Segurança do WordPress: o guia definitivo para proteger um site WordPress
Publicados: 2019-05-24O cibercrime está em alta com hackers e malwares atacando o vasto cenário online. O Google coloca na lista negra mais de 20.000 sites por terem malware e mais de 50.000 sites como potenciais sites de phishing – toda semana! Deixe os números afundarem por um momento. E assim, para o propósito desta leitura, montamos um guia completo para ajudá-lo a melhorar sua segurança no WordPress.
Veja bem, se o seu site não seguir as melhores práticas de segurança, você deixará seu site e todo o seu conteúdo sujeito a ser invadido. Mas não é apenas o seu conteúdo que está em jogo, pois sites não seguros também são penalizados pelos algoritmos de busca do Google.
Hackers e malware não são apenas perigosos para o conteúdo do seu site, mas também representam uma ameaça para as pessoas que visitam seu site. E assim, se você não seguir as diretrizes básicas de segurança – que por sinal é muito simples de fazer – o Google irá rebaixar você na SERP (Search Engine Results Page).
Felizmente, os usuários do WordPress têm acesso a plugins dedicados e uma interface ultra-intuitiva que pode ajudar a aumentar a segurança do WordPress por uma margem significativa. Portanto, sem deixá-lo esperando mais, aqui estão nossas 10 melhores maneiras de melhorar sua segurança do WordPress:
As 10 principais maneiras de melhorar sua segurança do WordPress
1. Instale os plug-ins de backup
O conceito aqui é bem simples – é melhor estar seguro agora do que remediar depois!
Ao fazer backup de seu conteúdo e banco de dados online, tudo é mantido seguro e protegido, mesmo sob o infeliz evento de ser vítima de hackers e malware. Isso torna a instalação de um plugin de backup o primeiro capítulo do WordPress security 101 e o coloca no topo da lista de prioridades.
Um plug-in de backup como nosso WPvivid Backup Plugin pode fazer backups de rotina automáticos de todo o seu site WordPress, incluindo o banco de dados. Você pode configurá-lo para agendar os backups para serem semanais ou diários. Os dados de backup geralmente são armazenados em uma plataforma de armazenamento em nuvem separada - fornecida pelo próprio plug-in ou entre as diferentes plataformas já existentes, como Google Drive, Amazon S3, Dropbox e assim por diante.
Agora, se em uma instância posterior, seu site quebrar devido a malware ou hackers, todos os seus dados ainda estarão acessíveis e você poderá restaurar os backups do seu site para recuperá-lo à sua condição de trabalho anterior. Apenas lembre-se de encobrir as vulnerabilidades de segurança que os hackers ou malware usaram para entrar em seu site para que isso não aconteça novamente.
Com tudo isso dito, se você está procurando alguma recomendação sobre qual plugin de backup, além do nosso WPvivid Backup Plugin, usar para melhorar sua segurança do WordPress, aqui estão algumas opções:
- UpDraftPlus
- BackWPup
2. Instale um plug-in de firewall para monitorar seu site WordPress
Semelhante ao software de firewall que você configurou em seu desktop/laptop, um plug-in de firewall monitorará o tráfego de entrada e impedirá que ameaças comuns de segurança cheguem ao seu site WordPress.
Os plug-ins geralmente se referem a um banco de dados que consiste em assinaturas maliciosas e endereços IP na lista negra para verificar as possíveis ameaças que chegam ao seu site e bloqueá-las imediatamente.
Como você pode ver, é tão simples quanto instalar um plugin do WordPress, mas melhora a segurança do WordPress, impedindo que hackers, malware, worms e vírus entrem no seu site.
3. Defina uma senha forte para login de administrador
Quando você pensa sobre isso, obter acesso ao seu painel de back-end do WordPress não é grande coisa. É de conhecimento comum que adicionar “/ wp-admin” no final de uma URL de site WordPress leva o usuário para a página de login do administrador. Aqui, a única coisa que limita o acesso ao back-end do site é simplesmente adivinhar o nome de usuário e a senha.
Agora, como o nome de usuário “admin” está quase sempre associado a um site WordPress, a única coisa que o hacker precisa fazer é adivinhar a senha e então eles terão acesso direto a todo o conteúdo e dados do seu site. Uma coisa assustadora de se imaginar, não é?
Com tudo isso em consideração, o aprimoramento de segurança mais óbvio do WordPress que você pode empregar é tornar sua senha extremamente complexa e difícil de decifrar, mesmo por força bruta. Isso inclui a criação de senhas mais longas com pelo menos 10 a 12 caracteres. Lembre-se também de usar letras maiúsculas, minúsculas, números e caracteres especiais em sua senha.
E só para que você não acabe esquecendo, anote em algum lugar onde você sabe que estará seguro e protegido.
4. Personalize o nome de usuário do administrador
Semelhante a alterar a senha do seu login de administrador do WordPress, você também deve considerar alterar o nome de usuário padrão facilmente previsível – admin. Então agora o hacker precisa decifrar a senha junto com o nome de usuário correto para entrar no backend do seu site, o que aumenta exponencialmente a segurança do WordPress.
