As 10 principais recomendações de segurança do WordPress
Publicados: 2023-02-15Quais são as dez principais etapas que você pode seguir para proteger seu site WordPress? Quais medidas de fortalecimento da segurança terão o maior impacto na segurança do seu site? A segurança é sempre um assunto importante na comunidade WordPress, e perguntas como essas são importantes por um bom motivo. O WordPress alimenta quase metade da internet e sua posição de liderança o torna um alvo de alta prioridade para hackers.
Milhares de sites WordPress são vítimas de ataques cibernéticos todos os dias. É uma gota no balde do número total de sites WordPress, mas se isso acontecer com você? Aquilo é enorme. Alguns proprietários de sites sofrem consequências de longo prazo devido à perda de dados, roubo de dados e fraude. Políticas de segurança e gerenciamento de risco ruins criam desastres como esse. O que significa ter políticas de segurança sólidas como proprietário de um site WordPress? Quais são os principais riscos e como gerenciá-los?
A chave é estabelecer fundações seguras e continuar construindo sobre elas com práticas de segurança consistentes. Este guia ensinará como fazer isso e proteger seu site WordPress hoje.
Neste guia, vamos nos aprofundar na segurança do WordPress. Você aprenderá sobre os ataques cibernéticos mais perigosos direcionados ao WordPress. Você aprenderá como minimizar o risco de ser vítima deles. Forneceremos a você nossas dez principais recomendações de segurança do WordPress e explicaremos como implementá-las. Então você será capaz de se defender contra os ataques mais sofisticados e maliciosos de hoje.
WordPress é seguro? Sim!
Resumindo, sim, a plataforma central do WordPress é segura.
Como um projeto de software de código aberto maduro de vinte anos, o WordPress é uma das estruturas de criação de sites mais testadas e seguras.
Uma comunidade de desenvolvedores e especialistas em segurança mantém o núcleo do WordPress. Além disso, a base de código está disponível publicamente. Isso significa que os pesquisadores de segurança estão livres para analisá-lo. Sob escrutínio público, quaisquer bugs que passaram nas fases iniciais de teste de uma nova versão tendem a ser descobertos rapidamente. O WordPress recebe atualizações regulares e corrige rapidamente quaisquer vulnerabilidades encontradas no núcleo do WordPress. Essa adaptação constante aumenta a segurança e a qualidade geral da plataforma.
O que torna um site WordPress inseguro?
Quando as pessoas constroem sites com o WordPress, a segurança pode não estar no topo de suas mentes. A personalização descuidada combinada com práticas de segurança ruins (ou nenhuma) apresenta riscos de segurança significativos para todo o ecossistema do WordPress.
Proprietários de sites que não executam atualizações
Atualizações regulares e suporte de desenvolvedores do WordPress tornam o WordPress altamente seguro. No entanto, a popularidade do WordPress tem muito a ver com a facilidade de personalizá-lo com plugins e temas. Esses complementos de terceiros podem ou não ser tão bem suportados e testados quanto o núcleo do WordPress. Eles também precisam ser atualizados quando novas versões são lançadas. Para um site WordPress com 12-24 plugins, pode haver várias novas atualizações disponíveis toda semana. Deixar as vulnerabilidades conhecidas sem correção e não realizar atualizações regulares aumenta significativamente a probabilidade de seu site WordPress ser invadido.
O núcleo do WordPress também recebe atualizações ao longo do ano. Normalmente, haverá quatro lançamentos principais. Versões de segurança e manutenção também surgirão à medida que forem necessárias. A partir de 2023, cerca de 60% dos sites WordPress usam a versão mais recente (6.1) do núcleo do WordPress. 40% não, e isso não é bom para sua segurança. A partir de dezembro de 2022, as versões 3.7 a 4.0 do WordPress não são mais suportadas e podem não receber patches de segurança.
