A única lista de verificação de segurança do WordPress que você precisará em 2024

WordPress é um sistema de gerenciamento de conteúdo (CMS) seguro, mas a maneira como você instala e configura seu site pode afetar seu nível de segurança. Se você não tomar medidas para proteger seu site, poderá enfrentar uma violação de dados ou perder seu conteúdo.

Para ajudá-lo, criamos a lista de verificação de segurança definitiva do WordPress. Isso irá guiá-lo por todas as etapas necessárias para proteger seu site contra bots e invasores.

Nesta postagem, daremos uma olhada nos recursos de segurança integrados do WordPress. A seguir, mostraremos 30 coisas que você pode fazer para proteger ainda mais seu site.

O WordPress oferece segurança integrada?

Sim, o WordPress oferece algumas medidas de segurança. Seu painel de administração é protegido por uma página de login que exige que os usuários insiram um nome de usuário e uma senha válidos.

O CMS também recebe patches e atualizações regulares para eliminar vulnerabilidades de segurança. De modo geral, se você mantiver o WordPress e seus componentes atualizados, você será poupado das vulnerabilidades mais comuns.

Dito isto, há também o elemento humano a considerar. Em muitos casos, os sites WordPress são hackeados devido a erro humano, como compartilhamento ou reutilização de credenciais de login. Se um invasor obtiver acesso a uma conta com alto nível de privilégios, ele poderá causar estragos em seu site.

Como o CMS é uma plataforma muito popular, os invasores examinam a web tentando encontrar sites WordPress com vulnerabilidades conhecidas. Quanto mais o seu site crescer, maior será o alvo.

Qual é a maneira mais fácil de proteger um site WordPress?

Proteger um site WordPress exige que você altere a configuração do seu site e adicione vários recursos que dificultam a invasão de invasores. Se você não tiver tempo para seguir toda esta lista de verificação de segurança do WordPress, a melhor coisa que você pode fazer é instalar um segurança plugar.

O Jetpack Security fornece acesso a vários recursos de segurança, como verificação e remoção automática de malware, proteção contra spam e backups em tempo real.

É importante observar que nenhum plugin pode proteger seu site contra todas as ameaças potenciais que ele pode enfrentar. Portanto, você desejará proteger ainda mais seu site se quiser realmente proteger seus dados e trabalhar duro.

Por exemplo, você desejará impor senhas fortes e habilitar a autenticação de dois fatores (2FA). Analisaremos mais de perto essas medidas de segurança (e muitas outras) em nossa lista de verificação.

Lista de verificação de segurança do WordPress em 30 etapas

Lembre-se de que você não precisa trabalhar em todas essas medidas de segurança de uma só vez. Riscar todos os itens da lista de verificação pode demorar um pouco, mas a maioria deles são correções que você só precisa implementar uma vez.

Então, aqui estão 30 maneiras de aumentar a segurança do seu site.

1. Mantenha o WordPress atualizado

Instalações desatualizadas do WordPress são talvez a maior causa de violações de segurança. Muitos usuários se esquecem de atualizar o WordPress, junto com os plugins e temas de seus sites. Este é um problema significativo, pois software desatualizado tende a ser o alvo principal dos invasores.

Quanto mais antigo o software, mais tempo os invasores tiveram para analisar seu código e encontrar brechas de segurança. Os desenvolvedores monitoram essas ameaças e as corrigem à medida que aparecem. Portanto, você desejará executar atualizações assim que forem lançadas.

Felizmente, o WordPress torna mais fácil ficar por dentro das atualizações. No seu painel, vá para Atualizações guia e você terá uma visão geral de tudo disponível.

Se você tiver muitas atualizações para executar, é importante fazer backup do seu site WordPress antes de continuar. Isso é especialmente importante ao atualizar para uma versão mais recente do WordPress, pois às vezes pode causar problemas de compatibilidade com plug-ins e temas.

