Como evitar que um site WordPress seja invadido

Publicados: 2024-05-28

Os sites WordPress representam mais de 43% de todos os sites, e essa popularidade torna a plataforma um alvo para ataques online. Isso significa que, embora existam benefícios aparentemente ilimitados para o WordPress, também existem vulnerabilidades conhecidas que os hackers podem explorar.

É por isso que é uma boa ideia tomar as medidas adequadas de segurança na web para evitar que seu site WordPress seja hackeado. Dessa forma, você pode proteger todos os seus dados confidenciais, preservar a reputação da sua empresa e manter a confiança e a fidelidade do cliente.

Nesta postagem, examinaremos mais de perto hacks e vulnerabilidades comuns do WordPress. A seguir, mostraremos como evitar tentativas de hacking no WordPress.

Quão comuns são os hacks do WordPress?

O software principal do WordPress é muito seguro e é auditado regularmente pelos desenvolvedores. Dito isto, a popularidade do sistema de gerenciamento de conteúdo (CMS) o torna um alvo para hackers que desejam lançar uma ampla rede para roubar informações confidenciais, distribuir malware e realizar outras ações maliciosas.

O WordPress também pode ser alvo porque, como software de código aberto, o WordPress torna todas as vulnerabilidades de segurança conhecidas publicamente. Na verdade, o WPScan possui atualmente 49.000 vulnerabilidades do WordPress listadas em seu banco de dados.

Isso pode tornar mais fácil para pessoas mal-intencionadas comprometerem o software. Além disso, por ser uma plataforma amigável para iniciantes, muitos usuários do WordPress não sabem como manter e proteger adequadamente seus sites. Por exemplo, uma das melhores maneiras de proteger o WordPress é manter o software atualizado. Mas apenas 80% dos usuários do WordPress instalaram a versão seis do software.

E, desses 80 por cento, apenas 75 por cento estão usando a versão mais recente do WordPress. Como tal, esses sites podem ter mais dificuldade em evitar hacks do WordPress.

Vulnerabilidades comuns que causam hacks em sites WordPress

Agora que você sabe um pouco mais sobre o problema, vamos dar uma olhada nas principais vulnerabilidades que podem levar a hacks do WordPress.

1. Núcleo e plug-ins do WordPress desatualizados

O software principal do WordPress é atualizado regularmente com novos recursos, correções de bugs e outras melhorias de segurança. Na verdade, já houve dez lançamentos de WordPress neste ano.

A versão mais recente veio com duas correções de bugs no Core, 12 correções para o editor de blocos e uma correção de segurança adicional. A maioria dos desenvolvedores de plug-ins também lança versões mais recentes de seus próprios softwares que vêm com correções de segurança.

Assim, depois que um software já existe há algum tempo, é mais provável que os hackers descubram como explorar seus pontos fracos. Em seguida, eles podem usá-lo como backdoor para obter acesso não autorizado ao seu site e realizar atividades maliciosas.

2. Senhas fracas

Outra causa comum de hacks no WordPress são as escolhas de senhas fracas, e é uma das mais fáceis de resolver. A má notícia é que muitos usuários priorizam a conveniência em vez da segurança quando se trata de definir novas senhas.

Na verdade, “123456” foi a senha mais comum no ano passado e foi usada mais de 4,5 milhões de vezes. A segunda senha mais usada foi “admin”, que foi usada quatro milhões de vezes.

Mesmo que os proprietários de sites entendam a importância de senhas fortes, nem todos os usuários tomarão o cuidado de defini-las. É por isso que é uma boa ideia educar os usuários e impor senhas fortes no WordPress usando ferramentas como o Password Policy Manager.

3. Temas inseguros e desatualizados

Como é o caso do núcleo e dos plug-ins do WordPress, temas inseguros e desatualizados são outro excelente candidato para hacks do WordPress. Assim como acontece com os plug-ins, temas desatualizados geralmente não possuem patches de segurança e correções de bugs.

Além disso, eles podem se tornar incompatíveis com outros plug-ins e com o software principal, o que pode levar a erros do WordPress, como a tela branca da morte. Além disso, como o WordPress é de código aberto, qualquer desenvolvedor pode vender temas online.

É por isso que é importante recorrer a fontes e desenvolvedores confiáveis ​​para garantir que os temas sejam seguros para uso. Outro sinal positivo são as atualizações frequentes, que você pode conferir na página dedicada ao tema. Também é útil verificar as classificações e ler os comentários. Muitas instalações ativas também podem indicar que um tema é seguro para uso.