Proprietários de sites e hosts que não atualizam o PHP
Uma estatística mais preocupante é que muitos sites WordPress usam uma versão do PHP inferior a 7.4. O PHP faz parte do ambiente de servidor do seu host. É a linguagem em que o WordPress é executado. No início de 2023, 55% de todos os sites WordPress eram hospedados em PHP 7.4. Esse é o último grande lançamento do ramo PHP 7. É a versão mais alta do PHP suportada oficialmente pelo WordPress neste momento, embora muitos hosts WordPress ofereçam PHP 8. Hosts WordPress bem gerenciados manterão a segurança do PHP 7, mas chegou ao fim de sua vida útil para suporte oficial. Os plug-ins do WordPress exigirão o PHP 8 cada vez mais com o tempo. Sites que não acompanham o desenvolvimento do WordPress e PHP correm um risco maior de serem invadidos.
Por que a segurança do WordPress é importante
A segurança do site WordPress é importante! Agora é sempre o melhor momento para começar a levar a sério se você não tiver práticas de segurança consistentes. A crescente sofisticação e o volume de ataques cibernéticos tornam a segurança do site extremamente importante, especialmente para proprietários de sites WordPress. Os invasores não escolhem simplesmente em quais sites invadir. Os ataques cibernéticos modernos são altamente automatizados e milhares de sites WordPress podem ser direcionados ao mesmo tempo. A popularidade do WordPress e o número de sites que não foram atualizados o tornam um alvo grande e fácil.
Esteja você administrando um blog, um site de negócios ou uma loja online, a segurança de seus clientes e de seus dados é confiada a você. Uma violação de dados pode colocar sua empresa em risco e prejudicar significativamente sua reputação. Práticas de segurança inadequadas podem resultar em graves perdas financeiras.
Um estudo recente mostrou que a maioria das pequenas e médias empresas (PMEs) acha que não são alvos de hackers, mas estão errados. Os ataques estão aumentando e especificamente direcionados a eles. Em média, as pequenas empresas que sofrem uma violação de segurança digital acabam pagando custos acima de US$ 100.000.
Os cinco problemas de segurança mais comuns do WordPress
As ameaças mais comuns enfrentadas pelo WordPress em 2022 que exploram vulnerabilidades internas do site foram ataques de script entre sites (XSS) e falsificação de solicitações entre sites (CSRF), bem como injeções de SQL (SQLi). Cargas comuns ou danos causados a sites invadidos e infectados incluem backdoors e redirecionamentos maliciosos. Finalmente, os ataques mais comuns não envolvem nenhuma vulnerabilidade de software. São tentativas de login de força bruta, preenchimento de senha, clonagem de cartão, carding e ataques distribuídos de negação de serviço (DDoS).
Vamos dar uma olhada nessas ameaças e nos aprofundar nas soluções que impedirão que elas penetrem em seu site WordPress.
Preenchimento de senha, login de força bruta e ataques DDOS
Ataques de força bruta e DDoS são ataques cibernéticos altamente distribuídos e conduzidos por bots. Eles tentam invadir um site ou colocá-lo offline, sobrecarregando o servidor que o hospeda com solicitações da web. Ambos os tipos de ataques geralmente envolvem uma rede de bots (também conhecida como botnet) controlada pelo invasor.
Os ataques de login de força bruta, também conhecidos como ataques de adivinhação de senha, usam uma rede de computadores (normalmente hackeados) para testar milhares de combinações aleatórias de letras, números e símbolos para descobrir um nome de login e senha válidos para um site de destino.
O preenchimento de senha é um tipo de ataque de força bruta que usa senhas reais roubadas em outro lugar para obter acesso ao seu site. Se você ou os usuários do seu site usaram as mesmas credenciais de login em outro site que foi comprometido, o preenchimento de senha pode ser bem-sucedido em seu site.
Quando um invasor tenta milhares de logins por minuto, pode ter o efeito de um ataque DDoS. Os DDoSes lançam tantas solicitações em seu servidor que ele fica sobrecarregado. Às vezes, os ataques DDoS são executados simplesmente para colocar os sites offline dessa maneira.
Quando se trata de WordPress e WooCommerce, os ataques de cartão são um bom exemplo de uma tentativa de força bruta para inserir números de contas de cartão de crédito roubados em um site de comércio eletrônico para fazer compras fraudulentas. Os ataques de carding também podem ter um efeito DDoS.