Mas com isso dito, alterar o nome de usuário padrão do administrador é um pouco difícil. Primeiro, você precisa fazer login no back- end do WordPress > Usuário > Adicionar novo usuário e, em seguida, criar um novo usuário (com o novo nome de usuário) com a Função de usuário definida como – Administrador . Uma vez feito, faça login com a nova conta de usuário e exclua a conta de usuário “admin” padrão, forçando os hackers a não apenas decifrar a senha correta, mas também seu novo nome de usuário. Alternativamente, você pode gerenciar e editar funções de usuário usando um plug-in de editor de função de usuário.
5. Personalize o URL de login
Até agora, falamos sobre como tornar difícil para os hackers adivinharem suas credenciais de login de back-end do WordPress. Mas, uma tática de segurança ainda melhor do WordPress seria negar completamente o acesso dos hackers à sua tela de login.
Como mencionado anteriormente, o URL padrão para a página de login de back-end do seu site envolve o URL do seu site seguido por “/wp-admin”. No entanto, você sabia que pode personalizar a última parte do URL de login do seu site para qualquer string alfanumérica diferente que possa imaginar, como – “/zero-hackers-allowed”.
No entanto, observe que esse não é um recurso padrão do CMS (Sistema de Gerenciamento de Conteúdo), e você precisará instalar um plug-in do WordPress como o WPS Hide Login para ajudá-lo. Uma vez instalado e ativado, o plugin permitirá que você altere a URL de login para que os hackers não possam acessar facilmente a página wp-login.php e o diretório wp-admin.
Até agora, não apenas tornamos difícil para os hackers adivinharem a combinação correta de senha e nome de usuário para acessar nosso site, mas também ocultamos efetivamente a página de login de olhares indiscretos. Como você pode imaginar, isso aumenta drasticamente a segurança do WordPress e torna os ataques de força bruta praticamente impossíveis.
6. Defina uma senha forte para o usuário do banco de dados
Se o seu site tiver vários usuários com alguns deles tendo acesso direto ao seu banco de dados ou outras informações confidenciais, certifique-se de que eles definam senhas fortes para suas contas. Os hackers são igualmente propensos a tentar entrar em seu site explorando os outros usuários em seu site. Com isso em mente, qualquer ponta solta é uma vulnerabilidade potencial e uma ameaça à segurança.
Você pode tornar obrigatório que os usuários atribuam uma senha forte às suas contas seguindo as etapas mencionadas anteriormente. Como alternativa, você pode usar plug-ins de terceiros para forçar os usuários a criar uma senha forte para concluir o processo de criação da conta.
7. Ative SSL (HTTP para HTTPS)
SSL, abreviação de Secure Sockets Layer, é o protocolo de segurança padrão na Internet que cria uma conexão criptografada entre o cliente e o servidor. Uma vez ativado, você notará que o texto HTTP no início de sua URL é substituído por HTTPS ou HTTP protegido. Ao habilitar um certificado SSL, você torna mais difícil para os hackers desviarem os dados enquanto eles estão sendo transmitidos entre o servidor e o cliente.
O Google também leva a certificação SSL muito a sério. Por exemplo, sites que ainda estão em HTTP são mostrados como “não seguros” no navegador Google Chrome. Além disso, eles também são penalizados pelo algoritmo do mecanismo de pesquisa. Por outro lado, os HTTPS dos sites certificados SSL são concedidos pelo mecanismo de pesquisa. Portanto, colocamos a instalação de um SSL como o primeiro passo para seo um novo blog WordPress.
Esses dois pontos devem ser motivo suficiente para você instalar um certificado SSL em seu site – especialmente quando você considera que não é um problema tão grande. Em primeiro lugar, a maioria dos serviços populares de hospedagem na web incluem um certificado SSL gratuitamente. E caso você não tenha um de graça, pode fazê-lo facilmente usando Let's Encrypt .
Você ainda tem acesso a um plugin WordPress SSL dedicado – Really Simple SSL para transformar HTTP em HTTPS e melhorar sua segurança no WordPress.
8. Mova wp-config para um nível superior ao diretório raiz
Por padrão, o wp-config.php está localizado dentro da mesma pasta do seu blog/site WordPress. Isso pode ser um pesadelo de segurança, pois o arquivo contém seu nome de usuário do banco de dados MySQL, senha, chaves de autenticação do WordPress e outros dados confidenciais.
Se alguém se apossar desse arquivo, eles basicamente têm controle total sobre todos os detalhes do seu site. É por isso que até mesmo o codex do WordPress recomenda que os usuários movam o wp-config.php do diretório raiz padrão para uma pasta de nível superior que não tenha acesso público.
Isso pode ser feito facilmente incluindo o seguinte trecho de código na pasta .htaccess:
<arquivos wp-config.php> ordem permitir, negar negar de todos </files>
Como você pode ver, isso envolve mexer nos arquivos principais do seu site WordPress e, portanto, é aconselhável fazer um backup antes de prosseguir com esta etapa.
