sites invadidos que usaram o MalCare para remover malware usavam senhas fracas.

Os hackers têm uma lista dessas senhas chamadas de tabelas arco-íris e constantemente geram tabelas maiores para usar como uma espécie de dicionário. Usando essas tabelas, um hacker pode lançar um ataque conhecido como 'ataque de dicionário'.

Os ataques de dicionário são principalmente uma variante dos ataques de força bruta. Mas essa não é a única maneira de hackear uma senha. Portanto, senhas fortes são recomendadas.

Senhas fortes são uma combinação de letras, números e símbolos. Combinações incomuns são difíceis de decifrar e podem levar anos para serem decodificadas pelos algoritmos de força bruta. Além disso, quanto mais longa for uma senha, mais difícil será decifrá-la.

Este artigo ajudará você a criar sua própria senha épica.

Você também pode usar plugins para impor senhas fortes de todos os seus usuários do WordPress com o plugin Password Policy Manager for WordPress. Este plug-in ajudará você a criar políticas que forçam todos os usuários do WordPress a criar senhas fortes ao criar suas contas.

3. Instale SSL e use HTTPS em seu site

O certificado Secure Sockets Layer (SSL) é um protocolo de segurança que criptografa todas as comunicações de e para um site. A instalação de um garantirá que, mesmo que um hacker intercepte os dados do seu site, eles nunca serão capazes de entender o que é.

Criamos um guia completo sobre a instalação correta de um certificado SSL. Sério, o hype é justificado. Obtenha um certificado SSL para o seu site agora. Como um bônus adicional, você também obterá benefícios de SEO.

4. Examine cuidadosamente os usuários administradores

A maioria das pessoas assume que os hackers apenas instalarão malware em seu site e sairão. Isso não é verdade. Os hackers realmente inteligentes criarão uma conta fantasma com privilégios de administrador para que possam voltar quando quiserem.

Revisar e remover usuários do WordPress regularmente pode resolver esse problema.

Sim, pode ser uma atividade demorada se você tiver uma grande equipe gerenciando seu site. Mas vale a pena. A exclusão de usuários que não contribuem mais com seu site é o primeiro ponto de partida. Em seguida, torne obrigatórias as senhas fortes para que seus redatores e editores não comprometam acidentalmente seu site.

Você pode seguir ótimas práticas de segurança para suas senhas, mas se um de seus administradores for vítima de um golpe de phishing, por exemplo, seu site também será afetado.

Faça pleno uso das funções de usuário do WordPress para restringir o acesso o máximo possível. Por exemplo, se alguém estiver apenas escrevendo e enviando artigos, dê a ele acesso de 'Autor' e não acesso de 'Administrador'. Leia nosso artigo sobre as funções do WordPress para descobrir como fazer tudo sem problemas.

5. Use um registro de atividades

Ver algo inesperado em seu site pode disparar um alarme oportuno em diversas situações. Considere se uma conta de administrador foi criada sem o seu conhecimento; ou um plugin desativado (um de segurança, por exemplo) sem consenso.

Todos esses são exemplos de ações legítimas de administração de sites, mas também podem ser sintomáticos de acesso não autorizado. Os logs de atividades informam o que está acontecendo em seu site e você pode avaliar se essas ações são legítimas ou não.

Essa prática salvou nosso bacon muitas vezes.

A maioria dos hackers é extremamente cuidadosa para não ser pego, porque eles só podem controlar seu site enquanto não forem pegos. Os logs de atividades ajudam a sinalizar alterações, para que você possa eliminar atividades não autorizadas pela raiz.

O MalCare vem com um log de atividades no painel e não é necessária nenhuma configuração para configurá-lo.

6. Faça backups regulares

Fazer backups é possivelmente uma das táticas mais subestimadas que você pode aplicar. Sempre faça backups diários para que você possa restaurar rapidamente seu site em caso de falha catastrófica.

Escolha um bom plug-in de backup que seja confiável, porque os backups manuais são difíceis de executar corretamente sem experiência considerável.

Na verdade, antes de prosseguir com qualquer uma das etapas deste artigo, faça um backup completo do seu site e configure backups diários imediatamente. Essa é sempre uma boa prática ao fazer alterações em seu site.

5 etapas intermediárias para proteger seu site para o próximo nível

As etapas básicas do artigo são um bom começo e não devem levar muito tempo para serem configuradas. Nesta seção, além da autenticação de dois fatores e limitação das tentativas de login, as etapas são medidas de segurança contínuas.