4. Falta de um plugin de segurança

Os plug-ins de segurança fornecem uma maneira proativa de detectar ameaças e proteger seu site contra ataques do WordPress. Melhor ainda, a maioria dos plugins de segurança funcionam automaticamente. Isso significa que, depois que sua ferramenta de segurança estiver configurada, ela funcionará em segundo plano, com pouca ou nenhuma necessidade de gerenciamento manual.

Sem plug-ins de segurança, é fácil ignorar os sinais comuns de uma tentativa de hacking do WordPress. Por exemplo, soluções como Jetpack Security vêm com proteção contra força bruta e um firewall de aplicativo da web (WAF) para filtrar tráfego suspeito em seu site.

O Jetpack fornece verificação de malware em tempo real, bem como proteção contra comentários e spam.

Além do mais, o Jetpack oferece verificação de malware em tempo real, bem como proteção contra comentários e spam. Você também pode automatizar o processo de backup e armazenar as cópias do seu site em um local remoto e seguro. Além disso, é fácil restaurar seu site se algo der errado.

Como os hackers exploram essas vulnerabilidades

Agora que você conhece as principais vulnerabilidades que levam aos hacks do WordPress, vamos dar uma olhada nas maneiras mais comuns pelas quais os hackers exploram essas vulnerabilidades. O método principal para hacks do WordPress é direcionar arquivos principais, plug-ins, temas ou páginas de login.

Muitos hackers utilizam bots que verificam sites automaticamente para identificar pontos fracos que podem ser explorados posteriormente. Além disso, os hackers podem enganar sites usando diferentes agentes de usuário, enviando informações diferentes aos sites sobre o navegador e o sistema operacional.

A página de login do WordPress também é um ponto de entrada comum para hackers. Se você não alterar o URL padrão da página de login do WordPress, qualquer pessoa poderá encontrá-lo adicionando um certo sufixo como “/admin” ao final do seu nome de domínio.

Então, os invasores podem utilizar ataques de força bruta que envolvem tentar centenas de combinações de nome de usuário e senha até obterem acesso ao seu site. E, como discutimos, muitos usuários dependem de senhas fracas que podem ser quebradas muito rapidamente.

As consequências financeiras e de reputação de um site hackeado

Uma das principais razões pelas quais as pessoas querem saber como evitar tentativas de hacking no WordPress é evitar as consequências financeiras de um site hackeado. Naturalmente, se uma pessoa não autorizada obtiver acesso ao seu site, ela poderá visualizar, adulterar e roubar dados privados.

Se você tiver informações pessoais ou detalhes de pagamento de clientes registrados, poderá estar violando as leis de proteção de dados que acarretam penalidades pesadas. Na verdade, as violações graves do GDPR podem chegar a 20 milhões de euros. E no ano passado, o custo médio de uma violação de dados nos Estados Unidos ascendeu a quase 9,5 milhões de dólares.

Não só isso, mas este tipo de violação é simplesmente uma violação da privacidade, o que pode levar à perda de confiança e lealdade de clientes antigos. Como resultado, pode causar danos permanentes à reputação da sua empresa. Pode ser difícil recuperar disso, especialmente se sua marca estiver menos estabelecida.

Você também deve pensar no custo para consertar ou recuperar um site, que dependerá do tipo de hack do WordPress. Para lidar com ataques de ransomware, pode ser necessário pagar muito dinheiro para recuperar o acesso ao seu site. Enquanto isso, pode ser caro limpar ou substituir arquivos importantes do site.

Por último, sites hackeados considerados suspeitos ou perigosos podem ser colocados nas listas de bloqueio do Google. Se isso acontecer, pode ser difícil remover seu site das listas de bloqueio. E, como seu site não aparecerá nos resultados de pesquisa até que seja removido desta lista, você provavelmente sofrerá um impacto no tráfego e na receita.

Medidas para evitar que um site WordPress seja hackeado

Agora que você conhece as principais causas e consequências dos hacks, vamos dar uma olhada em como evitar tentativas de hacking no WordPress.

1. Mantenha o WordPress atualizado

Uma das principais maneiras de os hackers obterem acesso não autorizado ao seu site é explorar vulnerabilidades conhecidas em versões antigas de software. Isso se aplica ao software principal, plug-ins e temas do WordPress.

Além disso, a maioria das atualizações vem com correções de bugs e outras melhorias de segurança que dificultam a realização de ataques por hackers. E no que diz respeito a plug-ins e temas, até mesmo software desativado pode ser direcionado, por isso é melhor excluir software que você não usa mais.