9. Impedir listar diretório com .htaccess quando uma pasta não tem arquivo index.php
A listagem de diretórios, também conhecida como navegação em diretórios, permite que qualquer usuário visualize o conteúdo de pastas individuais (diretórios) em seu site. Como você pode imaginar, isso exige grandes preocupações de segurança, pois os hackers podem navegar sem esforço por todos os seus diferentes arquivos e localizar possíveis vulnerabilidades para invadir seu site.
Agora, em defesa do WordPress CMS, certos diretórios contêm arquivos index.php que o servidor executa/carrega instantaneamente quando alguém entra na pasta. Isso impede que os espectadores naveguem em seus diretórios e tenham acesso à estrutura do seu site.
Mas e se o arquivo index.php não estiver presente?
Mesmo assim, os problemas podem ser facilmente resolvidos fazendo um pequeno ajuste no arquivo .htaccess. Tudo o que você precisa fazer é simplesmente adicionar a seguinte linha no final do .htaccess e salvá-la.
Opções Todos - Índices
Uma vez feito isso, se um usuário tentar acessar qualquer um de seus diretórios que não possua um arquivo index.php, ele mostrará um erro 403 acesso proibido ou página 404 não encontrada para o usuário.
10. Atualize o WordPress regularmente
O WordPress é imensamente popular, alimentando mais de 30% de todos os sites na World Wide Web. Isso torna o CMS o principal alvo de hackers e agentes mal-intencionados. Eles estão sempre ocupados encontrando vulnerabilidades de segurança e brechas no código que podem explorar para obter acesso aos dados do seu site.
Da mesma forma, a equipe de desenvolvimento do WordPress também está procurando ativamente por bugs e falhas de segurança, para que possam corrigi-los antes que os hackers os explorem. Portanto, atualizar para a versão mais recente do WordPress não é apenas acessar novos recursos e funcionalidades, mas também garantir que o código não tenha falhas que os hackers possam explorar.
Agora, assim que uma nova atualização do WordPress for lançada, o mundo inteiro, incluindo os hackers, poderá aprender sobre as vulnerabilidades de segurança que estavam presentes na versão anterior. Se você procrastinar para atualizar seu site rapidamente para a iteração mais recente, os hackers podem aproveitar as vulnerabilidades de segurança agora conhecidas em seu site, tornando a segurança do WordPress muito mais fraca do que antes. Além disso, como o WordPress é construído com PHP, também é importante atualizar seu site WordPress para a versão mais recente do PHP para melhorar o desempenho e a segurança do seu site. Lembre-se de fazer um backup completo do seu site antes de fazer qualquer atualização!
11. Remova o número da versão do WordPress
Embora você deva sempre atualizar seu site WordPress assim que uma nova atualização do CMS for lançada, às vezes, não é a melhor decisão que você pode tomar. Algumas razões possíveis para atrasar a atualização do site podem ser devido a uma atualização com erros, problemas de compatibilidade com seus plugins e temas atuais e assim por diante.
No entanto, como acabamos de discutir, adiar a atualização abre uma infinidade de ameaças de segurança e tentativas de hackers. Mas isso pode ser evitado se você puder remover o número da versão do WordPress do seu site. É por isso que os hackers não saberão em breve que seu site está sendo executado em uma versão mais antiga, o que reduz suas chances de ser explorado pelas falhas de segurança recém-descobertas.
Agora, para remover o número da versão do WordPress do seu site, você precisa acessar o arquivo functions.php e inserir o seguinte trecho de código:
function remove_wordpress_version() {
Retorna '';
}
add_filter('the_generator', 'remove_wordpress_version');Isso removerá o número da versão do WordPress do arquivo principal e do feed RSS, garantindo que os hackers não adivinhem qual versão do WordPress você está usando.
Para concluir
Então, essas foram algumas das nossas dicas e truques recomendados para melhorar a segurança do seu WordPress. Esperamos que você tenha achado esta leitura útil e que tenha sido um recurso útil para tornar seu site mais seguro e protegido.
Como você pode ver, muitas das melhorias podem ser feitas simplesmente seguindo algumas etapas básicas e instalando alguns plugins de segurança. Agora, existem alguns aspectos técnicos que você deve cuidar também. No entanto, você não precisa se preocupar muito com isso se estiver apenas começando com seu blog/site WordPress.
Mas, à medida que seu site continua crescendo, perceba que os hackers tentarão mais arduamente invadir e causar problemas. Como tal, mantenha-se sempre atualizado com as últimas tendências de segurança, sem mencionar cobrir todas as etapas técnicas discutidas acima, como mover seu arquivo wp-config e senha para proteger seu banco de dados.
Com tudo isso em contexto, os usuários experientes são incentivados a participar da conversa e adicionar suas táticas pessoais para garantir que seu site esteja livre de hackers e malware. Seus colegas leitores serão altamente beneficiados por seus insights, e isso pode ajudá-los a proteger seu site de possíveis ameaças cibernéticas.
Caso você também esteja interessado, aqui está nosso guia completo sobre como monetizar um blog.