Como dissemos anteriormente neste artigo, é importante pensar na segurança do site da maneira certa. Não é uma configuração ou atividade única e deve ser considerada uma parte regular da administração do seu site.

1. Atualize tudo

Mais de 90% dos hacks ocorrem porque os hackers identificaram uma vulnerabilidade em um tema ou plug-in e o exploraram em vários sites.

Então, o que é uma vulnerabilidade? Temas e plugins são software. Como qualquer outro software, são pedaços de código que invariavelmente terão bugs. Alguns bugs são relativamente inofensivos e podem causar apenas uma pequena falha durante a atualização. Outros podem tornar o código vulnerável à exploração.

Quando as vulnerabilidades são descobertas, principalmente por pesquisadores de segurança, elas são divulgadas ao desenvolvedor do plug-in para correções. Os desenvolvedores responsáveis ​​lançarão uma correção e os sites com o plug-in instalado verão que uma versão atualizada do plug-in estará disponível em breve.

Depois que a correção é lançada, a vulnerabilidade é divulgada publicamente. Se você foi um dos sites que atualizou o plug-in ou tema com a correção de segurança, isso é excelente. Caso contrário, seu site se tornará alvo de hackers amadores (chamados de script kiddies) que procuram ganhar dinheiro rapidamente.

Portanto, é sempre melhor manter tudo – desde o WordPress até os plugins – atualizado o tempo todo. Sabemos que as atualizações às vezes podem interromper os sites de maneiras inesperadas, portanto, para contornar qualquer inconveniente, use a preparação para atualizar com segurança. Mas, por favor, atualize tudo.

Criamos um guia sobre como atualizar sites WordPress com segurança e com o mínimo de interrupção.

2. Escolha bons temas e plugins

Se você observou na seção anterior, nos referimos aos desenvolvedores que lançam atualizações para corrigir vulnerabilidades como responsáveis. Resumindo, bons desenvolvedores mantêm ativamente seu software.

Isso não é de forma alguma um estado de coisas universal. Triste mas verdadeiro.

Assim, defendemos fortemente o uso de bons plugins e temas para o seu site. Compreensivelmente, “bom” é um termo relativo e um tanto vago. Por isso, listamos os fatores que você deve considerar ao optar por um plugin para o seu site:

• Atualizações regulares: um plug-in ou tema que lança atualizações consistentemente e continua corrigindo qualquer vulnerabilidade que descobre. Isso lhe dirá que o desenvolvedor leva a sério os riscos de segurança de seu produto.

• Instalações ativas: um plug-in popular com milhões de instalações sempre terá um alvo nas costas. O Contact Form 7 é um exemplo muito claro dessa tendência. O outro lado é que os plugins populares também tendem a ser mais seguros porque geralmente têm uma equipe maior e melhor trabalhando para melhorar o produto. Portanto, escolha sabiamente, depois de fazer uma pesquisa adequada.

• Credibilidade: Evite instalar um plugin ou tema desenvolvido por freelancers que ninguém ouviu falar. Use apenas plugins e temas desenvolvidos por desenvolvedores e marcas de renome. Se você estiver comprando em um mercado, certifique-se de confiar no desenvolvedor e não apenas no mercado.

• Versões pagas: normalmente, os fornecedores de plug-ins pagos gastam mais tempo e dinheiro para encontrar e corrigir vulnerabilidades. Se você estiver com um orçamento muito apertado, um plug-in gratuito fará mais sentido. Mas se você está preocupado com a segurança do seu site, recomendamos o uso de temas e plugins premium.

Como observação, você pode ficar tentado a usar plugins e temas nulled. Não faça isso. O risco simplesmente não vale a pena.

O software anulado espalha malware. É por isso que você está recebendo um produto premium de graça. Mas mesmo que o arquivo zip não contenha nenhum código obviamente malicioso, qualquer plug-in anulado ou usuário de tema sabe que não pode atualizar o software. Isso torna o site vulnerável a um hack, como dissemos na seção anterior.

3. Implemente 2FA

A autenticação de dois fatores (2FA) é uma medida de segurança que adiciona outro dispositivo ou token ao qual você deve ter acesso para fazer login, além de sua senha.

Existem alguns protocolos usados ​​para 2FA, como TOTP (senha única baseada em tempo) ou HOTP (senha única baseada em HMAC). Cada um deles tem seus prós e contras, mas para fins de segurança de login, não precisamos nos aprofundar nesses detalhes.