Script entre sites e falsificação de solicitação
Cross-site scripting e cross-site request forgery, também conhecidos como XSS e CSRF, são ataques cibernéticos que tentam executar scripts maliciosos em seu site que explorarão os computadores de seus visitantes. Usando seu site, esses ataques enviam solicitações não autorizadas em nome do usuário. O objetivo é fraudar os visitantes do seu site e roubar informações confidenciais ou dinheiro deles. O script entre sites e a falsificação de solicitações são considerados dois dos ataques cibernéticos mais perigosos direcionados a sites do WordPress.
Um dos exemplos mais proeminentes de ataques de script entre sites que afetam o WordPress envolve skimmers de cartão baseados em JavaScript injetados em lojas WooCommerce. O malware de clonagem de cartão carregado do site do invasor é injetado nos navegadores dos visitantes. Esse código malicioso tentará roubar informações críticas de pagamento da página de checkout assim que a compra for feita.
Backdoors e Web Shells
Backdoors e web shells são dois tipos relacionados de software malicioso que geralmente são carregados em sites invadidos como uma carga útil na violação inicial. Ambos permitem um nível mais profundo de dano: infecção por malware. Ambas são ferramentas que hackers mal-intencionados usam para se aprofundar em seu servidor e aplicativos da web ou para conduzir fraudes e outros ataques em outros sites.
Backdoors são softwares que são injetados em um site para permitir que o invasor obtenha acesso não autorizado a suas áreas críticas, ignorando os métodos normais de autenticação. Web shells, por sua vez, são utilitários de gerenciamento de arquivos maliciosos usados pelo hacker para carregar mais cargas maliciosas no site comprometido.
Muitas vezes, os backdoors podem passar furtivamente pelos proprietários de sites e até mesmo por software antivírus. Um backdoor permitirá que o hacker volte e reinfete ou explore um site posteriormente, mesmo que todas as medidas de segurança necessárias tenham sido tomadas. Da mesma forma, se um shell da web não for removido, o invasor permanecerá no controle do site.
Redirecionamentos maliciosos
Um dos objetivos mais comuns de um invasor é infectar seus visitantes com malware. Uma das maneiras mais comuns de atingir esse objetivo é redirecionar usuários desavisados de sites confiáveis sobre os quais os invasores obtiveram controle.
Os hackers podem colocar redirecionamentos maliciosos em qualquer lugar em sites invadidos, o que pode dificultar sua localização e remoção. Freqüentemente, os proprietários de sites precisam reinstalar o WordPress (o que é simples) ou restaurar todo o site a partir de um backup (o que pode ser mais desafiador) para limpá-lo de redirecionamentos maliciosos depois de corrigir a vulnerabilidade que tornou essa exploração possível.
Como um tipo de spam de SEO, os hacks farmacêuticos têm sido um dos ataques mais notórios que afetam sites WordPress. Os invasores preenchem um site WordPress comprometido com palavras-chave de spam para medicamentos populares na tentativa de obter uma classificação alta nos mecanismos de pesquisa e, em seguida, redirecionam os visitantes para portais fraudulentos que vendem produtos farmacêuticos regulamentados. Na maioria das vezes, os invasores colocam redirecionamentos maliciosos em um .htaccess file
ou criam um arquivo .ico aparentemente inofensivo para essa finalidade.
Ataques de injeção SQL
Um ataque de injeção de SQL, também conhecido como inserção de SQL (SQLi), é um tipo de ataque de injeção de dados que explora a validação insuficiente de entrada do usuário que permite que um invasor manipule o banco de dados do site de maneira maliciosa. Tanto as injeções de SQL quanto os scripts entre sites aproveitam as chamadas vulnerabilidades de entrada que podem afetar certas áreas do seu site WordPress. Vulnerabilidades de entrada surgem quando um plug-in aceita dados ou conteúdo enviado pelo usuário, mas não o examina em busca de código malicioso. Esse código pode executar consultas em seu banco de dados para roubar dados privados ou danificá-los.
As 10 principais recomendações de segurança do WordPress
Quando se trata de segurança do site WordPress, uma abordagem cuidadosa para reduzir a superfície de ataque é fundamental. Conhecer as vulnerabilidades mais comuns do WordPress e os tipos de ataques cibernéticos o ajudará a melhorar significativamente a segurança do seu site. As 10 recomendações de segurança WordPress mais importantes a seguir são o conhecimento básico necessário para proteger qualquer site WordPress. A maioria dessas recomendações é relativamente fácil de seguir e não requer nenhuma solução de segurança paga.
