Segurança do WordPress - Guia passo a passo completo (2020) - MalCare
Publicados: 2023-04-21Há um bom motivo para se preocupar com a segurança do seu site. Os relatórios nos dizem que mais de 90.000 tentativas de invasão são feitas no site WordPress a cada minuto do dia.
Muitos proprietários de sites podem pensar que seu site é muito pequeno para chamar a atenção de um hacker. A verdade é que, como os sites pequenos adotam a segurança com indulgência, os hackers acham ainda mais fácil invadir sites pequenos.
Grande ou pequeno – todo site WordPress precisa tomar medidas de segurança.
Felizmente, existem várias coisas que você pode fazer para proteger seu site contra hackers e bots. Neste artigo, mostraremos exatamente quais etapas você precisa seguir para garantir que seu site seja seguro.
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Pensamentos Finais”]
Importância da segurança do site
O WordPress é a plataforma de criação de sites mais popular do mundo. No momento, existem 75 milhões de sites WordPress na Internet e centenas de novos estão sendo criados a cada dia. Esse tipo de popularidade tem um preço.
Quanto mais pessoas o usam, mais atraente ele se torna um alvo para hackers. O Windows é um alvo maior do que o sistema operacional da Apple. O Chrome é um alvo maior para exploração do que o Firefox. A popularidade chama mais atenção, tanto para o bem quanto para o mal.
Mencionamos anteriormente como pequenos proprietários de sites consideram seus sites imunes e não tomam as precauções necessárias, o que os torna um alvo ideal.
Quando seu site é invadido, os hackers usam sites para executar atividades maliciosas. Eles podem estar lançando ataques maiores em outros sites, enviando e-mails de spam, armazenando software pirata, injetando links de spam, vendendo produtos ilegais, criando links de afiliados com spam de SEO japonês e entre outras coisas.
E esse é o fim do problema. As coisas podem aumentar rapidamente e os mecanismos de pesquisa fornecerão avisos de site enganosos aos usuários e podem colocar seu site na lista negra. Os relatórios nos dizem que o Google coloca na lista negra 50.000 sites por atividades de phishing e cerca de 20.000 sites por conter malware toda semana!
Além disso, os provedores de hospedagem também podem suspender sua conta. Isso significa que seu site ficará fora do ar por dias, o que afetará sua arrecadação de receita. Se você esperar muito para consertar seu site, isso trará danos irreparáveis ao seu negócio.
Todos podemos concordar que tomar precauções de segurança é muito melhor do que consertar um site WordPress hackeado.
Mostraremos como você pode proteger seu site, mas antes disso queremos abordar uma questão que muitos de nossos leitores estão pensando.
[Voltar ao topo ↑]
Mas o WordPress não é seguro?
O núcleo do WordPress é seguro. O WordPress tem um exército dos melhores desenvolvedores trabalhando incansavelmente para manter o núcleo do WordPress seguro. Eles estão constantemente melhorando a tecnologia e lançando patches e atualizações para corrigir qualquer falha ou erro.
Não há nenhuma vulnerabilidade importante no núcleo do WordPress há muito tempo.
Apesar disso, há mais de 90.000 tentativas de invasão feitas em sites WordPress a cada minuto do dia. E há duas razões principais por trás disso.
Em primeiro lugar, o WordPress é uma plataforma extremamente popular. Cerca de 75 milhões de sites na internet são construídos em WordPress, o que atrai a atenção de grupos de hackers de todo o mundo.
Outro motivo é a presença de temas e plugins vulneráveis e desatualizados. Na verdade, os relatórios sugerem que temas e plugins desatualizados são a principal causa de mais comprometimentos do WordPress.
(Psiu — você pode ler mais sobre isso em nosso artigo sobre atualizações de segurança do WordPress .)
Portanto, embora seu WordPress seja uma plataforma segura, existem outros fatores que podem levar a um site comprometido. Portanto, tomar as seguintes medidas de segurança pode ajudar muito a salvar seus sites WordPress.