Existem vários aplicativos pagos e gratuitos que podem ser usados ​​para adicionar 2FA à sua página de login e eles suportam os protocolos mais populares. Para obter mais ajuda, confira este artigo para ver como configurar o WordPress 2FA. Se você tem muitos colaboradores em seu site, é definitivamente uma boa ideia implementar esse recurso de segurança.

4. Selecione um bom host

A maioria das pessoas considera os hosts da web responsáveis ​​até pela segurança do site. Mas raramente é culpa do host se seu site for invadido. Na verdade, nos raros casos em que um host da Web é responsável por uma violação de segurança, as ramificações são enormes. Milhares de sites são afetados.

O sapato está no outro pé na maioria das vezes, e um bom host é fundamental para proteger seu site contra hackers. Portanto, você deve buscar o serviço de hospedagem mais seguro. Aqui está uma lista dos melhores provedores de hospedagem WordPress que compilamos para ajudá-lo a selecionar um bom host.

5. Limite as tentativas de login

Uma maneira fácil de bloquear bots e invasores de força bruta é negar a entrada em um endereço IP após 3 tentativas malsucedidas. O firewall MalCare vem integrado a esse recurso. Limitar as tentativas de login é uma maneira altamente eficaz de proteger seu site sem muitas desvantagens.

Você também pode usar o plug-in 'Limit Loginizer' ao instalar o WordPress. Mas se você errar sua própria senha 3 vezes, terá que pedir ao seu host para desbloquear seu endereço IP para tentar novamente.

2 etapas especializadas para realmente aumentar a proteção do seu site

Mesmo que você tenha conseguido concluir as etapas das seções anteriores, você está bem em termos de proteção de seu site contra hackers. As medidas a seguir são eficazes, no entanto, elas exigem alguma pesquisa no código.

Queremos reiterar que a maioria dos hacks ocorre devido a vulnerabilidades, portanto, cuidar delas protegerá seu site contra hackers e vírus muito bem. Se você não se sentir à vontade para tentar as etapas a seguir, poderá ignorá-las ou enviá-las ao seu desenvolvedor para implementação. De qualquer forma, seu site ainda está bem protegido contra hackers.

1. Bloqueie a execução do PHP na pasta de uploads

Há toda uma classe de vulnerabilidades chamadas vulnerabilidades de Execução Remota de Código que permitem que hackers carreguem códigos PHP maliciosos na pasta Uploads. Normalmente, a pasta Uploads não deve conter nenhum código executável. Destina-se a conter seus arquivos de mídia. Mas a natureza da pasta Uploads é que ela permite que arquivos e pastas sejam armazenados dentro dela.

Depois que o código é carregado em seu site, um hacker pode executá-lo e obter controle efetivo sobre seu site. No entanto, se você bloquear a execução do PHP na pasta Uploads, o ataque nunca poderá ocorrer.

Se você estiver usando o MalCare, poderá bloquear a execução do PHP na pasta Uploads com o clique de um botão como parte das medidas de proteção do WordPress.

2. Altere as chaves de segurança do WordPress

Se você foi invadido recentemente, pode alterar suas chaves de segurança do WordPress. Esta é uma string com hash junto com seu nome de usuário e senha para gerenciar as sessões de login dos usuários.

Você pode definir essa string para qualquer coisa, no entanto, como com senhas, é melhor usar uma string alfanumérica gerada aleatoriamente. Leia mais sobre chaves de segurança e como alterá-las.

2 dicas BÔNUS para proteção de sites contra hackers

1. Mantenha-se atualizado sobre as notícias de segurança

Manter-se informado, fazer perguntas e consultar a comunidade são excelentes maneiras de acompanhar os últimos hacks e mudanças no cenário de ameaças. Por exemplo, se uma vulnerabilidade de plug-in for descoberta, você poderá desativá-la em seu painel até que a atualização esteja disponível e instalada. Qualquer inconveniente que você enfrente será insignificante em comparação com as perdas sofridas por um site invadido.

2 . Realize auditorias de segurança regulares

Muitos proprietários de sites acreditam erroneamente que seus sites são muito pequenos para serem considerados dignos de hackers. Isso não está nem perto da verdade. Os hacks acontecem por vários motivos e, se o seu site não for, digamos, lucrativo em termos de dados do usuário, ele ainda terá autoridade de SEO suficiente para ser usado como um site de phishing.