Execute atualizações regulares e não instale nenhum software de fontes não verificadas
Uma das recomendações de segurança mais importantes do WordPress é realizar atualizações regulares de núcleo, tema e plug-in. Certifique-se de que todos os softwares instalados sejam provenientes de fontes confiáveis e verificadas. Como o WordPress é escrito em PHP, certifique-se de usar uma versão PHP suportada da última versão principal. No momento, é PHP 7.4 com suporte apenas beta para PHP 8.
Os recursos padrão do WordPress raramente satisfazem todas as necessidades dos proprietários de empresas, então eles estendem os recursos da plataforma instalando mais plugins e temas. Temas e plugins de terceiros aumentam a superfície de ataque, tornando os sites WordPress vulneráveis a mais ameaças de segurança.
Os principais problemas podem surgir do uso de versões não oficiais e piratas de plugins e temas pagos. Estes sempre vêm de fontes altamente questionáveis. Usar versões obsoletas do WordPress e não corrigir vulnerabilidades também é extremamente arriscado.
Use um plug-in de segurança como o iThemes Security Pro
A melhor maneira de manter seu site seguro é ativar as atualizações automáticas para núcleo, temas e plug-ins. O iThemes Security Pro pode acompanhar facilmente todas as atualizações de software disponíveis e instalar novas versões do núcleo do WordPress, bem como temas e plugins. Se você gerencia vários sites WordPress, o iThemes Sync Pro permite que você execute todas as tarefas administrativas a partir de uma única interface e aproveite o monitoramento do tempo de atividade e o rastreamento das métricas de SEO.
A maioria das soluções de hospedagem do WordPress, como os planos de hospedagem em nuvem gerenciada do WordPress oferecidos pela Nexcess, também cuidam de todas as atualizações de software para você e até vêm com ferramentas integradas, como comparação visual, para ajudá-lo a rastrear possíveis conflitos de plug-in e outros problemas antes de realizando qualquer atualização. O Nexcess também fornece um catálogo de soluções WordPress premium. Ele oferece o Kadence WP como tema de bloco integrado com blocos personalizados para ajudá-lo a criar o site dos seus sonhos e, ao mesmo tempo, garantir sua segurança.
Crie uma forte estratégia de backup
Uma forte estratégia de backup é absolutamente essencial para a segurança do WordPress. A realização de backups regulares do seu site WordPress prepara você para uma recuperação fácil em caso de violação, falha na atualização ou qualquer outro problema que possa surgir.
É melhor ter pelo menos dez dias ou até duas semanas de backups completos do WordPress que incluam seu banco de dados do WordPress, arquivos do site e qualquer outro conteúdo relacionado. Manter backups semanais e mensais pode ser altamente benéfico, além de backups diários e de hora em hora.
Certifique-se de seguir o princípio da redundância de dados. Manter cópias de trabalho do seu site WordPress em mais de um lugar. Isso ajudará você a recuperar suas informações caso algo aconteça com um arquivo de backup
Você pode usar as soluções de backup fornecidas pelo seu provedor de hospedagem, incluindo backups cPanel e Acronis, para salvar cópias do seu site em ciclos diários, semanais e mensais. um plug-in de backup do WordPress pode ajudá-lo a criar um cronograma de backup mais flexível. BackupBuddy é um plug-in de proteção e recuperação de dados de classe mundial para WordPress. Ele pode ajudá-lo a criar uma forte estratégia de backup e fácil acesso a restaurações com um clique sempre que você precisar.
Realize verificações regulares de vulnerabilidades e malware
A verificação de vulnerabilidades e o monitoramento da integridade de arquivos são uma das melhores ferramentas que você pode usar para proteger todas as áreas críticas do seu site WordPress. A interface integrada do WordPress Site Health é uma ótima ferramenta para começar. Se você precisar de mais recomendações de segurança do WordPress personalizadas para o seu site, o iThemes Pro Site Scan fornecerá um relatório abrangente sobre a segurança do seu site WordPress.