Para evitar hacks no WordPress, é importante atualizar seu site assim que novas versões estiverem disponíveis. Normalmente, você verá uma notificação quando as atualizações estiverem prontas. Mas você também pode ir para Painel → Atualizações na tela de administração do WordPress.

Aqui você pode ver se há uma nova versão do WordPress para instalar ou clicar no link Verificar novamente para ter certeza.

Aqui você pode ver se há uma nova versão do WordPress para instalar ou clicar no link Verificar novamente para ter certeza. Se houver uma nova versão disponível, é uma boa ideia fazer backup do seu site antes de executar a atualização e executá-la primeiro em um ambiente de teste.

Mais abaixo, você verá todos os temas e plugins listados que possuem atualizações disponíveis.

Para atualizar plugins e temas, marque a caixa ao lado de cada um e clique em Atualizar Plugins ou Atualizar Temas.

Para atualizar plugins e temas, marque a caixa ao lado de cada um e clique em Atualizar Plugins ou Atualizar Temas.

Para sua tranquilidade, é melhor ativar as atualizações automáticas para plug-ins que você usa regularmente. Dessa forma, você não precisa se preocupar com a possibilidade de o software ficar desatualizado e inseguro. Para fazer isso, basta navegar até a página Plugins instalados .

Na coluna Atualizações Automáticas, você deverá ver um link Habilitar atualizações automáticas ao lado de cada plug-in instalado.

Na coluna Atualizações Automáticas , você deverá ver um link Habilitar atualizações automáticas ao lado de cada plug-in instalado. Tudo que você precisa fazer é clicar no link. Então, se você mudar de ideia a qualquer momento, basta desabilitar esse recurso.

2. Escolha um provedor de hospedagem seguro

Se você está se perguntando como evitar tentativas de hacking no WordPress, é importante escolher um provedor de hospedagem seguro. Embora existam muitos hosts da web disponíveis, algumas soluções tomam medidas extras para proteger os servidores contra ameaças conhecidas.

Um serviço de hospedagem de qualidade também deve incluir um método para monitorar tráfego suspeito (como um firewall). Além disso, a maioria dos bons hosts da web possui ferramentas para evitar ataques distribuídos de negação de serviço (DDoS) e fornece backups regulares para recuperar seu site rapidamente.

Bluehost é um provedor de hospedagem popular que oferece uma variedade de planos acessíveis.

Bluehost também oferece um conjunto abrangente de recursos de segurança.

Bluehost também oferece um conjunto abrangente de recursos de segurança. Na verdade, ele oferece criptografia de dados, backups automáticos, verificações de malware e suporte 24 horas por dia, 7 dias por semana. Melhor ainda, os pacotes selecionados vêm com mitigação de DDoS, firewall de aplicativo da web (WAF) e muito mais.

Também é importante considerar o tipo de hospedagem de site que você usará. Embora a hospedagem compartilhada seja a opção mais acessível, ela apresenta um risco maior de contaminação entre sites. Isso porque com esse tipo de plano você compartilhará um servidor com outros sites que podem não tomar os mesmos cuidados de segurança que você.

Com isso em mente, pode ser melhor optar por hospedagem de servidor dedicado ou virtual privado (VPS).

Ou então, as soluções de hospedagem gerenciada normalmente fornecem um ambiente seguro para o seu site, já que muitas tarefas de manutenção são realizadas para você. Isso geralmente inclui backups, atualizações e outras configurações de segurança.

3. Instale um plugin de segurança completo

Conforme mencionado, uma das maneiras mais convenientes de evitar hacks no WordPress é instalar um plugin de segurança completo. Dessa forma, você pode automatizar muitos processos de segurança para não precisar verificar continuamente ou atualizar manualmente as configurações.

Novamente, há vários plug-ins de segurança disponíveis, mas o Jetpack Security é uma excelente opção para sites WordPress.

Com um painel elegante e interface intuitiva, o Jetpack Security é adequado até mesmo para iniciantes.

Com um painel elegante e interface intuitiva, é adequado até mesmo para iniciantes. Você terá acesso a um WAF premium para filtrar todo o tráfego de entrada da web. E você pode até bloquear endereços IP específicos que você sabe serem suspeitos.

Graças a um registro de atividades de 30 dias, você pode ficar de olho em cada ação realizada em seu site. Isso torna mais fácil identificar a causa de problemas e erros de segurança. Além disso, o Jetpack oferece verificação de malware em tempo real com muitas correções com um clique.