Você vai querer verificar sua página de atualizações diariamente. Alternativamente, você pode ativar atualizações automáticas para seus plugins e temas.

Dessa forma, caso você esqueça de verificar se há atualizações em seu site, elas serão executadas automaticamente.

2. Crie nomes de usuário e senhas fortes

Seu site é tão seguro quanto as credenciais que você usa para acessá-lo. O próprio WordPress informará se você estiver definindo uma senha fraca ao criar uma nova conta.

Uma senha “fraca” é qualquer coisa fácil de adivinhar. Se suas credenciais forem algo como “administrador” e “1234”, seu site provavelmente será vítima de ataques de força bruta.

Idealmente, sua senha deve conter pelo menos oito caracteres e uma combinação de letras, números e caracteres especiais. Se você tiver vários usuários em seu site WordPress, você pode lembrá-los de usar credenciais fortes e alterar suas senhas a cada poucos meses.

3. Adicione uma camada extra de proteção com 2FA

A autenticação de dois fatores é uma medida de segurança que exige o uso de uma segunda camada de autenticação ao fazer login em um site. Por exemplo, alguns sites podem exigir que você insira um código único enviado por e-mail ou SMS.

O objetivo do 2FA é tornar quase impossível para os invasores adivinharem suas credenciais. Sem acesso a outro dispositivo ou conta, eles não conseguirão fazer login no WordPress.

Por padrão, o WordPress não inclui a funcionalidade 2FA, então você precisará usar um plugin como o Jetpack para adicionar esse recurso ao seu site. Com o Jetpack, você pode adicionar 2FA (chamado de autenticação segura) que funciona com sua conta do WordPress.com.

4. Instale um plugin de segurança confiável

Plug-ins poderosos de segurança do WordPress irão ajudá-lo a riscar vários itens desta lista de verificação de segurança do WordPress. O ideal é que você escolha uma única ferramenta que ofereça os seguintes recursos:

Verificação de malware

Se o seu site for infectado, você vai querer saber o mais rápido possível. Verificações regulares de malware informarão se alguma parte do seu site está em risco.

Ferramentas de remoção de malware

Se o seu plugin de segurança identificar malware, você precisará de ajuda para removê-lo. Isso pode envolver a exclusão dos arquivos ou sua substituição, dependendo da parte do seu site WordPress que está infectada.

Cópias de segurança

Existem muitas soluções de backup independentes e plug-ins para WordPress. Algumas ferramentas de segurança multifuncionais incluem backups automáticos, portanto você não precisará instalar um plug-in adicional.

Registros de segurança

O ideal é que você queira saber tudo o que acontece no seu site. Os logs de segurança registram eventos no WordPress e permitem pesquisá-los para encontrar atividades suspeitas.

Implementação 2FA

Conforme discutimos anteriormente, 2FA é uma ferramenta crítica que pode ajudá-lo a minimizar o risco de violações de segurança devido a credenciais roubadas.

O Jetpack Security inclui todos esses recursos, então você pode realizar várias etapas desta lista de verificação de segurança com uma ferramenta.

5. Use um firewall de aplicativo da web (WAF)

Um WAF é uma solução de segurança que ajuda a proteger aplicativos e sites – incluindo sites WordPress – contra ataques, filtrando e monitorando o tráfego. Dependendo do software, ele deverá ser capaz de identificar tráfego malicioso usando regras predefinidas ou bancos de dados de invasores conhecidos.

Muitos hosts da web configuram firewalls automaticamente para seus clientes. Você também pode usar o Jetpack Security para adicionar um WAF ao seu site WordPress.

O Jetpack Security permite configurar o WAF para usar regras predefinidas e bloquear endereços IP específicos. Você também pode compartilhar dados de atividades com o Jetpack, o que ajuda a tornar o WAF mais eficaz ao aumentar o banco de dados de ameaças conhecidas.