[Voltar ao topo ↑]
[ss_click_to_tweet tweet =”???? Se você leva seu site a sério, preste atenção às práticas recomendadas de segurança do WordPress. ????” conteúdo=””estilo=”padrão”]
Como proteger um site WordPress?
Existem 15 medidas de segurança diferentes que você pode tomar para proteger seu site WordPress. Esses são:
- Instale um plug-in de segurança do WordPress
- Faça backups regulares
- Use uma boa empresa de hospedagem
- Mantenha o WordPress atualizado
- Use um Certificado SSL
- Proteja sua página de login do WordPress
- Configurar um Firewall
- Proteja seu site
- Empregar princípios menos privilegiados
- Bloqueando endereços IP suspeitos
- Implementar bloqueio de país
- Ocultar versão do WordPress
- Verifique o registro de atividades
- Use apenas o endereço de e-mail para fazer login
- Usar autenticação HTTP
Vamos dar uma olhada mais profunda nessas medidas.
1. Instale um plug-in de segurança do WordPress
As principais funções de um plug-in ou serviço de segurança são verificar, limpar e proteger. Embora existam muitos plug-ins de segurança do WordPress para escolher, nem todos os plug-ins são eficazes. Alguns podem oferecer muitos recursos, mas apenas criam muito ruído. Um hacker experiente pode contornar esses plug-ins de segurança para invadir seu site.
O MalCare é um dos melhores plug-ins de verificação de segurança do WordPress. Aqui está o porquê -
eu. Verificador de malware MalCare
Um verificador de malware do WordPress requer recursos para executar uma verificação. Muitos scanners dependem dos recursos do seu servidor web, mas isso pode diminuir a velocidade do seu site.
Para superar esse desafio, o MalCare usa seus próprios recursos de servidor para executar uma varredura em seu site. Ele transfere os arquivos do seu site para seu próprio servidor e executa a verificação lá. Esse método garante que seu site não seja afetado durante o processo de verificação.
Muitos scanners procuram apenas malware existente, o que significa que eles perdem novos tipos de malware. MalCare é projetado para identificar todos os tipos de malware, incluindo novos .
ii. Remoção de malware MalCare
MalCare oferece o serviço de remoção de malware mais rápido. A maioria dos serviços de segurança do WordPress oferece limpeza baseada em tickets. Neste caso, se o seu site for invadido, você precisará abrir uma multa, pagar a taxa de remoção do malware e esperar que o pessoal de segurança limpe seu site e volte para você. Esse processo é demorado e envolve dar acesso ao seu site a terceiros.
O MalCare's Cleaner funciona de maneira diferente. Após um hack, o tempo é essencial. Quanto mais tempo demorar, mais chances o Google colocará seu site na lista negra ou os hosts da Web suspenderão seu site. É por isso que o MalCare oferece uma remoção instantânea de malware do WordPress para limpar um site de hackers. Tudo o que você precisa fazer é clicar em um botão , sentar e deixar o plug-in limpar seu site em minutos.
iii. Medidas de proteção do MalCare para WordPress
Todas as medidas que mencionamos até agora - do uso de firewall ao bloqueio de país para proteger seu site são medidas de proteção que o MalCare permite que você tome com apenas um clique no botão.
Como usar MalCare?
- Para usar o MalCare, você precisa primeiro baixar e instalar o plug-in em seu site.
- Em seguida, adicione seu site ao painel do MalCare. O plug-in começará a escanear seu site imediatamente. Se encontrar algum arquivo malicioso em seu site, ele notificará você.
- Você pode limpar seu site imediatamente usando o botão Auto-Clean do MalCare.
[Voltar ao topo ↑]
2. Faça backups regulares
Os backups são sua rede de segurança. Se algo der errado com seu site, você poderá restaurá-lo ao normal se tiver uma cópia do site.
Existem muitos plugins de backup por aí. Com o grande número de opções disponíveis, pode ser muito fácil acabar com um serviço que não está à altura. Para selecionar o serviço de backup correto, você precisará saber como escolher um plug-in de backup.
