Como fazer uma auditoria de segurança do WordPress - 8 etapas fáceis - MalCare

Publicados: 2023-04-19

Era uma vez você se sentou e executou uma auditoria completa de segurança do WordPress em seu site. Não era algo que você imaginava, mas você fez isso para manter os hackers do mal afastados.

  • Você foi em frente e instalou um plug-in de segurança do WordPress em seu site porque os gurus disseram isso.
  • Você atualizou todos os seus plugins e temas do WordPress porque sabe exatamente o que acontece se não o fizer.
  • Você leu sobre as medidas de fortalecimento do site e implementou as que duram.

Resumindo: você tinha 100% de certeza de que seu site é seguro e protegido contra hackers.

E então, alguns meses depois, você acordou esperando que as coisas continuassem como de costume…

Apenas para descobrir que seu site foi invadido.

Pode ser absolutamente qualquer coisa. Pode ser um redirecionamento malicioso para outro site. Ou você pode descobrir que seu site tem pop-ups que estão tentando vender algo que não tem absolutamente nada a ver com o seu negócio.

É quando você percebe que falhou em proteger seu site.

Este é um cenário enfrentado pela maioria dos proprietários de sites WordPress. E se é isso que você está enfrentando, então você veio ao artigo certo.

O problema é o seguinte: seu único erro foi presumir que a auditoria de segurança do WordPress era uma atividade única. Quando você marcou todas as caixas da lista, pensou que tudo estava pronto e limpo.

A verdade é que a segurança do seu site é como a publicidade — é uma atividade contínua. Você não pararia de anunciar seu negócio, não é mesmo?

As ferramentas de segurança do site e as medidas preventivas estão avançando constantemente, mas os hackers não vão ficar parados e deixar você assumir o controle de seus negócios. É o seu negócio e você terá que lutar por isso todos os dias.

Uma auditoria de segurança do WordPress é a maneira mais simples de descobrir o que está funcionando e o que não está. Suas medidas de segurança estão obsoletas?

Sem as auditorias de segurança do WordPress a cada 3 meses, as chances de um hacker invadir seu site e danificar seus negócios são muito maiores.

Mas não se preocupe, tudo isso pode ser evitado garantindo que suas medidas de segurança estejam atualizadas. Hoje, mostraremos as etapas de como executar uma auditoria de segurança WordPress bem-sucedida em seu site.

TL;DR: Para proteger completamente o seu site WordPress, recomendamos o uso de um plug-in de segurança. Instale o MalCare para escanear e monitorar seu site regularmente. Ele também bloqueará tentativas de invasão em seu site. E sim, ele também faz automaticamente uma auditoria de segurança do WordPress para você todos os dias.

O que é uma auditoria de segurança do WordPress?

Mais cedo ou mais tarde, a maioria dos sites WordPress enfrenta problemas de segurança. Por exemplo, plugins e temas podem desenvolver vulnerabilidades que podem ser exploradas por hackers para invadir seu site.

Depois de obter acesso ao seu site, eles podem desviar seu tráfego, exibir conteúdo e anúncios ilegais, fraudar seus clientes e roubar dados pessoais, entre uma longa lista de atos maliciosos.

Uma auditoria de segurança do WordPress pode ajudar a identificar esses problemas prontamente para que você possa tomar medidas para fechar quaisquer brechas de segurança em seu site. Ao executar uma auditoria de segurança, você verificará as medidas de segurança existentes em seu site. Em seguida, identifique quais outras medidas de segurança você pode implementar em seu site para garantir que ele esteja protegido.

Uma auditoria de segurança completa pode envolver várias etapas e pode se tornar uma bagunça se você não tiver um processo e uma lista de verificação em vigor.

Agora, é bem provável que você já tenha feito uma auditoria de segurança do WordPress antes. O objetivo deste artigo é ajudá-lo a configurar um processo que você pode repetir no final de cada 3 meses. Idealmente, uma auditoria de segurança do WordPress deve ser feita diariamente. Mas para estar no lado seguro e ainda ser razoável, recomendamos fazer isso todos os meses.

Hoje, vamos levá-lo através do nosso Guia passo a passo de auditoria de segurança do WordPress. Esta trilha de auditoria permitirá que você conduza uma auditoria completa e abrangente do seu site.

Como executar uma auditoria de segurança bem-sucedida

Nesta auditoria, analisaremos minuciosamente a segurança do seu site. Vamos começar.