Verificações de segurança regulares ajudarão a descobrir práticas inseguras, bem como possíveis vulnerabilidades em seu site. Ao ficar de olho nos acontecimentos do seu site - por meio de um registro de atividades ou analisando os usuários, por exemplo - você evitará uma tonelada de sofrimento a longo prazo.

Coisas que não ajudarão a proteger seu site

Defendemos estar conscientes da segurança, mas não paranóicos. Além disso, vimos que há muitos conselhos ruins para proprietários de sites na natureza. O conselho pode vir de um bom lugar, no entanto, pode ter consequências não intencionais, como criar uma experiência de usuário ruim ou impedir que você acesse seu próprio site!

Então, por favor, não faça o seguinte.

1. Oculte sua página de login do wp

Muitos plugins de segurança ainda acreditam que esse antigo truque funciona.

Se o hacker não conseguir encontrar a página de login, não poderá realizar ataques de força bruta, certo? Não, na verdade não. Em vez de:

• Isso torna seu site muito difícil de usar. Se você esquecer o novo URL de login, pode ser difícil recuperar sua conta.
• Se você usar os URLs padrão que acompanham o plug-in de segurança, será fácil para os hackers adivinhar seu novo URL.
• Mesmo que os hackers não consigam encontrar a página wp-login, eles ainda podem invadir seu site usando a vulnerabilidade XML-RPC.

Esta opção não leva a nada no final e pode causar alguns problemas.

2. Bloqueio geográfico

O bloqueio geográfico basicamente bloqueia o tráfego de países onde seu produto ou serviço não está disponível ou não é relevante. Isso geralmente é visto como uma medida de segurança, mas na verdade é uma maneira de reduzir o faturamento dos recursos consumidos do servidor.

É bem possível que você pense que o tráfego do Gabão não está ajudando o seu negócio. Mas bloquear todo o tráfego do Gabão não resolve nada. Com uma boa VPN, qualquer pessoa pode ignorar até mesmo o bloqueio geográfico da Netflix.

Além disso, você corre o risco de bloquear o Googlebot e a si mesmo!

3. Protegendo com senha o diretório wp-admin

A pasta wp-admin é um dos diretórios mais importantes em qualquer instalação do WordPress. Então, naturalmente, todo hacker quer entrar nisso. Os profissionais de segurança inicialmente pensaram que proteger o diretório com senha seria uma boa ideia, mas, desde então, percebemos que não é uma boa prática.

A senha que protege seu diretório wp-admin interrompe a funcionalidade AJAX em seu site WordPress e causa o mau funcionamento de muitos plug-ins. Se você estiver executando um site WooCommerce, o código AJAX quebrado pode destruir sua funcionalidade de pesquisa e outros elementos críticos de UX.

Por que você deve proteger seu site contra hackers?

Este artigo já contém muitas informações sobre como proteger seu site contra hackers, e talvez já tenhamos mencionado isso algumas vezes, mas vale a pena repetir. Seu site é valioso.

Quando dizemos que é valioso, não estamos falando apenas de você e de seus visitantes. Talvez você tenha uma pequena loja online ou um blog de hobby que um pequeno grupo de pessoas visita regularmente. O negócio é que, mesmo que o ganho monetário direto de hackear seu site não seja grande, os benefícios de ter um site limpo para vender mercadorias ilegais ou do mercado cinza ainda fazem o hack valer a pena para o hacker.

Portanto, um site pequeno não é proteção contra intenções nefastas.

Em segundo lugar, cabe a todos nós proteger os dados e identidades de nossos usuários. Eles estão depositando uma certa confiança em um site ao visitá-lo, e devemos estar atentos e atenciosos com eles ao considerar a segurança do site.

Conclusão

Você pode parar um hacker sendo vigilante e adotando uma abordagem proativa de segurança. É importante perceber que proteger seu site contra hackers e ataques maliciosos é um processo contínuo. Existem etapas que você pode executar uma vez, mas principalmente precisa estar ciente das mudanças no cenário de ameaças.

Além disso, não existe um artigo definitivo e completo que possa ajudá-lo a impedir todos os hacks possíveis contra o seu site. Qualquer artigo, site ou especialista que afirme fazer isso não está sendo verdadeiro.

Portanto, embora não possamos realmente prometer que este artigo manterá seu site seguro e protegido para sempre, fornecemos algumas dicas gerais de segurança que tornarão seu site muito difícil de hackear. Usando as dicas deste artigo, você poderá corrigir várias falhas na segurança do seu site.

perguntas frequentes