Além disso, revisar plug-ins de backup será uma tarefa demorada e cara. Felizmente, fizemos uma comparação entre os principais plugins de backup do WordPress no mercado. Dê uma olhada nos melhores plugins de backup do WordPress.
[Voltar ao topo ↑]
3. Use uma boa empresa de hospedagem
Os dois provedores de hospedagem mais populares são hospedagem compartilhada e hospedagem gerenciada.
A hospedagem compartilhada é popular porque é mais barata. Ele permitiu que milhões de pessoas em todo o mundo iniciassem seu próprio site sem um grande investimento. Mas na hospedagem compartilhada, você está compartilhando um servidor com outros sites desconhecidos. E muitas vezes, quando um site é comprometido, outros sites no mesmo servidor são afetados. Portanto, embora populares, os provedores de hospedagem compartilhada estão mal equipados para lidar com situações ameaçadoras.
Se você puder pagar por um servidor dedicado, escolha-o sempre. Ele faz um trabalho melhor em manter um site WordPress seguro. Você pode verificar como a hospedagem na web afeta a segurança do site.
Como existem muitos provedores de hospedagem para escolher, fizemos uma comparação das principais hospedagens do WordPress. Esperançosamente, isso ajudará você a tomar uma decisão sobre qual provedor de hospedagem escolher.
[Voltar ao topo ↑]
4. Mantenha o site WordPress atualizado
Como qualquer outro software, plugins, temas e até mesmo o núcleo do WordPress desenvolvem vulnerabilidades ao longo do tempo.
Quando os desenvolvedores descobrem as vulnerabilidades, eles lançam um patch na forma de uma atualização. Quando os proprietários de sites não atualizam seus sites, as vulnerabilidades permanecem.
Depois de lançar um patch, os desenvolvedores anunciam os motivos da atualização, o que significa que a vulnerabilidade é anunciada publicamente. Os hackers agora estão cientes da falha de segurança e em qual versão ela existe. Eles estão cientes de que nem todo proprietário de site atualizará seu site imediatamente, então eles começam a procurar por sites que estão sendo executados na versão vulnerável. Esse intervalo de tempo dá a eles uma boa chance de hackear com sucesso um grande número de sites.
Caso em questão, as estatísticas mostram que mais de 80% dos sites foram hackeados porque não estavam sendo atualizados!
Você deve atualizar seu site WordPress regularmente. Aprenda como atualizar seu site WordPress com segurança.
Você pode notar que existem plugins e temas que não são atualizados por seus desenvolvedores há muito tempo. Na maioria dos casos, o software é abandonado pelos desenvolvedores. É melhor remover o plug-in ou tema do seu site e instalar um alternativo.
[Voltar ao topo ↑]
5. Use um certificado SSL
Dê uma olhada rapidamente no URL deste site.
Observe o bloqueio? Esse bloqueio significa que o site está usando um certificado SSL. O SSL é uma camada de soquete segura que criptografa os dados enquanto eles são transferidos entre o navegador e o site.
Por que? Porque os dados (como detalhes do cartão de crédito) transferidos do navegador de um visitante para o seu site podem ser interceptados e roubados. Portanto, mesmo que os dados sejam roubados, se estiverem criptografados, os hackers não poderão usá-los.
Aqui está um guia que ajudará você a instalar um certificado SSL em seu site e mover o site WordPress de HTTP para HTTPS.
[Voltar ao topo ↑]
6. Proteja sua página de login do WordPress
A página de login é uma das partes mais comumente atacadas de um site WordPress. Os hackers tentam adivinhar a credencial de login e acessar a área de administração do WordPress, que lhes dará controle total sobre o site. Portanto, é importante implementar a proteção certa na sua página de login do WordPress. Vejamos as diferentes técnicas que permitirão que você proteja sua página de login e aumente a segurança de login do WordPress.
eu. Use um nome de usuário exclusivo
Se o seu nome de usuário for fácil de adivinhar, o hacker só precisa descobrir a senha. Com uma coisa a menos para se preocupar, torna o trabalho de um hacker muito mais fácil.
