Como proteger seu site WordPress

Os serviços de hospedagem gerenciada do WordPress (como o Pressidium) normalmente colocam uma ênfase significativa na segurança de sua plataforma de hospedagem. Uma série de recursos são implantados para ajudar a manter os sites WordPress hospedados nesses sistemas seguros.

No entanto, há muito que um host WordPress pode fazer para garantir a segurança de um site WordPress. Os proprietários de sites têm seu próprio papel a desempenhar para garantir que seus sites permaneçam seguros. Neste artigo, veremos as etapas que você pode seguir para proteger seu site WordPress.

Mantendo seu site seguro - uma visão geral

Muitos hacks de sites acontecem como resultado direto de ações (ou inações) tomadas pelos proprietários de sites. Coisas como não atualizar plug-ins para a versão mais recente ou usar uma senha fraca resultam em pontos fracos exploráveis ​​em seu site que os hackers terão como alvo. A boa notícia é que existem várias etapas simples que você pode seguir para ajudar a manter seu site WordPress seguro. Esses incluem:

• Certifique-se de que você e quaisquer outros usuários do site estejam usando senhas fortes
• Use um mecanismo de Captcha
• Usar autenticação de dois fatores (2FA)
• Excluir usuários inativos
• Use um sistema de 'limitar tentativas de login'
• Sempre mantenha seus arquivos principais, plugins e temas atualizados para a versão mais recente
• Altere seu URL de login padrão
• Evite usar temas e plugins nulos

Vamos dar uma olhada em algumas dessas etapas e descobrir como você pode aplicá-las ao seu site.

Certifique-se de que seus usuários estejam usando senhas fortes

Não há firewall do lado do servidor ou outro sistema de segurança de hospedagem que possa proteger seu site WordPress de uma senha fraca. Apesar dos problemas conhecidos com o uso de uma senha fraca, as estatísticas sugerem que surpreendentes 35% dos usuários ainda usam senhas fracas para proteger seu site WordPress, apesar de serem solicitados pelo WordPress a escolher uma senha mais forte.

Talvez a conclusão que pode ser tirada disso é que alguns usuários simplesmente não estão cientes de quão vulnerável seu site se torna quando uma senha fraca é usada. Infelizmente, os hackers há muito tempo descobriram como tirar vantagem dos usuários que escolhem senhas previsíveis que seguem certos padrões (como uma data de nascimento ou o nome de um animal de estimação).

Outros, embora cientes da vulnerabilidade das senhas fracas, continuam a usá-las, talvez porque seja a coisa mais fácil de fazer. Afinal, lembrar uma senha simples é muito mais fácil do que uma senha mais complexa construída com letras, números e símbolos aleatórios.

Sem dúvida, sua senha oferece uma linha crítica de defesa contra hackers. Quanto mais forte é melhor. Idealmente, uma senha deve ser única, gerada aleatoriamente e atualizada regularmente.

Use um mecanismo de Captcha no formulário de login

O objetivo de um captcha é distinguir humanos de 'bots', que são aplicativos de software que realizam tarefas automatizadas. Os hackers podem usá-los para tentar obter acesso a sites por meio da página de login, instruindo o bot a fazer tentativas contínuas usando dados aleatórios para acessar um site. Um captcha é projetado para ajudar a evitar esses tipos de ataques em um site, distinguindo entre humanos e bots. Os captchas são usados ​​há três décadas e ainda são implantados em inúmeros sites para ajudar a protegê-los contra a atividade de bots.

Um captcha pode ser adicionado ao seu site WordPress com o objetivo de bloquear as tentativas de login do bot. Uma maneira fácil de fazer isso é instalando o plugin Login no Captcha reCaptcha, que aproveita o sistema de captcha do Google.

Quando instalado, você verá a familiar caixa de seleção reCaptcha aparecer abaixo do painel de login. Marque isso e você está fora (supondo que você saiba o nome de usuário e a senha corretos de qualquer maneira!).

Para que o plug-in funcione, você precisará se inscrever em uma conta gratuita do Google reCaptcha, que permitirá gerar uma chave de site e uma chave secreta.