Além do mais, todos os backups são armazenados no Jetpack Cloud. Portanto, se o seu servidor for comprometido, seus backups permanecerão seguros e protegidos. E você pode restaurar seu site para um momento exato, mantendo os detalhes atuais do pedido do cliente.

4. Aplique políticas de senha fortes

Se você quiser saber como evitar tentativas de hacking no WordPress, outra estratégia é fortalecer o procedimento de login do WordPress. Grande parte disso envolve o uso e a aplicação de políticas de senhas fortes.

Uma senha forte contém uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais. Mas, mesmo que sua senha atenda a todos esses parâmetros, ela ainda poderá ser quebrada instantaneamente se tiver menos de sete caracteres. Portanto, é melhor optar por senhas longas.

Ainda assim, mesmo que você siga essas práticas recomendadas para suas próprias senhas, isso será essencialmente inútil se outros usuários do seu site usarem senhas fracas. Como tal, é uma boa ideia impor senhas fortes no WordPress usando um plugin como o Password Policy Manager.

Dessa forma, você pode determinar a força da senha, forçar redefinições de senha e definir um período de tempo em que as senhas expirarão automaticamente.

Dessa forma, você pode determinar a força da senha, forçar redefinições de senha e definir um período de tempo em que as senhas expirarão automaticamente. Além disso, com a versão premium, você pode bloquear usuários inativos e gerar senhas aleatórias para evitar ataques de força bruta.

5. Implementar autenticação de dois fatores (2FA)

Senhas fortes desempenham um papel vital no fortalecimento do procedimento de login do WordPress, mas você pode adicionar uma camada extra de segurança usando autenticação de dois fatores. Com esta configuração, os usuários precisam fornecer uma segunda chave (além de uma senha) para obter acesso ao seu site.

Normalmente, essa segunda chave é um código exclusivo enviado para um endereço de e-mail ou dispositivo móvel associado à conta do usuário. A boa notícia é que você pode proteger o login – incluindo a exigência de 2FA – forçando o login no site por meio de uma conta do WordPress.com. Isso pode ser feito com o recurso de autenticação segura do Jetpack.

Dessa forma, mesmo que os hackers consigam recuperar senhas e nomes de usuário, eles não conseguirão inserir a segunda chave (que geralmente é gerada em tempo real).

6. Proteja permissões de arquivos e diretórios

Os sites WordPress são compostos de diferentes arquivos e diretórios com controles que determinam quais usuários podem acessá-los e editá-los. Sem essas permissões, qualquer pessoa com acesso ao seu site poderá visualizar e modificar arquivos.

Isto pode ser um problema de segurança, especialmente se as contas dos utilizadores forem assumidas por agentes maliciosos que poderiam causar danos. Se você usa cPanel ou acessa seu site via protocolo de transferência de arquivos (FTP), provavelmente já viu os arquivos e diretórios do WordPress.

Em geral, os valores corretos de permissão de arquivo para WordPress são 644 para arquivos e 755 para pastas. Porém, há casos em que você pode preferir proteger ainda mais seus arquivos, como costuma acontecer com o arquivo wp-config.php e o arquivo .htaccess .

Se quiser tornar esses arquivos menos permissivos, você pode alterar os valores para 640 ou 600. Na verdade, para bloquear ainda mais os arquivos, você pode até preferir um valor de 444, mas isso pode restringir plug-ins que precisam de acesso aos arquivos. (como muitos plugins de cache).

7. Instale um certificado SSL

O protocolo Secure Sockets Layer (SSL) fornece uma camada extra de segurança para sites que lidam com a transferência de informações confidenciais, como dados de cartão de crédito. Com um certificado SSL, os dados são criptografados. Isso significa que, mesmo que seja interceptado por hackers, permanece ilegível.

Além disso, a segurança SSL verifica a propriedade do seu site, o que evita que hackers criem versões falsas dele. Portanto, também pode ajudar a estabelecer credibilidade e aumentar a confiança do cliente.

A boa notícia é que muitos provedores de hospedagem oferecem certificados SSL gratuitos como parte de seus serviços de hospedagem. Ou você pode adquirir um certificado SSL de uma autoridade de certificação válida como Let's Encrypt.

Nós protegemos seu site. Você administra seu negócio.

O Jetpack Security oferece segurança abrangente e fácil de usar para sites WordPress, incluindo backups em tempo real, firewall de aplicativos da Web, verificação de malware e proteção contra spam.