Um dos nomes de usuário mais comuns do WordPress é 'admin'. Até alguns anos atrás, o WordPress encorajava as pessoas a usar 'admin' como nome de usuário. Embora o WordPress não sugira mais 'admin' automaticamente, ele ainda é amplamente usado. Portanto, você deve tomar medidas para garantir que seus administradores evitem usar “admin” como nome de usuário junto com esses nomes de usuário comumente usados.
Consultar esta lista toda vez que uma nova conta de usuário é criada pode ajudar muito a manter seu WordPress seguro. Além disso, se algum de seus usuários existentes estiver usando nomes de usuário comuns, diga-lhes para alterá-lo. Aqui está um guia que eles acharão útil em Como alterar o nome de usuário do WordPress?
ii. Alterar seu nome de exibição
Para se infiltrar em seu site, os hackers vasculham seu site e pegam os nomes de exibição. Eles usam combinações diferentes desses nomes para tentar fazer login. Os hackers sabem que não é incomum ter o mesmo nome de usuário e nome de exibição. Por exemplo, se Sophia Lawrence for um nome de exibição, eles podem tentar fazer login usando sophialawrence ou sophia.lawrence ou sophia como nome de usuário.
Portanto, para proteger seu site disso, você pode alterar seu nome de exibição.
Vá para 'Editar meu perfil' . E então mude seu 'Nickname' . Salve a atualização. Agora, selecione 'Exibir nome publicamente como' . Um menu suspenso aparece no qual você verá o novo nome de exibição. Selecione-o e salve a configuração.
Os hackers inevitavelmente falharão se tentarem usar o nome de exibição.
[Voltar ao topo ↑]
iii. Impedir a descoberta do nome de usuário
Além do nome de exibição, outro método que pode ser empregado para descobrir o nome de usuário do seu site é por meio da API Rest do WordPress. Este é um sério problema de segurança do WordPress. Introduzido em 2016, esse recurso básico do WordPress permite que qualquer pessoa descubra as informações dos usuários em seu site. Tudo o que eles precisam fazer é executar um URL simples: example.com/wp-json/wp/v2/users
Para evitar que isso aconteça, use o trecho de código a seguir no arquivo functions.php. Ele ocultará a lista do usuário e fornecerá um erro 500 se você tentar executar a URL novamente.
[php]
add_filter('rest_endpoints', function($endpoints){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\d]+) '] ) ) {
unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
retornar $endpoints;
});
[/php]
O nome de usuário é um dos dois componentes de uma credencial de login. Vamos dar uma olhada no segundo componente – senha, e tentar descobrir como protegê-la contra hackers.
[Voltar ao topo ↑]
4. Aplicar senhas fortes
Qualquer senha protegerá meu site, não é o suficiente? A resposta é não porque os hackers estão constantemente tentando adivinhar as senhas dos sites WordPress para invadir.
Eles usam uma técnica chamada ataques de força bruta, na qual programam bots para fazer milhões de tentativas de login tentando adivinhar suas credenciais em poucos minutos.
Se você usar uma senha fácil como Passw0rd123$ , o bot irá decifrá-la em algumas tentativas. É por isso que é importante ter uma senha única e complexa.
O WordPress incentiva os usuários a gerar senhas fortes automaticamente, mas você ainda pode criar uma conta usando uma senha fraca. Portanto, o ônus de usar senhas fortes recai sobre você.
Você pode educar seus administradores do WordPress para usar senhas fortes. As diretrizes para definir uma senha forte são as seguintes:
– Crie senhas longas
Em geral, as senhas que excedem 8 a 10 caracteres são consideradas fortes e normalmente difíceis de decifrar. Cada caractere que você adiciona à sua senha a torna mais forte. No entanto, nos últimos anos, a tecnologia de quebra de senhas avançou significativamente. Portanto, muitos funcionários de segurança do WordPress recomendam o uso de frases secretas com 15 caracteres.
