Segurança do WordPress: 8 etapas para proteger seu site contra hackers

Publicados: 2019-02-26

A segurança do site é um problema sério, mas muitos podem não saber o quão sério pode ser um problema. Quando você souber que nada menos que 50.000 sites exclusivos são invadidos diariamente, você começará a ter uma noção desse problema.

O problema é que a maioria dos sites hoje estão sendo executados na plataforma WordPress. Isso significa que uma grande porcentagem dos sites que caem para hackers são baseados no WordPress.

Embora o próprio WordPress tenha feito o possível para garantir que os sites executados em seu CMS sejam seguros, erros acontecem. Neste artigo, vamos falar sobre como garantir que isso não aconteça.

Antes disso, porém…

Por que você precisa de segurança do WordPress em primeiro lugar?

Dependendo do assunto do seu site, há muitas coisas que podem dar errado quando alguém viola sua segurança. Alguns destes são:

  • Carregar um malware – Um hacker pode carregar um malware nos servidores do seu site por diferentes motivos.

Eles podem usar isso para coletar dados e informações sobre seu site e como você o executa por um motivo ou outro. Eles podem até fazer com que esse malware seja baixado automaticamente nos computadores do visitante.

Isso não apenas destrói sua boa vontade com os visitantes do site, mas também o coloca na lista negra. Seria quase impossível recuperar sua reputação quando isso acontecesse.

  • Roubar informações do usuário – Se o seu site armazenar informações do usuário (perfis contendo nomes, data de nascimento, idade, sexo e assim por diante), isso será importante para os hackers.

Eles podem coletar esses dados e vendê-los na black web, para empresas de mineração de dados ou outras pessoas interessadas. Isso constituiu uma violação de dados que os usuários enviaram a você em confiança e quebra sua promessa de manter seus dados seguros.

  • Roubar informações financeiras – Isso é muito comum em sites WordPress usados ​​para administrar uma loja online. Às vezes, pode não ser um site estritamente baseado em comércio eletrônico, mas um que vende uma oferta ou outra.

Quando isso acontece, os hackers têm tudo o que precisam para roubar todos os que já enviaram seus dados de cartão de crédito/pagamento ao seu site. Além do fato de que isso deixará muitos de seus clientes em desconforto, eles não ficarão satisfeitos em comprar de você novamente se souberem que a violação veio de você.

  • Manipulando sua receita – Seu site pode estar ganhando receita de fontes afiliadas, fluxos de anúncios e muito mais. Se um hacker obtiver acesso, ele poderá alterar seus detalhes de afiliado/anúncio/fonte de receita para os deles e desviar suas vendas para o lado deles.

Eles podem até alterar suas contas de recebimento e obter suas receitas em suas próprias contas.

Claro, essas são apenas algumas das coisas que podem dar errado quando seu site WordPress não é tão seguro quanto pode ser. Há uma série de outras razões pelas quais os hackers podem querer obter acesso ao seu site. O ônus, portanto, recai sobre você para garantir que eles tenham dificuldade em fazê-lo.

Mantendo seu site WordPress seguro

Quer tirar seu site da lista de alvos fáceis para hackers? Aqui estão algumas coisas que você pode fazer:

1. Proteja sua página de login

Antes que seu site possa ser invadido, o hacker precisa acessar a página de administração. Se você for com as configurações padrão do WordPress, tudo o que eles precisam fazer é adicionar um / wp-admin ou /wp-login.php no final do seu nome de domínio e eles estarão na página de administração.

Mesmo sem saber, você facilitou um passo para eles.

Para contornar isso, personalize sua página de login para aparecer apenas com um endereço especialmente designado. Dessa forma, você pode ficar fora da grade para a maioria dos hackers.

2. Implemente bloqueios de sites

Os ataques de força bruta prosperam com a capacidade de tentar várias senhas até obter a correta. Isso dá aos hackers a liberdade de tentar muitas combinações possíveis antes de invadir seu painel.

Uma maneira simples de combater isso é especificando o número de tentativas com falha que um usuário pode ter antes de ser bloqueado na área de administração.

A melhor parte desse movimento é que você também é notificado quando qualquer atividade desse tipo é registrada, ajudando você a manter um navio mais apertado. Muitos plugins de firewall e segurança do WordPress que permitem fazer isso.

Pode valer a pena dar uma olhada.

3. Escolha uma boa empresa de hospedagem

Não faça parte daqueles que acreditam que as empresas de hospedagem relativamente caras estão fazendo você pagar pela marca. Na maioria das vezes, esses são os que fornecem várias camadas de segurança sobre as opções mais baratas.