Como gerar o site e a chave secreta:

1. Faça login na sua conta do Google (você precisará se registrar para uma se ainda não tiver uma conta). Vá para a página do Google reCaptcha e clique em 'Admin Console' que aparece no canto superior direito.
2. Clique no ícone 'Plus +' que está novamente no canto superior direito para registrar um novo site. Preencha as informações necessárias.
3. Clique no botão enviar e você verá uma página como esta:

Você precisará colar esses valores nas caixas nas configurações do plug-in conforme promovido.

Autenticação de dois fatores (2FA)

O uso de um processo de autenticação de dois fatores adicionará uma camada extra de segurança às páginas de login de seus sites, evitando o que é conhecido como ataque de 'força bruta'. Esses tipos de ataques são onde um bot tenta acessar continuamente seu site usando senhas e nomes de usuário que foram adivinhados (normalmente seguindo algumas listas pré-definidas que tiram vantagem de senhas 'fracas' conhecidas, como 123password e assim por diante. O bot irá continue tentando acessar seu site até que seja bem-sucedido, o que é uma má notícia em duas frentes. usuários.

Felizmente, existem plugins de terceiros disponíveis que podem ajudar a impedir isso.

Plug-in de dois fatores

O plug-in de dois atores da Plugin Contributors é um plug-in útil e fácil de usar que fornece aos sites proteção de dois fatores, forçando os usuários a fornecer um código de autenticação junto com suas credenciais de login normais. Esse código pode ser enviado por e-mail ou gerado usando um gerador de senha de uso único, como o Google Authenticator.

Plug-in do Google Authenticator

O plug-in Google Authenticator é outro plug-in 2FA popular que pode ser implantado para proteger seu site WordPress. Este plugin totalmente gratuito fornece uma série de opções de autenticação 2FA, incluindo SMS e, claro, usando o aplicativo Google Authenticator. Configurar isso é bastante rápido e fácil. Basta seguir as instruções ao ativar o plug-in.

Excluir usuários inativos

Outro alvo fácil para os invasores são as contas de usuários de sites que não são usadas há muito tempo. O resultado disso é que a senha geralmente é mais fraca do que poderia ser se o usuário tivesse criado a conta recentemente ou estivesse acessando regularmente o site. Por isso, vale a pena excluir periodicamente todas as contas inativas.

Você pode usar um plug-in para detectar facilmente esses usuários inativos, como o plug-in When Last Login.

Uma vez ativado, ele simplesmente adiciona uma coluna personalizada à tabela de lista de usuários administrativos que exibe o carimbo de data e hora da última data e hora de login desse usuário. Você pode classificar esta coluna rapidamente, sendo capaz de identificar usuários inativos, o que significa que você pode excluí-los, se apropriado.

Em seguida, em Usuário -> Todos os usuários classificam pela coluna "Último login" adicionada:

Limitar tentativas de login

Outra maneira de adicionar uma camada extra de segurança ao seu site WordPress é limitando o número de tentativas de login permitidas dentro de um determinado período de tempo. Essa técnica frustra os bots que fazem suposições de login contínuas. Além disso, alguns plugins que fornecem essa funcionalidade também podem bloquear o endereço IP do qual as tentativas de login se originaram e, ao fazê-lo, impede que esse bot específico que opera a partir desse endereço IP tente ataques repetidos em seu site no futuro.

Um bom plugin que oferece essa funcionalidade é o plugin gratuito Limit Login Attempts Reloaded.

Com mais de 1 milhão de instalações no momento da escrita, você pode ter certeza de que o plug-in funciona bem.

Depois de instalá-lo e ativá-lo, vá para o menu Configurações e clique em 'Limitar tentativas de login'. Você poderá alterar uma série de parâmetros, incluindo o número de tentativas permitidas antes que o usuário seja bloqueado no site.

Limitar as tentativas de login é uma maneira extremamente eficaz de proteger seu site, e é por isso que habilitamos isso como padrão em todos os sites hospedados pelo Pressidium.