- Senha longa: pd&&)xG56ZhLNrjl4jjNJ4#h (difícil de lembrar)
- Senha longa: Seu lobo era branco como você não sabe nada John Snow (fácil de lembrar)
– Use uma combinação de letras maiúsculas, minúsculas e caracteres especiais
Nos ataques de força bruta, os bots são programados para executar procedimentos de quebra de senha. Eles seguem certas instruções, por exemplo, eles vão tentar adivinhar a senha certa combinando diferentes letras minúsculas ('a', 'b', 'c', etc.). Usar uma senha fácil como 'testpass' significa que eles podem quebrar a senha depois de fazer apenas algumas tentativas.
Portanto, se você usar uma combinação de caracteres maiúsculos e minúsculos, levará muito tempo para descobrir a senha. No entanto, um bot realmente bem programado pode tentar alguns milhões de senhas a cada segundo. Portanto, misturar caracteres especiais, números, letras minúsculas e maiúsculas deve tornar a senha imprevisível e difícil de decifrar.
- Adicionar limites – TestPass
- Adicionar numeral e símbolo – TestPass123$
– Evite usar palavras comuns e detalhes conhecidos publicamente
Palavras comuns como 'teste', 'admin', 'login' são palavras comuns que os usuários do WordPress tendem a usar. Estas são algumas das senhas que os bots experimentam primeiro, portanto, evite usá-las. De acordo com um infográfico da Splashdata, as 25 senhas mais usadas são:
- Esportes e interesses comuns , como 'beisebol', 'futebol' e 'Guerra nas Estrelas', 'Princesa', 'Solo' etc.
- Números em ordem como '87654321', '0123456', etc.
- Letras em ordem como 'abc123', etc.
Os hackers que visam o seu site podem obter detalhes do seu site e testá-los. Por exemplo, se você tiver um site criado em torno de seu programa de TV favorito, Game of Thrones, os bots tentarão várias combinações da frase para invadir seus sites, como 'GoThrones123' ou 'gameofthrones123'. Para evitar que isso aconteça, crie uma senha que não mencione nada relacionado ao site.
Proteger senhas minimiza as chances de uma violação de segurança. Mas senhas fortes são difíceis de lembrar, a menos que você tenha alguns truques na manga.
[Voltar ao topo ↑]
v. Proteção baseada em CAPTCHA
Além de usar nomes de usuário exclusivos e senhas fortes, o uso de CAPTCHAs é outra maneira perfeita de evitar ataques de força bruta em seu site WordPress.
Após um certo número de tentativas de login com falha, um CAPTCHA é gerado para determinar se o usuário é humano ou bot. Os CAPTCHAs são projetados para serem ilegíveis por bots. Portanto, impede ataques de força bruta porque os bots não podem acessar a página de login até que resolvam o CAPTCHA.
Os plug-ins de segurança do WordPress, como o MalCare, geram CAPTCHA baseado em imagem que só pode ser resolvido por um usuário humano real.
Projetado para impedir que bots hackers quebrem suas credenciais, os CAPTCHAs são ótimos.
[Voltar ao topo ↑]
vi. Implementar autenticação de dois fatores
Você já reparou como serviços populares como o Facebook e o Gmail autenticam os usuários quando eles tentam fazer login? É enviado um código para o smartphone associado à sua conta que ajuda a validar o utilizador. Isso é conhecido como autenticação de dois fatores.
O WordPress não oferece autenticação de dois fatores. Portanto, para implementar isso em seu site WordPress, você pode seguir este guia sobre como adicionar autenticação de dois fatores do WordPress.
[Voltar ao topo ↑]
[ss_click_to_tweet tweet=”Centenas de sites são hackeados todos os dias. Tome medidas de precaução hoje e proteja seu site contra hackers e bots. ” conteúdo =”” estilo =” padrão”]
7. Configure um Firewall
Das centenas de visitas que você recebe em seu site, algumas são maliciosas. Esses visitantes acessam seu site com a intenção de encontrar vulnerabilidades que possam explorar para obter o controle de seu site.