Proteja seu site

8. Instale um firewall de aplicativo web (WAF)

Outra forma popular de evitar hacks no WordPress é instalar um firewall de aplicativo da web. Isso permite filtrar todo o tráfego de entrada e bloquear quaisquer endereços IP suspeitos.

É uma medida preventiva que funciona como uma barreira, então você pode ter certeza de que os hackers nem chegarão ao seu site. E, se você usar o Jetpack Security, poderá acessar essa camada adicional de segurança e configurar regras específicas para ela.

Para ativar o firewall do Jetpack, primeiro você precisa de um plano que inclua o Jetpack Scan. Em seguida, vá para Jetpack → Configurações. Em seguida, role para baixo até a seção Firewall e use os botões de alternância para ativar o firewall, bloquear IPs específicos e permitir IPs específicos.

Para bloquear ou permitir IPs, você precisará inserir endereços IP completos nas caixas relevantes. Em seguida, clique em Salvar lista de bloqueios ou Salvar lista de permissões.

Para bloquear ou permitir IPs, você precisará inserir endereços IP completos nas caixas relevantes. Em seguida, clique em Salvar lista de bloqueios ou Salvar lista de permissões.

9. Verifique regularmente o seu site em busca de vulnerabilidades

Se você está se perguntando como evitar tentativas de hacking no WordPress, também é uma boa ideia configurar verificações regulares de vulnerabilidades. Dessa forma, você pode acessar proteção 24 horas por dia e detectar rapidamente quaisquer ameaças potenciais.

O Jetpack Security oferece proteção 24 horas por dia, 7 dias por semana, graças ao WAF e às verificações de malware em tempo real que detectam as ameaças mais atualizadas. Mas, se você estiver com um orçamento apertado, talvez prefira começar com o Jetpack Scan, que fornece acesso apenas a esses recursos (sem os benefícios adicionais do Jetpack Security, como backups em tempo real e proteção contra spam).

Você ainda poderá usar o WAF e o serviço de malware do Jetpack. E, se algo estiver errado com seu site, você será notificado instantaneamente por e-mail.

Você ainda poderá usar o WAF e o serviço de malware do Jetpack. E, se algo estiver errado com seu site, você será notificado instantaneamente por e-mail. Um dos melhores recursos é que todas as verificações ocorrem nos próprios servidores do Jetpack, para que você ainda possa acessar seu site mesmo que ele fique inativo.

Este plugin identificará quaisquer vulnerabilidades em plugins, temas e selecionará arquivos e diretórios. Por padrão, você receberá uma verificação diária, mas também poderá iniciar verificações manualmente. E você pode visualizar os resultados da verificação diretamente em seu painel (e ativar correções com um clique para a maioria dos problemas).

10. Remova contas de usuários inativas

Contas de usuários inativas podem obstruir seu site e levantar questões de segurança. Normalmente, se um usuário não fez login em sua conta nos últimos 90 dias, isso é um sinal claro de inatividade do usuário.

É importante remover essas contas para evitar problemas de segurança. Por exemplo, contas antigas contêm senhas que não são alteradas há muito tempo, então há uma chance maior de que tenham vazado na dark web.

Em seguida, faça login no painel do WordPress e vá para Usuários → Todos os usuários. Abaixo do perfil do usuário, você pode enviar um link de redefinição de senha, se preferir. Ou simplesmente clique em Excluir e confirme a ação na próxima página.

Cabe a você determinar os limites específicos de como definir contas não utilizadas. Você pode ter usuários que criaram uma conta, mas nunca fizeram uma contribuição ou compraram um produto. Ou pode haver usuários que nunca utilizaram suas contas de forma consistente.

Se você está lidando com um grande número de usuários e não tem certeza de quão ativos eles são, você pode instalar um plugin gratuito como WP Last Login para rastrear isso. Esta ferramenta permite que você visualize a data do último login dos usuários diretamente no painel do WordPress.

11. Rastreie e monitore a atividade do usuário

Outra ótima maneira de evitar tentativas de hacking no WordPress é rastrear e monitorar a atividade do usuário. Dessa forma, você pode manter um registro completo de cada ação realizada em seu site.

Por exemplo, dependendo da ferramenta que você está usando, você poderá ver quando um usuário executa uma atualização, instala um plugin, carrega imagens, deixa comentários e muito mais. Isso torna o gerenciamento do site muito mais transparente e pode acelerar os reparos e a depuração.