A prevenção é fundamental, mas também a detecção precoce e a mitigação de ataques. O principal objetivo da maioria dos malwares é permanecer indetectável pelo maior tempo possível. Não é incomum ter sites WordPress invadidos por semanas até que seus proprietários percebam. O iThemes Security Pro oferece monitoramento avançado de alteração de arquivo que irá alertá-lo sempre que houver qualquer atividade suspeita acontecendo nos arquivos do seu site WordPress.
A realização de verificações regulares de malware ajudará a identificar uma infecção por malware com antecedência. Essa é a chave para bloquear os bandidos e limpar seu site WordPress antes que danos irreversíveis sejam causados. Se você está procurando ótimos scanners de malware gratuitos, o ImunifyAV da CloudLinux provou ser extremamente confiável e fácil de usar.
Mantenha as permissões de arquivo seguras e protegidas wp-config.php
As permissões de arquivo do WordPress podem afetar muito a segurança geral do seu site WordPress. Configurações de permissão incorretas podem colocar todo o sistema em grave risco, especialmente se você mantiver seu próprio servidor e executar vários sites nele. Configurar suas permissões de arquivo do WordPress com segurança é absolutamente essencial.
Uma das áreas mais vulneráveis do seu site WordPress é o arquivo de configuração principal: wp-config.php
. Os dados críticos armazenados lá, incluindo as informações de conexão do banco de dados do WordPress, tornam wp-config.php
um alvo de alta prioridade para ataques que tentam assumir o controle do seu site.
Uma das principais recomendações de segurança do WordPress que você pode implementar agora é definir permissões para o arquivo wp-config.php
do seu site para pelo menos 640. Se não tiver certeza de quais permissões de arquivo os arquivos de outros sites devem ter, verificações de permissão de arquivo do iThemes Security Pro ferramenta irá ajudá-lo a descobrir.
Compromissos entre contas são facilitados por permissões de arquivo inseguras e mau isolamento do usuário
Os hackers exploram ativamente o isolamento inadequado do usuário, combinado com permissões de arquivo inseguras, para realizar ataques perigosos entre contas. Estes são conhecidos como “hacks de link simbólico” ou hacks de WordPress “Anonymous Fox”.
Ao usar um site hackeado como ponto de entrada, um invasor pode criar links simbólicos entre contas para arquivos de configuração de outros sites, como wp-config.php
, para expor informações confidenciais e obter controle sobre todos os sites no servidor fornecido. Este hack só é possível se o seu arquivo wp-config.php
puder ser lido por outros usuários no mesmo servidor.
Algumas recomendações de segurança do WordPress sugerem mover wp-config.php
, o que pode ajudar, mas isso não resolverá todos os riscos. Mantenha as permissões de arquivo seguras e garanta que todos os sites estejam isolados uns dos outros no mesmo servidor. Uma das melhores maneiras de conseguir isso é usar o CageFS, fornecido pelo sistema operacional CloudLinux.
Configurar um firewall de aplicativo da Web
Outra recomendação chave de segurança do WordPress é usar um firewall de aplicativo da web ou, melhor ainda, vários sistemas de defesa, como um WAF baseado em host e baseado em nuvem. Um firewall de aplicativo da web serve como a primeira linha de defesa contra todos os ataques cibernéticos conhecidos, filtrando qualquer tráfego malicioso com base em um conjunto de regras constantemente atualizado.
Os WAFs verificam todo o tráfego da Web em busca de solicitações suspeitas com base em vários padrões configurados pelas regras que definimos. Isso garante um alto nível de proteção contra ataques DDoS e de força bruta, bem como SQLi e XSS.
Um WAF baseado em nuvem, como Cloudflare WAF, pode mitigar uma ampla gama de ataques enquanto diminui a carga no servidor de origem. As solicitações que chegam ao servidor que hospeda seu site WordPress são submetidas a outra rodada de verificações por um WAF baseado em host, como o ModSecurity. Ambas as soluções são totalmente gratuitas e são consideradas o padrão da indústria para segurança do WordPress.