Observação: se você estiver usando o Jetpack, um lançamento de recurso recente chamado 'módulo de proteção' inclui um sistema de limite de tentativas de login como padrão. Este sistema também fornece informações sobre as tentativas de login bloqueadas e a opção de colocar IPs na lista de permissões. Se você estiver usando este plug-in, não há necessidade de instalar um plug-in de 'limite de login' separado.

Mantenha seus arquivos principais, plugins e temas atualizados para a versão mais recente

Entre muitos outros benefícios, atualizar seu núcleo, tema e plugins do WordPress é fundamental para a segurança do seu site. As estatísticas mostram que versões, temas e plug-ins desatualizados são a maneira mais popular de os hackers obterem acesso a sites, mantendo-os atualizados uma prioridade.

Na Pressidium, atualizamos automaticamente o núcleo do WordPress para a versão mais recente após testá-lo pela primeira vez para garantir que não haja problemas importantes que causem problemas aos nossos clientes com seus sites. Como essas atualizações são realizadas automaticamente, você pode ficar tranquilo sabendo que seu site está sempre executando a versão mais recente do WordPress.

Hospede seu site com a Pressidium

GARANTIA DE DEVOLUÇÃO DO DINHEIRO DE 60 DIAS

VEJA NOSSOS PLANOS

Além disso, tornamos a atualização de plug-ins em sites hospedados conosco o mais fácil possível, fornecendo um recurso de atualização de plug-in acessível através do painel do Pressidium. Isso permite que nossos clientes vejam rapidamente se os plug-ins de seus sites precisam ser atualizados. Nesse caso, a atualização pode ser realizada com alguns cliques no painel do Pressidium. Também verificamos regularmente sites hospedados conosco em busca de plug-ins que tenham vulnerabilidades conhecidas e informaremos o proprietário do site sobre essa vulnerabilidade por e-mail. Nos casos em que um plug-in desatualizado representa um risco extremo para um site, atualizaremos isso proativamente em nome do proprietário do site.

Altere seu URL de login padrão

Agora que analisamos as maneiras de proteger a página de login (na verdade, protegendo a 'porta da frente'), vamos dar uma olhada nas opções para esconder a porta da frente, garantindo que um ladrão (ou hacker!) .

Uma ótima maneira de fazer isso é alterar o local do URL de login padrão do WordPress, alterando-o para um personalizado. Ao fazer isso, você bloqueia instantaneamente o tráfego do wp-login, o que, por sua vez, significa que você não deve experimentar nenhum ataque de força bruta em seu site.

Um desses plugins que permite alterar rapidamente a localização da página de login é o WPS Hide Login.

Evite usar temas e plugins nulos

Temas ou plugins nulos são aqueles que normalmente contêm malware ou código modificado projetado para causar danos. Eles estão frequentemente disponíveis 'a baixo custo' e é por isso que eles atraem as pessoas. Afinal, ninguém gosta de gastar dinheiro com temas e plugins premium. Com alguns temas e plugins nulos disponíveis por uma fração do custo da versão 'genuína', você pode ver por que eles são tentadores de usar.

Na realidade, as 'economias' que você faz usando versões nulas podem muitas vezes ser ofuscadas pelos custos incorridos como resultado de seu site estar infectado por malware. Mesmo que não contenham código malicioso, muitas vezes terão anúncios e pop-ups irritantes que podem arruinar a experiência do plugin ou tema. Além disso, eles obviamente não são suportados pelo desenvolvedor original, o que significa que não há a quem recorrer se algo der errado.

Resumindo, não use temas ou plugins nulos… realmente não vale a pena!

Conclusão

Um site invadido não é do interesse de ninguém (além, é claro, do hacker). Embora a hospedagem gerenciada do WordPress de alta qualidade possa melhorar significativamente a segurança do seu site, também é importante lembrar que você, como proprietário do site, também tem um papel a desempenhar na segurança do seu site.

Seguir até mesmo algumas das etapas simples descritas acima pode realmente ajudar a melhorar a segurança do seu site e vale a pena implementar.