A boa notícia é que, se estiver usando o Jetpack Security, você terá acesso a um registro de atividades que armazena as ações do usuário. Mais do que isso, você obterá informações detalhadas sobre o evento, incluindo o usuário que executou a ação e o horário exato em que ela ocorreu.

Melhor ainda, mesmo com a versão gratuita do Jetpack, você pode visualizar os últimos 20 eventos realizados em seu site. Isso pode ajudá-lo a evitar ataques de força bruta, pois você também será notificado sobre tentativas de login dos usuários.

12. Renomeie a conta de usuário “admin” padrão

Conforme discutimos, pode ser fácil para hackers acessarem seu site se você não alterar o URL da página de login padrão (que discutiremos mais tarde). Mas, também, muitas pessoas continuam a manter “admin” como nome de usuário de sua conta WordPress.

Isso significa que os hackers só precisam adivinhar sua senha corretamente e terão controle total sobre o seu site, já que a conta de administrador não tem limitações. Portanto, é melhor alterar o nome da conta “admin” padrão para evitar hacks do WordPress.

Para fazer isso, vá para Usuários → Adicionar novo usuário no painel do WordPress. Preencha todos os campos obrigatórios, incluindo um nome de usuário exclusivo que não seja “admin”. Em seguida, use o menu suspenso Função para selecionar Administrador .

Agora clique em Adicionar novo usuário na parte inferior da página. Agora, na tela Todos os usuários, você deverá ver a nova conta de administrador que acabou de criar.

Agora clique em Adicionar novo usuário na parte inferior da página. Agora, na tela Todos os usuários , você deverá ver a nova conta de administrador que acabou de criar.

Neste ponto, você precisará sair da sua conta atual (a antiga conta de administrador) e fazer login novamente no WordPress usando as novas credenciais da conta de administrador. Em seguida, retorne à tela Usuários → Todos os usuários e clique no link Excluir abaixo da conta de administrador antiga.

Porém, é importante atribuir todas as postagens e páginas à nova conta de administrador. Caso contrário, qualquer conteúdo criado usando a antiga conta de administrador será excluído.

Portanto, você precisará marcar a caixa que diz Atribuir todas as postagens a e usar a caixa suspensa para selecionar o novo usuário administrador.

Portanto, você precisará marcar a caixa que diz Atribuir todas as postagens a e usar a caixa suspensa para selecionar o novo usuário administrador.

Em seguida, clique em Confirmar exclusão.

13. Ocultar wp-admin/ e wp-login.php

Para ajudar a evitar tentativas de hacking do WordPress, você também pode ocultar as páginas wp-admin e wp-login.php. Por padrão, o WordPress usa uma URL de login padrão que combina seu nome de domínio com o sufixo wp-login.php.

Essa estrutura básica parece a mesma mesmo se você usar subdomínios e subdiretórios. Portanto, os hackers podem inserir isso na barra de pesquisa e acessar diretamente a página de login do WordPress.

Além disso, se você combinar seu domínio com o sufixo wp-admin, os hackers poderão ser direcionados para a página de login do administrador. Portanto, se você quiser dificultar o acesso de invasores ao seu site, é melhor alterar os URLs da página de login.

A maneira mais fácil de fazer isso é usar um plugin como WPS Hide Login, que torna o diretório wp-admin e a página /wp-login.php inacessíveis.

Usando esta ferramenta, você pode substituí-lo por um URL de login personalizado que você compartilhará apenas com usuários em quem você confia. Também funciona em subdomínios e subpastas.

Usando esta ferramenta, você pode substituí-lo por um URL de login personalizado que você compartilhará apenas com usuários em quem você confia. Também funciona em subdomínios e subpastas. Mas se não quiser usar um plugin, você também pode ocultar manualmente os URLs das páginas de login.

14. Proteja seu arquivo /wp-config.php

Outra forma comum de evitar tentativas de hacking do WordPress é proteger seu arquivo wp-config.php . Este é um dos arquivos mais importantes do WordPress, pois contém informações sobre a instalação do WordPress, como detalhes de conexão com o banco de dados e chaves de segurança do WordPress.

A má notícia é que o WordPress tem um local padrão para o arquivo, o que torna mais fácil para os hackers encontrá-lo. Portanto, você pode mover esta pasta para fora do diretório raiz do seu site (que geralmente é rotulado como / public_html ) e ainda funcionará.