6. Verifique regularmente o WordPress em busca de malware e vulnerabilidades

A verificação de malware e vulnerabilidades em seu site envolve a revisão de todos os seus arquivos em busca de modificações não autorizadas ou códigos maliciosos. Embora o processo possa parecer assustador, existem ferramentas que podem fazer isso por você.

Jetpack Security usa WPScan (o maior banco de dados de vulnerabilidades conhecidas do WordPress) para verificar seu site.

Se o plugin do WordPress encontrar malware ou vulnerabilidades, ele poderá notificá-lo imediatamente e até mesmo ajudar a remover ou reparar os arquivos afetados. Isso é muito mais simples do que a abordagem manual, que exige que você determine quais arquivos excluir e descubra como repará-los.

7. Faça backup do seu site regularmente ou em tempo real

Os backups são um componente crítico da segurança do site. Se alguma coisa acontecer ao seu site, eles permitirão que você volte a funcionar rapidamente.

Depender do seu provedor de hospedagem para backups não é uma opção segura, pois um comprometimento do seu servidor pode inutilizar tanto o seu site WordPress quanto seus backups.

Em vez disso, você precisa de uma solução de backup externo em tempo real para garantir proteção 24 horas por dia, 7 dias por semana e poder restaurar seu site a qualquer momento, mesmo que esteja completamente fora do ar.

O Jetpack VaultPress Backup faz exatamente isso, salvando seu site sempre que você faz uma alteração.

O plugin armazena esses backups na nuvem para evitar a superlotação do servidor. Ele usa uma combinação de backups incrementais e diferenciais, portanto não precisa copiar todo o seu site e banco de dados cada vez que você faz uma alteração, o que torna o processo muito mais eficiente.

Além das alterações no site, o Jetpack VaultPress Backup salva novos comentários, pedidos e outras ações do usuário. É a principal ferramenta de backup para lojas WooCommerce, pois salvará pedidos mesmo se você precisar reverter seu site WordPress para uma versão anterior.

8. Armazene seus backups em um servidor separado

Conforme mencionado acima, simplesmente fazer backups não é suficiente. Você precisa armazená-los em vários locais externos e seguros para que, se houver uma violação de segurança digital ou um desastre físico em um data center, você ainda possa acessar e restaurar os arquivos do seu site. Este é o mesmo motivo pelo qual você não pode confiar apenas nos backups do seu host – seu site e os backups podem ser comprometidos ao mesmo tempo.

Se você estiver usando o VaultPress Backup, tudo isso será resolvido para você. Seus backups são armazenados em vários locais na nuvem e estão sempre acessíveis, mesmo se o seu site estiver fora do ar.

9. Acompanhe a atividade do usuário

Se você tiver acesso aos registros de atividades do seu site, poderá ver quando alguém tenta fazer login várias vezes e falha, se há uma modificação em um arquivo do WordPress, se alguém instala um novo plugin e muito mais.

Pense nos registros como o equivalente tecnológico das gravações de segurança. Você espera nunca precisar usá-los, mas eles são um recurso de segurança amplamente utilizado por um motivo. O WordPress não oferece essa funcionalidade por padrão, então você precisará procurar um plugin que ofereça.

Jetpack Security permite monitorar tudo o que acontece no seu site. Ele mantém um registro de atividades que registra quem faz o quê, com datas e horários. Se você encontrar um problema de segurança, poderá verificar este log para ver o que o causou.

Ele também se integra à funcionalidade VaultPress Backup, para que você possa restaurar seu site para um momento específico com base no que encontrar no registro de atividades.

10. Controle o acesso e as permissões dos usuários

Uma das maneiras mais simples de manter qualquer sistema seguro é limitar quem tem acesso a ele. Se você é a única pessoa que trabalha no seu site, ninguém mais deve saber suas informações de login do WordPress.