Configurar cabeçalhos de segurança HTTP
Os cabeçalhos de resposta de segurança HTTP são uma das ferramentas mais valiosas que você tem para aumentar a segurança do seu site WordPress. Da mesma forma que os firewalls de aplicativos da web, os cabeçalhos de resposta HTTP podem bloquear o acesso a áreas críticas do seu site e impedir qualquer atividade que possa colocar em risco seus clientes e seus dados.
Os cabeçalhos de segurança HTTP mais importantes para WordPress incluem:
- Política de segurança de conteúdo (CSP). Uma solução robusta que pode ajudar a mitigar scripts e clickjacking entre sites e outros ataques cibernéticos perigosos direcionados a sites do WordPress. O uso do CSP ajuda a definir a lista de recursos que podem carregar o conteúdo do seu site, bem como a lista de recursos dos quais o site pode carregar o conteúdo.
- Set-Cookie . O cabeçalho de resposta Set-Cookie controla como os cookies são enviados do servidor para o navegador do usuário. A configuração do atributo SameSite pode ajudar a defender seu site WordPress contra falsificação de solicitação entre sites e clickjacking.
- Segurança de Transporte Estrita (HSTS). O cabeçalho de resposta HSTS garante que seu site WordPress só possa ser acessado via HTTPS, o que permite a criptografia de ponta a ponta entre o servidor e o navegador.
Na maioria das vezes, você pode configurar cabeçalhos de segurança HTTP para seu site WordPress em seu arquivo .htaccess
local. Observe que a maioria dos provedores de hospedagem WordPress configuram cabeçalhos de resposta HTTP para você, então você pode precisar consultar a equipe de suporte do seu host para ver se precisa redefinir alguma regra localmente.
Desative a execução do PHP na pasta de uploads e desative a indexação do diretório
Quando se trata do WordPress, os hackers tendem a esconder malware em pastas que normalmente não armazenam nenhum código executável. Uma dessas pastas é o diretório de uploads em wp-content
. Desativar a execução do PHP na pasta de uploads é uma boa ideia. Isso pode ajudar a limitar o escopo de uma infecção por malware e acelerar a correção de malware.
Se você tiver o Apache HTTP disponível para uso, crie um arquivo .htaccess
em wp-content/uploads e adicione a regra abaixo a ele. Isso impedirá que qualquer script PHP seja carregado da pasta de uploads. Esse é um local comum onde um invasor pode colocar um código mal-intencionado.
Além de bloquear a execução do PHP, desabilitar a indexação de diretórios em seu site é outro item importante da lista de recomendações de segurança do WordPress. Se a indexação do diretório não estiver desativada, o navegador carregará a lista de arquivos presentes no diretório solicitado se estiver faltando um arquivo index.php
ou index.html
.
Os invasores exploram amplamente essa capacidade, especialmente quando se trata de ataques de link simbólico entre contas descritos anteriormente no guia. Você pode bloquear a indexação de diretório globalmente ou por diretório usando a seguinte regra em .htaccess
:
Altere o prefixo do banco de dados do WordPress e o nome de usuário administrador padrão
A menos que você altere o processo de instalação padrão, o WordPress usará automaticamente o prefixo wp-
padrão para seu banco de dados e criará um usuário admin
padrão. Como isso é de conhecimento público, os ataques de força bruta e injeção de dados assumem isso.
Remova o usuário administrador padrão e altere o prefixo do banco de dados do WordPress para algo semelhante a wp2789_
. Você pode fazer isso renomeando todas as tabelas do banco de dados usando phpMyAdmin ou através da interface de linha de comando do MySQL. Certifique-se de atualizar o prefixo do banco de dados em wp-config.php
posteriormente.
Restringir o acesso ao XMLRPC e ao login do WordPress
Quando se trata de força bruta e ataques DDoS, xmlrpc.php
e a página de login do WordPress são as duas áreas dos sites WordPress mais visadas pelos invasores. Se o acesso a essas duas interfaces for irrestrito, seu site WordPress provavelmente sofrerá de baixo desempenho e tempo de inatividade frequente. Além disso, existe toda a possibilidade de que, eventualmente, um hacker consiga invadir sua conta de administrador e causar estragos em seu site.