  1. Avalie seu plug-in de segurança
  2. Teste sua solução de backup do WordPress
  3. Examine sua configuração de administrador atual
  4. Remova plug-ins não utilizados instalados e ativos
  5. Excluir temas extras do WordPress instalados
  6. Avalie seu provedor e plano de hospedagem atual
  7. Verifique os usuários que têm acesso FTP
  8. Verifique suas medidas de proteção do WordPress

lista de verificação de auditoria de segurança do site wordpress

1. Avalie seu plug-in de segurança

O plug-in de segurança do seu site é o seu primeiro ponto de verificação. Se você ainda não estiver usando um plug-in de segurança, considere ativar um em seu site imediatamente. Um plug-in de segurança protege sites WordPress de hackers e bots. Há muitas opções para escolher. Mas nem todos são eficazes, portanto, você deve escolher o plug-in de segurança certo. Aqui está uma lista de recursos que seu plugin de segurança DEVE oferecer:

1. Verificação de malware – Os hackers estão sempre à procura de plug-ins vulneráveis. Recomendamos fortemente o uso de um plug-in que execute uma verificação diária do seu site. Ele deve realizar uma varredura profunda que verifica todos os arquivos e pastas do seu site, incluindo seu banco de dados.

2. Verificação externa – O processo de verificação requer muitos recursos do servidor para ser executado. Se o plug-in usar seu próprio servidor, a verificação poderá sobrecarregar seu site e torná-lo lento. Procure um plug-in que use seus próprios servidores para escanear seu site.

3. Firewall – Você precisa de um firewall em seu site que bloqueie proativamente hackers e bots maliciosos e endereços IP que tentem invadir seu site. Para configurar um firewall, você precisa de conhecimento técnico. No entanto, você pode encontrar plugins de segurança que o instalam e o ativam para você.

4. Proteção de login – Os hackers geralmente atacam sua página de login e tentam diferentes combinações de nomes de usuário e senhas para invadir seu site (conhecido como ataque de força bruta). O plug-in de segurança deve ser capaz de bloquear esses ataques.

5. Alertas em tempo real – Se houver atividade suspeita em seu site, o plug-in deve detectá-la e alertá-lo imediatamente. Isso permite que você tome uma ação imediata.

6. Limpezas de malware – Um bom plug-in de segurança permitirá que você limpe seu site rapidamente. Deve ser capaz de limpar seu site completamente.

7. Log de atividades – Um log de auditoria de segurança do WordPress rastreia a atividade do usuário em seu site, como quem fez login, detalhes das tentativas de login que falharam, o que os usuários do WordPress fizeram no site. Um registro de atividades é útil quando você deseja descobrir como seu site foi invadido ou quais alterações foram feitas para causar mau funcionamento.

Se você acha que sua solução de segurança não é eficaz, você pode escolher entre os principais plugins de segurança disponíveis.

Recomendamos o uso do MalCare, pois ele cobre todos esses recursos. Possui um dos melhores scanners de malware que podem detectar qualquer tipo de malware. Além disso, você pode limpar qualquer infecção de malware em poucos minutos!

2. Teste sua solução de backup do WordPress

Ter um backup do seu site WordPress pode ser útil se algo der errado. Você pode facilmente restaurar seu backup e fazer seu site voltar ao normal.

Mas o que acontece se o seu backup falhar? O que acontece se você não conseguir restaurá-lo?

É por isso que você precisa testar seu backup. Se você estiver usando um backup de host, alguns deles não oferecem opções de teste. Aqui está o que recomendamos para testar seu backup:

Instale o plug-in de backup do BlogVault em seu site WordPress. Ele fará automaticamente um backup completo do seu site.

Observe que o primeiro backup pode demorar um pouco, pois copiará todo o site em seus próprios servidores. Os backups subsequentes são muito mais rápidos, pois usa tecnologia incremental, onde faz backup apenas das alterações feitas.

Após a conclusão do backup, no painel do BlogVault, acesse a opção 'Test Restore'.

restauração de teste do blogvault

Depois de concluído, ele irá alertá-lo de que sua restauração foi bem-sucedida.

3. Examine sua configuração de administrador atual

O WordPress permite que várias pessoas colaborem e contribuam para o desenvolvimento e manutenção do WordPress. Mas nem todo usuário do WordPress precisa de acesso completo ao site. Por exemplo, um escritor só precisaria de acesso para escrever e publicar conteúdo. Eles não precisam ter acesso para fazer outras alterações, como instalar plug-ins ou alterar o tema.