Ao trabalhar em equipe, é importante que você faça uso total do sistema de funções de usuário do WordPress. O CMS oferece várias funções que você pode atribuir aos usuários, dependendo das permissões que você deseja que eles tenham.

A função mais elevada é a de administrador e é o único usuário com acesso total a todos os recursos e configurações do WordPress. Outros usuários do WordPress, como autores, só poderão publicar seu próprio conteúdo e não poderão alterar a configuração do site ou mesmo acessar suas configurações.

Ao considerar qual função atribuir a cada usuário, pense nas permissões que eles precisam para realizar suas tarefas. Em nenhum momento um usuário deve ter mais permissões do que o necessário. Essas restrições manterão seu site mais seguro.

11. Limite o número de tentativas de login permitidas

Tentativas repetidas de login podem ser um sinal de que alguém esqueceu suas credenciais. Mas se o número de tentativas for maior que um punhado, você provavelmente está lidando com alguém que está tentando invadir seu site.

Você deve limitar as tentativas de login permitidas dentro de um período específico para impedir ataques automatizados de força bruta. Mais uma vez, você pode usar o Jetpack para implementar esta medida de segurança.

O plugin pode bloquear invasores que tentam usar credenciais comuns para entrar no seu site. Você também pode configurá-lo para permitir endereços IP específicos, para que apenas seus usuários possam fazer login no WordPress.

12. Use um CDN para ajudar na proteção contra ataques DDoS

Uma rede de distribuição de conteúdo (CDN) é um sistema de dados que armazena cópias do seu site em servidores em diferentes locais ao redor do mundo – reduzindo a latência que pode resultar quando alguém tenta visitar um site hospedado em um país distante. Quando alguém tenta visitar o seu site WordPress, o CDN responderá automaticamente à solicitação de um servidor próximo.

O CDN pode aliviar a carga em seus servidores, ajudá-lo a lidar com mais tráfego, reduzir o tempo de carregamento e protegê-lo contra ataques distribuídos de negação de serviço (DDoS). Como os ataques não atingirão seu servidor diretamente, ele não será tão impactado se for inundado pelo tráfego de bots.

Se você usar o Jetpack Security, terá acesso a um CDN de imagem que pode ajudá-lo a armazenar arquivos de mídia em cache para carregamentos mais rápidos. Além disso, ele redimensiona automaticamente as imagens e oferece a melhor opção com base no dispositivo individual de cada visitante. Você também pode considerar a integração de outros CDNs ao WordPress para reduzir ainda mais o tempo de carregamento e proteger seu site contra aumentos repentinos no tráfego.

13. Instale um certificado SSL

Um certificado Secure Sockets Layer (SSL) é um sinal de que seu site é confiável. Ele também permite que você carregue seu site por HTTPS, que criptografa os dados que fluem de e para seu site.

A maioria dos navegadores sinaliza que os sites possuem certificados SSL com um simples ícone de cadeado na barra de navegação.

Hoje em dia, os hosts da web mais confiáveis ​​oferecem certificados SSL gratuitos e configuração automática para os usuários. Se o seu host não fizer isso, você poderá obter um certificado gratuito de uma fonte como Let's Encrypt.

Quando o certificado estiver pronto, você precisará instalá-lo e ativar o HTTPS. Existem várias maneiras de forçar o carregamento do WordPress por HTTPS. Really Simple SSL permite que você faça isso com um simples clique.

Nós protegemos seu site. Você administra seu negócio.

O Jetpack Security oferece segurança abrangente e fácil de usar para sites WordPress, incluindo backups em tempo real, firewall de aplicativos da Web, verificação de malware e proteção contra spam.

Proteja seu site

14. Prefira SFTP a FTP ao transferir arquivos

O protocolo de transferência de arquivos (FTP) permite que você se conecte ao seu site e carregue, baixe e modifique arquivos diretamente. O protocolo usa um conjunto diferente de credenciais, que seu host deve fornecer para você.