Um firewall do WordPress verifica todas as solicitações de visitantes feitas em seu site. Não importa qual dispositivo o visitante esteja usando – desktop, smartphones, tablets, laptops – cada dispositivo está associado a um endereço IP. Se a solicitação vier de um IP suspeito, o visitante é bloqueado, caso contrário, ele terá permissão para acessar o site. Um bom firewall é sua primeira linha de defesa contra tráfego malicioso.
Um plug-in de firewall do WordPress como o que o MalCare oferece vem com um firewall avançado que oferece melhor segurança. Ele não apenas verifica as solicitações de tráfego feitas em seu site, mas também registra o tráfego ruim. Ou seja, quando se depara com um novo IP ruim, ele mantém um registro disso. Se o IP ruim tentar acessar seu site novamente, ele será imediatamente bloqueado.
[Voltar ao topo ↑]
8. Fortaleça seu site
Identificamos algumas áreas comuns de um site WordPress das quais os hackers se aproveitam. Por exemplo, pode estar usando suas chaves de segurança para obter acesso ao seu site ou instalar plugins ou temas maliciosos em seu site. Para proteger seu site contra hackers, você precisa tomar medidas para fortalecê-lo.
Temos um guia que ajudará você a tomar medidas de proteção do WordPress.
[Voltar ao topo ↑]
9. Empregar princípios menos privilegiados
O WordPress oferece 6 funções de usuário padrão do WordPress: Administrador, Editor, Autor, Colaborador, Assinante e Superadmin. A distribuição dessas funções deve ser feita com cuidado. Cada função vem com seu próprio conjunto de poder e responsabilidades. Vamos dar uma olhada neles:
O Administrador está no topo da hierarquia. Ele tem controle total sobre o site e pode executar as seguintes funções:
- Criar, editar e excluir conteúdo
- Editar plugins e código de temas
- Gerenciar todos os plugins e temas
- Criar, modificar e excluir contas de usuário
Os direitos diminuem conforme você desce na hierarquia. O Editor não pode fazer grandes mudanças, mas pode gerenciar categorias e links, moderar comentários, criar, editar e excluir uma postagem e páginas. O autor, colaborador e assinante têm menos permissões.
A maior responsabilidade é a de um Administrador, cujos direitos devem ser dados às pessoas que você acredita que não abusarão do poder.
Se o tipo errado de pessoa obtiver acesso de administrador, eles poderão tirar proveito da função. Eles podem instalar plugins e temas desonestos, roubar seus dados e vendê-los por um preço, armazenar arquivos e pastas ilegais, entre outras coisas.
[Voltar ao topo ↑]
10. Bloqueio de endereços IP suspeitos
Se você tiver um plug-in de segurança do WordPress como o MalCare instalado em seu site, verifique o registro de endereços IP que tentaram fazer login sem sucesso.
Observe como alguns deles podem estar usando nomes de usuário comuns (falamos sobre isso na seção 'Usar nome de usuário exclusivo') como “adm2016”. Esta imagem abaixo é um registro de tentativas de login malsucedidas feitas em um de nossos sites.
Para bloquear esses endereços IP maliciosos, coloque o código em seu arquivo .htaccess:
[php]
ordem permitir, negar
negar de 61.134.52.164
permitir de todos
[/php]
Substitua “61.134.52.164” pelo endereço IP que deseja banir e salve o arquivo.
[Voltar ao topo ↑]
11. Implementar bloqueio de país
A world wide web dá aos hackers acesso a sites em todo o mundo. Eles podem estar localizados na Rússia e segmentar um site de Nova York.
As estatísticas mostram que os cinco principais países onde se originam as tentativas de hack incluem China, Estados Unidos, Turquia, Brasil e Rússia.
Se você tiver o MalCare instalado, é fácil verificar os usuários que estão tentando fazer login no seu site. Você pode ver seu país de origem.
Se você tiver usuários localizados apenas nos EUA, as tentativas de login feitas em outros países provavelmente serão maliciosas.
Na imagem acima, podemos ver que tentativas de login foram feitas em quatro países diferentes – Estados Unidos, Reino Unido, Rússia e China.
Agora, se você está segmentando apenas países específicos como os EUA, não precisa de tráfego de outros países, portanto, pode bloquear o Reino Unido, a Rússia e a China.