Além disso, você também pode restringir as permissões do arquivo para que apenas os verdadeiros proprietários possam editar o arquivo. Para fazer isso, você precisará baixar o arquivo .htaccess , que também encontrará na pasta raiz.

Em seguida, em um editor de texto simples, abra o arquivo e adicione o seguinte código:

 <files wp-config.php> order allow,deny deny from all </files>

Agora, você pode fazer upload do arquivo .htaccess atualizado de volta para a pasta raiz para negar acesso ao arquivo wp-config.php .

15. Faça backup regularmente do seu site

É fácil entrar em pânico quando seu site é hackeado. Mas, se você tiver uma cópia atualizada do seu site, poderá resolver o problema imediatamente.

Embora você possa criar backups manuais do seu banco de dados, o método mais simples é instalar um plugin de segurança como o Jetpack Security. Dessa forma, você terá acesso ao Jetpack VaultPress Backup, que é uma solução de backup dedicada para WordPress.

O plugin cria o primeiro backup do seu site assim que a compra é concluída.

O plugin cria o primeiro backup do seu site assim que a compra é concluída. É a escolha ideal para lojas de comércio eletrônico porque faz backup de todos os dados de clientes e pedidos, bem como imagens, conteúdo da página e muito mais.

A melhor parte é que, diferentemente das opções integradas de hospedagem na web, os backups são armazenados no armazenamento remoto em nuvem do Jetpack. Isso significa que você pode restaurar uma versão limpa do seu site mesmo quando não consegue fazer login. Além disso, você pode escolher o momento exato em que deseja restaurar o seu site.

Como o Jetpack Security lida com a segurança do WordPress para sua tranquilidade

Agora que você sabe como evitar tentativas de hacking no WordPress, veja como o Jetpack Security protege seu site para que você tenha total tranquilidade.

Verificação de malware e vulnerabilidades 24 horas por dia, 7 dias por semana

Uma das principais maneiras pelas quais o Jetpack Security ajuda a prevenir hacks do WordPress é com malware em tempo real e verificação de vulnerabilidades. Malware refere-se a software malicioso que pode ser usado para roubar ou excluir dados, sequestrar funções principais e espionar a atividade do seu computador.

Porém, o Jetpack Scan não se limita apenas à detecção de malware. Ele também pode identificar alterações suspeitas nos principais arquivos do WordPress, plug-ins desatualizados ou inseguros e shells baseados na Web, que dão aos hackers acesso total ao seu servidor.

Depois de instalar o Jetpack Security, a primeira verificação será iniciada imediatamente. Em seguida, vá para Jetpack → Proteger → Digitalizar para ver os resultados (embora você possa precisar autorizar sua conta do WordPress.com primeiro).

Em seguida, vá para Jetpack → Proteger → Verificar para ver os resultados (embora você possa precisar autorizar sua conta do WordPress.com primeiro)

Aqui, você também pode iniciar uma nova verificação manualmente e visualizar os resultados da verificação. Além disso, você poderá ver se há alguma ameaça ativa. E, se houver mais de uma ameaça identificada, estas serão priorizadas por gravidade.

Se ameaças forem detectadas, você também receberá uma notificação instantânea por e-mail e poderá visualizar as ameaças no painel do WordPress. Além do mais, o Jetpack geralmente oferece soluções com um clique para resolver problemas.

Backups em tempo real e restaurações com um clique

Os backups permitem que você se recupere rapidamente de um hack do WordPress. Sem um backup, seu site pode permanecer inativo por um tempo, enquanto você tenta identificar patches para resolver o problema. Isso provavelmente terá um impacto no tráfego e na receita do seu site.

Com o Jetpack Security, você pode simplesmente substituir o site afetado por uma versão limpa e atualizada. Os backups em tempo real do Jetpack são armazenados na nuvem, portanto, mesmo que todo o seu servidor seja afetado, você ainda poderá acessar o site replicado.

Além do mais, o Jetpack ainda faz backup de pedidos, produtos e bancos de dados do WooCommerce – o que ajuda você a permanecer em conformidade com as leis de proteção de dados. E o processo de restauração pode ser realizado com apenas um clique.

Proteção contra ataques de força bruta

Os ataques de força bruta foram listados como uma das principais causas de ataques cibernéticos encontrados por empresas nos Estados Unidos em 2022. Também foram classificados como a quinta principal causa de ataques de ransomware em todo o mundo em 2023.