Alguns hosts usam uma versão atualizada e mais segura do protocolo chamada SFTP. Os clientes FTP modernos suportam ambos os protocolos e funcionam da mesma forma. A principal diferença é que o SFTP criptografa os dados que você envia e recebe do servidor (assim como o HTTPS).

Se o seu host permitir que você use FTP e SFTP, use o último como padrão. Caso o seu host suporte apenas FTP, você pode considerar mudar para um provedor que ofereça melhores recursos de segurança.

15. Mantenha sua versão do PHP atualizada

O WordPress é construído em PHP, e a versão que você usa desempenha um papel importante na velocidade do site. As versões mais recentes do PHP incluem correções de segurança que podem ajudar seu site a funcionar mais rapidamente e evitar explorações.

Você pode ver qual versão do PHP seu servidor usa navegando até Site Health → Info e abrindo o servidor aba.

Compare essas informações com a versão mais recente do PHP e veja se o seu host está usando a versão mais recente. Alguns hosts da web podem permitir que você alterne entre versões do PHP. Caso contrário, talvez seja hora de considerar mudar para um novo host WordPress.

16. Exclua temas e plug-ins inativos do WordPress

É uma boa regra desativar e excluir quaisquer plug-ins ou temas do WordPress que você não usa mais. Isso pode diminuir as chances de problemas de compatibilidade ou vulnerabilidades.

A exclusão de temas e plug-ins inativos manterá seu site mais seguro e organizado. Você deseja revisar seus plug-ins ativos periodicamente e anotar aqueles que não usa mais.

17. Avalie cuidadosamente novos plugins e temas

Antes de instalar qualquer plugin ou tema em seu site, é importante garantir que ele seja proveniente de desenvolvedores confiáveis ​​e que tenha um bom histórico. Você pode fazer isso verificando suas classificações e comentários.

O mesmo vale para temas WordPress. A maioria dos repositórios de plugins e temas mostrará um histórico de atualizações. Um plugin ou tema confiável terá atualizações regulares, o que significa que os desenvolvedores estão trabalhando ativamente nele.

Você deseja evitar plug-ins e temas do WordPress que não recebem mais atualizações. Não importa o quão úteis sejam, eles podem levar a vulnerabilidades no seu site, pois o código está desatualizado.

18. Invista em um provedor de hospedagem seguro

Nem todos os provedores de hospedagem oferecem o mesmo nível de serviço, desempenho e recursos. Alguns são melhores que outros e isso não significa necessariamente que sejam mais caros.

Escolher um provedor de hospedagem WordPress forte e seguro é uma decisão crucial, pois normalmente você estará vinculado a ele por um longo período de tempo. É importante que você leia o máximo de avaliações possível e faça pesquisas antes de se comprometer com qualquer serviço.

Se precisar de ajuda, você pode verificar esta lista de hosts recomendados pelo Jetpack, alguns dos quais incluem recursos importantes do Jetpack como parte dos serviços gerenciados de hospedagem WordPress.

19. Altere o administrador padrão nome de usuário

Quando você configura o WordPress, ele cria o nome de usuário de administrador por padrão. Isso facilita lembrar suas credenciais, mas também torna mais fácil para os invasores adivinharem seus detalhes.

Se a sua conta de administrador do WordPress já estiver configurada, você terá duas opções para alterar o nome de usuário do administrador padrão:

1. Crie uma nova conta de administrador. Você pode criar uma nova conta de administrador com qualquer nome de usuário desejado e depois mudar para ela. Depois de fazer isso, você pode excluir a conta antiga e continuar usando a nova.
2. Altere o nome de usuário usando phpMyAdmin. Se quiser manter a conta existente, você pode modificar o nome de usuário através do banco de dados.

Nenhum nome de usuário deve ser fácil de adivinhar, especialmente quando se trata da conta de administrador. Se alguém tiver acesso a ele, poderá fazer as alterações que desejar em seu site.