XMLRPC é uma interface de programação de aplicativos (API) que permite que o WordPress se comunique com outros sistemas e faz parte do WordPress desde o início da plataforma. No entanto, como o WordPress depende muito da API REST, o XMLRPC raramente é usado e geralmente pode ser desativado completamente sem consequências negativas. Você pode adicionar a regra abaixo ao .htaccess file
do seu site ou simplesmente zerar as permissões do arquivo xmlrpc.php para essa finalidade.
Restringir o acesso ao seu painel de administração do WordPress é outra das nossas principais recomendações de segurança do WordPress. Embora alterar o endereço de login do WordPress torne muito mais difícil descobri-lo, proteger a página de login com senha ou definir um intervalo exclusivo de endereços IP que podem acessá-lo eliminará efetivamente o risco de um invasor obter acesso não autorizado ao back-end do WordPress.
Use senhas fortes e configure a autenticação multifator
A importância de usar senhas fortes não pode ser exagerada. No entanto, alguns proprietários de sites WordPress tendem a esquecer que o painel de administração do WordPress não é o único vetor de ataque. Um grande número de sites WordPress é invadido como resultado de um invasor que obtém acesso às contas do painel de controle de hospedagem na web.
Com muitos hosts, o nome da conta do seu site WordPress corresponde a um usuário real criado no servidor host. É fácil de adivinhar ou visível publicamente. Combinado com sua senha, o par de credenciais pode permitir que você se conecte ao seu site via SSH e SFTP. É assim que você acessa o painel de controle da sua hospedagem. Se esta conta for comprometida, um invasor pode obter acesso total não apenas ao seu site, mas também a toda a sua conta de hospedagem, e-mail e até mesmo aos seus nomes de domínio ou registros DNS.
Adote políticas de senha fortes e autenticação multifator para os usuários administrativos do WordPress e para a conta do painel de controle de hospedagem do seu site. Se possível, desative totalmente a autenticação de senha para SSH em favor de métodos de autenticação baseados em chave.
O iThemes Security Pro permite configurar a autenticação sem senha para o painel de administração do WordPress usando senhas com logins biométricos. Isso, combinado com a autenticação multifator configurada para sua conta de hospedagem, garante proteção total contra ataques de força bruta e protege seu site, mesmo que suas credenciais de login tenham sido comprometidas.
Implemente as melhores recomendações de segurança do WordPress com o iThemes Security Pro
Como o sistema de gerenciamento de conteúdo mais popular do mundo, o WordPress é um alvo de alta prioridade para hackers em todos os lugares. Para explorar violações de dados e distribuir malware, os invasores empregam uma ampla variedade de técnicas sofisticadas, como injeções de banco de dados, script entre sites e falsificação de solicitações entre sites. A menos que seu site WordPress esteja protegido contra essas ameaças de segurança comuns, ele pode se tornar um alvo fácil.
Com a miríade de recomendações de segurança do WordPress flutuando, pode ser complicado entender como manter seu site seguro, especialmente quando existem várias estratégias para mitigar cada ataque cibernético. Tornar a segurança do WordPress mais acessível é o objetivo da iThemes. Deixe iThemes Security Pro e BackupBuddy serem seus assistentes de segurança pessoal! Eles oferecem mais de 50 maneiras de proteger seu site WordPress dos ataques cibernéticos mais perigosos que existem atualmente.
O melhor plugin de segurança do WordPress para proteger e proteger o WordPress
Atualmente, o WordPress é responsável por mais de 40% de todos os sites, tornando-se um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que constantemente monitora e protege seu site WordPress para você.
Kiki é bacharel em gerenciamento de sistemas de informação e tem mais de dois anos de experiência em Linux e WordPress. Ela atualmente trabalha como especialista em segurança para Liquid Web e Nexcess. Antes disso, Kiki fazia parte da equipe de suporte do Liquid Web Managed Hosting, onde ajudou centenas de proprietários de sites WordPress e aprendeu quais problemas técnicos eles costumam encontrar. Sua paixão por escrever permite que ela compartilhe seu conhecimento e experiência para ajudar as pessoas. Além da tecnologia, Kiki gosta de aprender sobre o espaço e ouvir podcasts sobre crimes reais.