Além dos benefícios adicionais que vêm com o pagamento desses dólares extras, você também obtém uma melhor segurança para todos os seus esforços. Se você não tem ideia de como escolher a hospedagem certa, pode seguir nosso guia definitivo sobre como escolher uma hospedagem WordPress.

4. Fique longe de temas nulos

O WordPress contém uma série de temas pagos e gratuitos para serem usados ​​em seu site. Esses temas foram projetados e codificados por desenvolvedores altamente qualificados que sabem o que estão fazendo. Os temas também foram testados pelo WordPress para garantir que estejam de acordo com os padrões de configuração.

No entanto, alguns sites oferecem versões crackeadas/anuladas dos temas pagos gratuitamente. Isso pode parecer um bom negócio até você descobrir que o tema crackeado contém código malicioso que pode prejudicar seu site. Veja nosso guia sobre como escolher um tema perfeito para o seu site.

5. Desative a edição de arquivos

Por padrão, seu site WordPress possui uma função de editor de código que permite fazer alterações no tema e nos plugins. Você pode encontrar isso acessando o painel do Editor em Aparências ou Plugins .

Quando os hackers obtêm acesso ao seu site, eles podem entrar aqui para inserir códigos maliciosos – e você nem saberá disso até que seja tarde demais.

A melhor maneira de combater esses ataques até descobrir que algo está errado é desabilitar a capacidade de editar plugins e o tema.

6. Atualize seu site

Uma das coisas mais fáceis que você pode fazer para proteger seu site WordPress é garantir que ele permaneça atualizado de tempos em tempos.

Quando uma nova atualização chega, isso significa que os desenvolvedores encontraram uma falha que consideraram importante o suficiente para ser corrigida. Não fechar essa lacuna o deixará vulnerável à falha que eles viram, tornando mais fácil para alguém que conhece essa falha explorar você.

O mesmo vale para os plugins e também para o PHP – eles também podem ser atualizados e devem ser atualizados assim que você receber a notificação. Aqui está nosso guia sobre como atualizar um site WordPress para a versão mais recente do PHP.

Observe que, antes de fazer qualquer atualização em seu site WordPress, é altamente recomendável criar um backup de todo o site.

7. Desative o recurso XML-RPC

Com o lançamento do WordPress vem uma inclusão automática do recurso XML-RPC.

Seria indelicado para esta adição se não olhássemos para seus lados bons. Afinal, é isso que facilita a conexão perfeita da sua conta do WordPress com seus aplicativos móveis e de desktop.

No entanto, também facilita a ocorrência de ataques de força bruta em uma taxa muito mais rápida.

Por exemplo, um hacker não precisaria adivinhar 500 senhas quando esse recurso estivesse ativado. Tudo o que eles precisam fazer é fazer cerca de 50 solicitações com a função system.multicall e eles poderão tentar milhares de senhas no mesmo período de tempo.

A solução simples para isso seria desabilitar o recurso, especialmente se você não o estiver usando.

8. Desconectar usuários inativos

Não é sempre que um hacker precisa obter acesso ao seu site a partir de um local remoto. Se você tiver vários usuários em seu site, esse hacker pode ficar vagando até que o usuário saia do computador.

É por isso que você nunca deve deixar ninguém ficar ocioso por muito tempo na área do painel. Se você observou muitos sites bancários e financeiros, este é o mesmo modelo que eles usam para manter seus dados de usuário seguros.

Uma das maneiras de fazer isso é instalar o plugin Idle User Logout. Configure-o para indicar a quantidade de tempo que você deseja que cada usuário fique ocioso antes de precisar fazer login novamente e pronto.

Depois de tudo o que foi dito, é uma boa prática se preparar para o pior. Embora você deva ter implementado o acima, certifique-se de fazer backup do seu site de tempos em tempos, você pode fazer isso facilmente usando um plug-in de backup gratuito como o nosso WPvivid Backup Plugin. Dessa forma, você sempre pode restaurar a partir do último ponto de backup se algo acontecer.

Nós não esperamos isso para você, no entanto.

Tem mais algumas dicas que você usa para proteger seu site WordPress que não mencionamos aqui? Deixe-nos saber sobre eles nos comentários.

Este artigo cobriu as etapas mais essenciais para a proteção do WordPress, também criamos um guia definitivo sobre como proteger um site WordPress de todos os aspectos que você também pode precisar.