20. Altere o prefixo padrão do banco de dados

O prefixo do banco de dados padrão no WordPress é wp_ . Isso significa que se um invasor souber o nome do banco de dados, ele também poderá adivinhar o prefixo e usar essa informação para tentar consultá-lo.

Você pode minimizar esse risco alterando o prefixo padrão do banco de dados para qualquer coisa além de wp_ . Este é um processo de duas etapas. O primeiro passo é alterar o prefixo do banco de dados no arquivo wp-config.php , que deve ter uma linha parecida com esta:

 $table_prefix = 'wp_';

Após fazer a alteração em wp-config.php , você precisará atualizar as tabelas do banco de dados com o novo prefixo. Você pode fazer isso usando o phpMyAdmin e executando várias consultas semelhantes a esta:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Você pode usar essa estrutura de consulta e alterar o que vem depois do “TO” para corresponder o nome da tabela ao prefixo atualizado. Lembre-se de que você precisará executar essa consulta para cada tabela do banco de dados e, até que isso aconteça, seu site não funcionará corretamente.

21. Altere os URLs padrão /wp-admin e /wp-login.php

Os URLs /wp-admin e /wp-login.php permitem que você acesse o painel e a página de login no WordPress. Esses URLs são fáceis de lembrar, mas tornam seu site mais vulnerável. Se alguém quiser invadir seu site, geralmente começará com o URL de login padrão do WordPress.

Você pode dificultar a vida dos invasores alterando esses URLs padrão. Existem plug-ins que permitem fazer isso, como WPS Hide Login. Alternativamente, você pode alterar os URLs de login por meio do arquivo .htaccess se preferir uma abordagem manual.

22. Limite o acesso wp-admin apenas a endereços IP autorizados

A URL /wp-admin abre o painel no WordPress. Tecnicamente, ninguém deveria ter acesso ao painel sem as credenciais corretas. Você pode levar a segurança um passo adiante, limitando o acesso apenas aos IPs permitidos.

Esse não é um recurso que o WordPress oferece. Para implementá-lo, você precisará adicionar o seguinte código ao arquivo .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

O xxx.xxx.xxx.xxx representa o endereço IP que você deseja colocar na lista de permissões. Observe que você pode adicionar vários IPs copiando essa linha e inserindo os diferentes endereços.

Você também precisará modificar o caminho do diretório para que corresponda ao local do diretório raiz no servidor. Depois de salvar o arquivo, qualquer endereço IP que não esteja na lista verá um erro se tentar acessar o painel.

23. Limite o acesso FTP apenas a endereços IP autorizados

Você pode limitar o acesso FTP/SFTP ao seu site restringindo quem tem acesso às credenciais correspondentes. Alguns painéis de controle de hospedagem também permitem limitar o acesso FTP por endereço IP.

Isso é ideal se você tiver um endereço IP estático, pois impedirá que qualquer outra pessoa se conecte ao site e acesse seus arquivos via FTP, mesmo com as credenciais corretas. Sem um IP estático, esta configuração pode limitar até mesmo o seu próprio acesso ao site.

Tenha em mente que apenas algumas pessoas selecionadas devem conseguir se conectar ao site usando FTP. Se você estiver trabalhando com outras pessoas e elas não tiverem um motivo para acessar ou editar arquivos principais diretamente, elas não deverão ter acesso às suas credenciais de FTP.

24. Proteja seu arquivo wp-config.php

O arquivo wp-config.php contém informações críticas sobre o seu site, incluindo detalhes sobre o banco de dados. Por padrão, o arquivo está localizado no diretório raiz do WordPress.

A maneira mais fácil de proteger o arquivo é movê-lo diretamente para fora do diretório raiz . Se o WordPress não conseguir encontrar wp-config.php onde normalmente está, ele irá procurá-lo em um diretório acima de seu local normal.