Para evitar que todos os usuários em seu site tenham acesso completo, o WordPress tem seis funções de usuário diferentes que você pode atribuir – Super Admin, Administrador, Editor, Autor, Colaborador e Assinante. Cada função tem diferentes níveis de permissões.

funções do wordpress

Ao conduzir sua auditoria de segurança do WordPress, a primeira coisa que você precisa analisar são os usuários que você adicionou ao seu site WordPress.

  • Verifique quantos desses usuários têm acesso de administrador.
  • Determine quantos realmente precisam de acesso de administrador.
  • Restrinja o acesso e conceda permissões mais baixas alterando as funções do usuário para aqueles que não precisam ser administradores.
  • Certifique-se de reconhecer todos os usuários em seu painel. Exclua todos os usuários que você não reconhece, pois eles podem ser contas de usuários não autorizados criadas por hackers.

Em seguida, certifique-se de que qualquer pessoa que seja administrador em seu site não esteja usando o nome de usuário 'admin' . Este é o nome de usuário mais comum que os administradores do WordPress usam para suas contas. Os hackers estão bem cientes disso e tentam usar o nome para obter acesso ao seu site

Para alterar o nome de 'admin' para algo mais exclusivo, você precisa primeiro criar uma nova conta de usuário para essa pessoa. Você pode atribuir todo o conteúdo ao novo usuário do WordPress que você criou. Em seguida, você pode excluir a antiga conta 'admin'.

4. Remova plug-ins não utilizados instalados e ativos

Trabalhando com WordPress por mais de uma década, vimos muitos casos de sites WordPress sendo invadidos devido a plugins vulneráveis.

Plugins para WordPress são criados por desenvolvedores terceirizados que os mantêm e atualizam. No entanto, como qualquer software, com o tempo, as vulnerabilidades aparecem. Os desenvolvedores geralmente são rápidos em corrigi-los e lançar uma atualização. Esta atualização conterá um patch de segurança que removerá a vulnerabilidade do seu site.

Se você atrasar a atualização, seu site permanecerá vulnerável.

  • Durante sua auditoria, verifique a lista de plugins que você instalou. Muitos de nós, proprietários de sites, tendemos a experimentar novos temas e plugins. Não usamos a maioria deles, mas esquecemos que eles ainda estão instalados em nosso site. Exclua os plugins que você não usa. Isso removerá elementos desnecessários do seu site e reduzirá as chances de hackers invadirem seu site.
  • Certifique-se de reconhecer todos os plugins instalados. Se você ou sua equipe não reconhecerem algum plugin, recomendamos excluí-lo. Isso ocorre porque, quando os hackers invadem seu site, eles às vezes instalam seus próprios plug-ins. Esses plug-ins contêm backdoors que fornecem acesso secreto ao seu site.
  • Se você instalou qualquer versão pirata ou nula de plug-ins, exclua-os imediatamente. Esse software geralmente contém malware que infecta seu site quando você o instala. Os hackers usam software pirata para distribuir seu malware.

Agora que você tem apenas os plug-ins que usa, certifique-se de atualizá-los quando os desenvolvedores lançarem atualizações.

5. Excluir temas extras do WordPress instalados

Como proprietários de sites, tendemos a instalar diferentes temas para encontrar um que gostemos. No entanto, muitas vezes, esquecemos de deletar os que não precisamos. Assim como os plugins, os temas também podem desenvolver vulnerabilidades.

Aconselhamos excluir todos os outros temas e manter apenas o tema que você está usando. Certifique-se de usar a versão mais recente disponível do seu tema ativo.

6. Avalie seu provedor de hospedagem atual e planeje

Graças à hospedagem compartilhada, mais pessoas podem criar sites sem grandes investimentos. Os planos de hospedagem compartilhada são mais baratos e personalizados para pequenos sites WordPress.

Você pode ter optado por um plano de hospedagem compartilhada quando começou, mas à medida que cresce, você precisa avaliar se precisa atualizar.

Planos de hospedagem compartilhada significam que você compartilha um servidor com outros sites. Você não tem controle sobre o que os outros sites que compartilham seu servidor fazem. Se o site for hackeado, pode consumir muitos recursos do servidor. Isso desacelerará seu site e reduzirá seu desempenho. Também há uma pequena chance de que qualquer infecção por malware se espalhe para sites que compartilham o mesmo servidor. Portanto, se você puder pagar por uma atualização, recomendamos mudar para um servidor dedicado.

Se você não estiver satisfeito com o serviço do seu host atual, poderá comparar diferentes hosts e ver se deseja migrar seu site para um melhor.