Os ataques de força bruta tornam o seu site mais lento devido a solicitações repetidas do servidor, mas o verdadeiro objetivo é obter acesso a arquivos importantes do site onde os hackers podem inserir códigos ou scripts maliciosos. Mas com o Jetpack Security, você pode bloquear ataques dessa natureza por meio do seu painel.

Tudo que você precisa fazer é ir para Jetpack → Configurações e rolar para baixo até a seção relevante, onde você verá um botão para ativar ou desativar o recurso.

O Jetpack bloqueia 5.193 ataques de força bruta durante a vida útil de um site. Ele bloqueia automaticamente IPs maliciosos antes mesmo que eles cheguem ao seu site.

Na verdade, em média, o Jetpack bloqueia 5.193 ataques de força bruta durante a vida útil de um site. Ele bloqueia automaticamente IPs maliciosos antes mesmo que eles cheguem ao seu site. E você pode permitir que IPs conhecidos reduzam falsos positivos.

Um registro de atividades do usuário de 30 dias

Se você quiser saber como evitar tentativas de hacking no WordPress, um registro de atividades é uma excelente solução. Dessa forma, você pode acompanhar todas as ações realizadas em seu site – como atualizações de plugins e temas, modificações de configurações e logins de usuários.

Com o Jetpack Security, você pode armazenar ações do usuário por até 30 dias, o que pode simplificar as tarefas de gerenciamento do site e melhorar a eficácia da depuração e dos reparos. Além disso, você obterá informações detalhadas sobre cada evento, incluindo carimbo de data/hora, usuário e descrição.

Correções fáceis com um clique

Outra maneira pela qual o Jetpack Security ajuda a prevenir hacks do WordPress é com suas correções fáceis com um clique. Isso diferencia o Jetpack de outros plug-ins de segurança que podem ser bons para identificar problemas, mas não fornecem uma maneira de resolvê-los.

Isso significa que seu site pode sofrer longos períodos de inatividade, onde seu conteúdo fica inacessível aos visitantes e você não consegue gerar receita. A boa notícia é que se você usar o Jetpack Security, terá acesso a verificações de vulnerabilidades em tempo real.

Como mencionamos, você pode realizar uma verificação acessando Jetpack → Protect → Scan . Aqui você também pode ver os resultados das verificações. Além disso, você pode encontrar mais informações sobre as ameaças detectadas e até clicar no botão Corrigir tudo para resolver problemas em massa.

Proteção contra spam para comentários e formulários

Akismet é um dos plug-ins anti-spam mais populares e oferece alguns recursos impressionantes. Ele bloqueia uma média de 7,5 milhões de envios de spam por hora. E com o Jetpack Security (assim como outros planos selecionados do Jetpack), você terá acesso ao plug-in para bloquear spam de comentários e formar spam.

Naturalmente, lidar com spam pode ser muito frustrante e pode fazer com que seu site pareça menos confiável e confiável do ponto de vista do cliente. Mas também pode conter malware perigoso que pode ser usado para danificar dispositivos e roubar dados confidenciais.

Basicamente, a seção de comentários e os campos do formulário permitem que qualquer pessoa interaja com o seu site. Como tal, essas áreas tendem a ser alvos principais para ataques de spam.

Felizmente, você pode resolver esse problema indo ao JetPack → Akismet Anti-Spam do seu painel.

Aqui, você pode ver quantas tentativas de spam foram bloqueadas e visualizar uma classificação de precisão que considera o spam perdido e os falsos positivos.

Além disso, você pode configurar a filtragem automática de spam para nunca ter que ver as piores e mais difundidas instâncias de spam. Ou você pode definir as configurações para que cada peça de spam seja direcionada para uma pasta de spam dedicada, onde você pode revisá -la.

5 milhões de sites confiam no JetPack para a segurança do site

Embora o WordPress seja amplamente considerado uma plataforma segura para sites, também é um alvo atraente para hackers, porque é muito popular. Com isso em mente, é importante tomar medidas para evitar hacks do WordPress. Dessa forma, você pode proteger melhor os dados do cliente e preservar sua boa reputação.

Senhas fortes, autenticação de dois fatores e um firewall de aplicativos da Web são ótimas defesas. Porém, você também precisa escolher um host seguro, manter o software atualizado e digitalizar seu site regularmente quanto a vulnerabilidades.

Com a JetPack Security, você terá acesso a um plug-in de segurança tudo em um que impede uma variedade de ataques on-line. Ajuda a automatizar backups, monitorar a atividade do usuário, bloquear o comentário e formar spam e acessar correções com um clique. Comece hoje!