Outra opção é configurar as permissões do arquivo para restringir o acesso a qualquer pessoa além do administrador (você). Para fazer isso, você precisará entender como funcionam as permissões de arquivo em sistemas baseados em UNIX e alterar a configuração do arquivo usando SFTP.

25. Desative a edição de arquivos para bloquear alterações maliciosas

Somente o administrador deve ter permissão para acessar e modificar os arquivos principais do WordPress. Normalmente, você poderá acessar a funcionalidade de edição de arquivos no painel. Isso significa que você pode editar diretamente arquivos principais, plugins e temas sem sair do administrador do WordPress.

Dependendo do nível de permissões que os usuários possuem, eles poderão acessar o editor de arquivos. A melhor maneira de evitar isso é desabilitar completamente a edição de arquivos.

Para implementar esta medida de segurança, abra o arquivo wp-config.php e adicione a seguinte linha de código antes do final:

 define('DISALLOW_FILE_EDIT', true);

Salve as alterações no arquivo e feche-o. Observe que você ainda poderá editar arquivos, mas precisará usar SFTP para fazer isso, o que é uma opção melhor (e mais segura) do que usar o editor de arquivos do WordPress.

26. Desative a execução de arquivos PHP

Desabilitar a execução de arquivos PHP em diretórios específicos do seu site WordPress é uma medida de segurança que ajuda a impedir a execução de scripts maliciosos. Se um invasor conseguir fazer upload de um script PHP para o seu site, ele poderá executá-lo para obter acesso não autorizado, manipular dados ou distribuir malware.

Você pode desabilitar a execução de arquivos PHP em diretórios específicos conectando-se ao WordPress via FTP e navegando até a pasta raiz . Dentro, você pode selecionar quais diretórios deseja proteger e criar novos arquivos .htaccess dentro de cada um deles.

Aqui está o código que você precisa adicionar a esses arquivos:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Observe que desabilitar a execução do PHP no nível do diretório raiz pode afetar a funcionalidade do WordPress. Afinal, todo o CMS é construído em PHP. Isso significa que é melhor desativá-lo para pastas individuais, como o diretório de arquivos de mídia.

27. Desative o relatório de erros do PHP

Exibir erros publicamente pode expor vulnerabilidades potenciais em seu site WordPress a invasores. As mensagens de erro do PHP podem incluir informações confidenciais, como caminhos de arquivos, detalhes da estrutura do banco de dados ou outros dados que podem ser usados ​​para explorar o seu site.

O WordPress permite que você desative o relatório de erros do PHP alterando o arquivo wp-config.php . Você pode adicionar o seguinte código ao arquivo para desativar o modo de depuração do WordPress e ocultar erros no front end:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Adicione esse código antes do final do arquivo wp-config.php e certifique-se de ter um backup recente do seu site WordPress antes de salvá-lo. Lembre-se de que o relatório de erros às vezes pode ser útil para solução de problemas, portanto, talvez seja necessário reativar esse recurso em algum momento.

28. Desative a navegação no diretório do seu site

A navegação no diretório é um recurso que permite aos visitantes acessar URLs como yourwebsite.com/wp-content e ver o conteúdo desse diretório. Se a navegação no diretório estiver habilitada, os usuários poderão ver listas de pastas e arquivos internos e até mesmo acessá-los dependendo de suas permissões.

Do ponto de vista da segurança, faz sentido desabilitar a navegação no diretório. Muitos hosts WordPress fazem isso por padrão. Caso contrário, você pode desativar a navegação no diretório adicionando o seguinte código ao seu arquivo .htaccess :

 Options -Indexes

Esta é uma mudança simples, por isso não deve demorar muito para ser implementada. Posteriormente, se os usuários tentarem visitar um diretório, eles verão uma simples mensagem de erro.