Para saber como implementar o bloqueio de país, consulte a ajuda deste guia sobre Como bloquear um país no WordPress?
[Voltar ao topo ↑]
12. Ocultar versão do WordPress
Outra maneira de um hacker descobrir se você possui algum arquivo com vulnerabilidades conhecidas do WordPress é procurando a versão do WordPress que você está usando. Às vezes, os proprietários de sites perdem novas atualizações do WordPress que deixam seus sites vulneráveis.
Os hackers podem explorar qualquer vulnerabilidade que possa ter existido na versão anterior da instalação principal do WordPress. Portanto, ocultar a versão do WordPress que você está usando pode ser útil.
Para fazer isso, você precisa colocar um código no arquivo function.php.
Etapa 1: faça login na sua conta de host. Acesse cPanel > Gerenciador de Arquivos > public_html.
Passo 2: Na pasta public_html, acesse wp-content e selecione a pasta do seu tema ativo.
Por exemplo, se você estiver usando o tema padrão do WordPress Twenty-Nineteen, selecione a pasta chamada “twenty Nineteen”.
Observe que 'personalblogily' é o tema que estamos usando atualmente em nossos sites, você pode estar usando um tema diferente.
Etapa 3: Clique com o botão direito do mouse no arquivo function.php e selecione Editar. Aqui, coloque o seguinte código.
[php]
function wpbeginner_remove_version() {
retornar ";
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
Salve o arquivo e isso removerá o número da versão do WordPress de ser exibido em qualquer lugar do seu site.
[Voltar ao topo ↑]
13. Verifique o registro de atividades
Manter um olhar atento sobre tudo o que está acontecendo em seu site WordPress permite que você identifique comportamentos suspeitos em um estágio inicial. Isso ajudará você a impedir possíveis ataques de hackers maliciosos antes que eles realmente aconteçam e danifiquem seu site WordPress.
Você pode fazer isso instalando um plug-in para manter um registro de tudo o que acontece no seu site WordPress em um log de atividades do WordPress. Existem vários plugins diferentes que você pode escolher. WP Security Audit Log é um desses plugins.
14. Use apenas o endereço de e-mail para fazer login
Na página de login do WordPress, você pode usar seu nome de usuário ou seu ID de e-mail para fazer login. Portanto, desabilitar o uso do nome de usuário pode desencorajar hackers de realizar ataques de força bruta em seu site.
Existem plug-ins como Sem login por endereço de e-mail, que permite impedir o uso de nomes de usuário para fazer login em seu site.
[Voltar ao topo ↑]
15. Use autenticação HTTP
A autenticação HTTP oferece uma camada de proteção sobre a página de login do WordPress e é um passo importante para a segurança do WordPress. Para acessar a página, o usuário precisa inserir as credenciais HTTP. Sem isso, eles não terão permissão para acessar a página de login do seu site.
Plugins como HTTP Auth ajudam a configurar essa camada protetora sobre sua página de login. Lembre-se de compartilhar as credenciais de autenticação HTTP com seus usuários. Caso contrário, eles ficarão bloqueados e não poderão fazer login no seu site.
Com isso, chegamos ao fim das medidas avançadas de segurança para sites WordPress.
[Voltar ao topo ↑]
Medidas de segurança comuns, mas obsoletas, do WordPress
No mundo da segurança do WordPress, há muitos conselhos que os proprietários de sites costumam receber. Mas alguns desses conselhos não são muito eficazes. Vamos listar alguns dos conselhos de segurança comuns que vêm com grandes desvantagens. Essas medidas realmente não protegem seu site, pois os hackers encontraram maneiras de contorná-las.
- Ocultar página de login do WordPress
- Definir senhas para expirar
- Logoff automático quando não há atividade
1. Ocultar a página de login do WordPress
Os hackers raramente visam sites únicos. Eles programam bots automatizados para lançar ataques nas páginas de login do WordPress. Qualquer um que tenha usado o WordPress por tempo suficiente sabe que os sites do WordPress vêm com uma URL de página de login padrão que se parece com esta: ' example.com/wp-admin' .