7. Verifique os usuários que têm acesso FTP

Um FTP é um protocolo de transferência de arquivos que permite conectar seu computador local ao servidor do site. Você pode acessar os arquivos e pastas do seu site e fazer alterações.

Como você pode adicionar, modificar e excluir arquivos do seu site WordPress, o acesso ao FTP deve ser concedido apenas àqueles em quem você confia e precisa absolutamente de acesso.

Recomendamos verificar a lista de usuários de FTP e redefinir suas senhas de FTP, se necessário. Para fazer isso, você precisa acessar sua conta de hospedagem WordPress > cPanel > Contas FTP.

contas ftp cpanel

Aqui, você verá uma lista de todas as contas FTP criadas para o seu site. Você pode excluir aqueles que não precisam de acesso.

8. Verifique suas medidas de fortalecimento do WordPress

O WordPress recomenda certas medidas de proteção que tornam seu site mais seguro. Esses incluem:

  1. Desativando o editor de arquivos em plugins e temas
  2. Desativando a instalação do plug-in
  3. Redefinindo chaves e sais do WordPress
  4. Aplicação de senhas fortes
  5. Limitando as tentativas de login do WordPress
  6. Implementando a autenticação de dois fatores

Se você precisar de mais orientação, recomendamos a leitura de nosso Guia Completo para Fortalecimento do WordPress .

Durante sua auditoria de segurança do WordPress, recomendamos verificar se essas medidas estão em vigor. Por exemplo, se você estiver usando um plug-in para limitar as tentativas de login ou autenticação de 2 fatores, verifique se o plug-in ainda funciona e está atualizado. Verifique se há opções melhores disponíveis.

Muitas das medidas de endurecimento requerem conhecimento técnico para serem implementadas. No entanto, se você estiver usando o plug-in de segurança MalCare, poderá implementar as medidas de proteção do WordPress com apenas alguns cliques.

site malcare está limpo

Estas são oito tarefas muito importantes para realizar regularmente. Recomendamos fazer uma auditoria semestralmente ou pelo menos anualmente. Para resumir o que cobrimos, aqui está uma lista de verificação que você pode seguir:

Lista de verificação para auditoria de segurança do WordPress

1. Plug-in de segurança – Avalie seu plug-in de segurança. Recomendamos o uso do MalCare.

2. Backup do WordPress – Teste o backup do seu site para garantir que ele possa ser restaurado. Recomendamos usar a opção de restauração de teste do BlogVault.

3. Usuários administrativos – Examine sua configuração atual de administrador. Certifique-se de ter concedido privilégios de administrador apenas para aqueles que precisam. Exclua todos os usuários inativos.

4. Plugins – Remova plug-ins não utilizados instalados e ativos. Mantenha apenas os plugins que você realmente usa e certifique-se de que eles sejam atualizados regularmente.

5. Temas – Excluir temas extras do WordPress instalados. Mantenha apenas o tema ativo em seu site e certifique-se de usar a versão mais recente disponível.

6. Web Host – Avalie seu provedor e plano de hospedagem atual. Recomendamos o uso de hosts da web confiáveis ​​e um plano de servidor dedicado.

7. FTP – Verifique os usuários que têm acesso FTP. Conceda acesso apenas a quem precisa.

8. Endurecimento – Certifique-se de que suas medidas de fortalecimento do WordPress estejam intactas e atualizadas.

Pensamentos finais

Esperamos que este artigo tenha ajudado você a criar um processo repetível para uma auditoria de segurança do WordPress. Se você puder continuar executando esse processo regularmente, garantimos que você pode impedir que hackers contornem a segurança do seu site.

Sim, uma auditoria completa de segurança do WordPress é um processo longo e tedioso. Mas a verdade é que pode ajudar a proteger o seu negócio por muito tempo.

E se você acha que uma auditoria de segurança do WordPress é muito tediosa, você pode automatizar o processo instalando o plugin MalCare. Ao contrário da maioria dos outros plug-ins de segurança de sites, o MalCare oferece um conjunto abrangente de ferramentas de segurança que podem fazer muito mais do que uma auditoria de segurança do WordPress.

O MalCare automatiza muitas atividades de segurança tediosas e manuais, como verificação e remoção de malware, backups regulares do site, instalação de firewalls e proteção contra bots e fortalecimento do WordPress.

Você pode fazer tudo isso com apenas alguns cliques em um painel avançado e fácil de usar.

Proteja seu site WordPress com MalCare !