29. Oculte sua versão do WordPress

Por padrão, a versão atual do WordPress que você está usando está listada no seu código-fonte. Se alguém souber qual versão do WordPress você está usando (e é uma versão desatualizada), poderá investigar vulnerabilidades específicas para essa versão, facilitando a violação do seu site.

Para ocultar sua versão do WordPress, você pode adicionar este código ao seu arquivo functions.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Evite CAPTCHA para proteção contra spam

CAPTCHA é uma solução decente para proteger sites e formulários contra spam, mas não é isenta de problemas.

Usar CAPTCHA em seu site adiciona uma camada de complicação que pode incomodar e afastar visitantes legítimos e até mesmo ser impossível de resolver – especialmente para pessoas com deficiência.

Desenvolvimentos recentes em vetores de ataque também tornaram os CAPTCHAs menos eficazes. Se você se preocupa em prevenir spam (que pode resultar em uma violação de segurança), mas também deseja maximizar as taxas de conversão por meio de uma experiência de usuário ideal, é hora de considerar alternativas.

Akismet é uma solução completa de proteção contra spam para WordPress que funciona totalmente em segundo plano. O plug-in do WordPress ajuda a bloquear spam usando seu banco de dados de agentes maliciosos conhecidos e identificando e bloqueando palavras e URLs específicos de comentários em seu site. Ele faz tudo isso automaticamente, sem que os visitantes precisem usar CAPTCHAs para verificar se são humanos.

Perguntas frequentes sobre segurança do WordPress

Se você ainda tiver dúvidas sobre como proteger seu site WordPress, esta seção irá respondê-las.

Quais são os benefícios de ter uma lista de verificação de segurança do WordPress?

Ter acesso a uma lista de verificação de segurança do WordPress ajudará você a determinar quais medidas você tomou para proteger seu site e o que ainda falta fazer. A lista de verificação é um recurso simples que você pode consultar a qualquer momento para ver quais medidas de segurança você pode implementar no WordPress.

Qual é a maneira mais rápida de aumentar a segurança do meu WordPress?

A maneira mais rápida de proteger o seu site WordPress é usando plug-ins de segurança do WordPress. Dependendo do plug-in usado, você terá acesso a recursos como 2FA, registros de atividades, ferramentas de backup e verificação de malware. O Jetpack Security inclui todos esses recursos.

Como posso verificar meu site WordPress em busca de malware e vulnerabilidades?

Você pode usar um plugin como o Jetpack Security para verificar se há malware em seu site WordPress. Esta ferramenta também destacará quaisquer vulnerabilidades potenciais em seu site. Então, você poderá tomar as medidas necessárias para eliminar esses problemas.

Se você não precisa de um plug-in de segurança WordPress abrangente, também pode fazer uma verificação de malware por meio de um plug-in WordPress independente, como o Jetpack Protect.

Qual é a maneira mais confiável de fazer backup e restaurar meu site WordPress?

Sua melhor opção é usar uma solução automatizada, para que você não precise criar backups manualmente. O plugin também deve salvar cópias em uma solução de armazenamento externo para evitar problemas se o seu servidor estiver comprometido.

O plugin Jetpack VaultPress Backup oferece backups em tempo real. Também faz cópias seguras do seu site WordPress na nuvem. Você também pode acessar o VaultPress Backup junto com uma série de outros recursos como parte do Jetpack Security.

Jetpack Security: o plugin de segurança nº 1 para WordPress

Jetpack Security oferece uma coleção de recursos de segurança que protegerão seu site WordPress. Com este plugin, você pode riscar vários itens da lista de verificação de segurança do WordPress.

Por exemplo, você obtém acesso a uma solução de backup, verificação de malware e remoção com um clique, proteção contra spam, registros de atividades, autenticação de dois fatores e muito mais. Isso torna o Jetpack uma das ferramentas de segurança mais abrangentes que você pode usar para WordPress.

Você está pronto para aumentar a segurança do seu site? Comece hoje mesmo com a segurança do Jetpack!