Isso facilita muito o trabalho dos bots automatizados. Portanto, alterar a página de login do seu site para algo como 'example.com/wrongpage' pode desviar um ataque que se aproxima.
Existem vários plugins, como WPS Hide Login, Hide WP-Admin, etc., que podem ajudá-lo a ocultar sua página de login do WordPress.
Desvantagem: embora isso possa impedir facilmente tentativas de invasão automática, não garante que seu site seja seguro. Isso ocorre principalmente porque ferramentas como o WPS Hide Login oferecem um URL de login padrão. Assim, centenas de milhares de sites que usam a ferramenta estão usando o mesmo URL para sua página de login. Os hackers podem descobrir facilmente o formato da URL e lançar ataques.
Além disso, ocultar a página de login sem informar adequadamente todos os usuários pode ser muito inconveniente. Pode até custar-lhe um dia de trabalho.
[Voltar ao topo ↑]
2. Definir senhas para expirar
Você deve ter notado que nos serviços de e-banking eles pedem que você altere as senhas após um determinado período de tempo. Esta é uma medida de segurança que garante que, se sua conta for invadida, o hacker terá apenas uma janela limitada para explorar sua conta. Aplicar a mesma medida em seus sites WordPress reduz os danos.
Usando o plug-in Expire Passwords, você pode definir senhas de usuário para expirar após um número específico de dias. Todos os usuários são forçados a atualizar suas senhas.
Desvantagem: essa medida fornece algum nível de segurança, mas os hackers encontram maneiras de superá-la. Por exemplo, quando eles invadem seu site, eles criam novas contas de usuário ou instalam backdoors ocultos. Portanto, mesmo que você altere sua senha regularmente, eles já criaram outros pontos de acesso.
[Voltar ao topo ↑]
3. Logoff automático quando não há atividade
Para sites com vários usuários, as chances de abuso dos direitos do usuário são altas. É ainda maior para usuários que trabalham remotamente. Um usuário pode ter que deixar sua mesa para tratar de negócios urgentes e esquecer de fazer logout.
E se alguém abusar do site durante esse período? Para reduzir o risco de tal abuso, você pode configurar seu site WordPress para desconectar os usuários automaticamente se eles ficarem inativos por um longo período.
O plug-in de logout inativo oferece um recurso de logout de sessão ociosa. Isso permite definir um período de inatividade aceitável, como 10 ou 20 minutos, após o qual o usuário é desconectado automaticamente.
Desvantagem: Mas é provável que, se alguém quiser bisbilhotar seu site, o faça imediatamente após o usuário sair. Em casos como esses, desconectar usuários ociosos não pode impedir o abuso dos direitos do usuário.
[Voltar ao topo ↑]
[ss_click_to_tweet tweet=”Preocupado com a segurança do seu site? ???? Siga estas etapas acionáveis para proteger seu site contra vulnerabilidades de segurança.” conteúdo=””estilo=”padrão”]
Pensamentos finais
Sabemos que foi uma leitura muito longa e um pouco opressiva também. Mas antes de sair para tirar uma soneca, eis o que sugerimos que você faça -
- Marque este artigo.
- Compartilhe com amigos e vizinhos – qualquer pessoa que você acha que se beneficiaria ao seguir nosso guia.
- Confira mais guias como Proteja seu site WordPress com wp-config.php em nosso blog WordPress.
Esperamos sinceramente que você tenha achado este artigo útil. Queremos deixar você com um pensamento final – tomar todas essas medidas de segurança pode ser muito complicado, por isso sugerimos executar auditorias regulares de segurança do WordPress e optar por um plug-in de segurança premium do WordPress, como o MalCare, que cuidará da segurança para você.
Com o MalCare, você terá acesso a recursos de segurança bacanas, como firewall, verificações regulares de malware, reforço do WordPress e muito mais. Você pode ficar tranquilo sabendo que a segurança do seu site está garantida.
Experimente nosso plugin de segurança WordPress – MalCare agora mesmo!