Melhor lista de verificação de segurança do WordPress [Guia definitivo]
Publicados: 2022-04-22Se você deseja proteger seu site WordPress, encontrará muitos conselhos on-line, alguns dos quais são bons e outros totalmente prejudiciais, embora bem-intencionados.
Quando se trata de segurança do WordPress, você precisa confiar em suas fontes e encontrar informações que não sejam apenas confiáveis, mas também viáveis e aplicáveis. Somente em 2020, os ataques de malware cresceram mais de 150% e os números não parecem estar diminuindo tão cedo. Portanto, proteger seu site WordPress precisa ser sua prioridade número um.
A melhor maneira de proteger seu site WordPress é instalar um plugin de segurança e deixá-lo lidar com o trabalho pesado. Mas mesmo sem um, você ainda pode proteger seu site em grande medida seguindo a lista de verificação de segurança do WordPress discutida abaixo.
TL;DR: Proteja seu site WordPress com MalCare e evite manutenções regulares relacionadas à segurança. A segurança do WordPress é um labirinto de lacunas que você precisa corrigir. Consulte nossa lista de verificação de segurança do WordPress para garantir que você não perca nada crucial.
O método mais fácil de proteger seu site WordPress
Como dissemos, a melhor maneira de proteger seu site WordPress é usar um plug-in de segurança, especificamente o MalCare. O MalCare não apenas cuida da lista de verificação de segurança do WordPress automaticamente, mas também sem que você precise se preocupar em acompanhar cada pequeno detalhe.
O MalCare tem vários recursos que trabalham juntos para manter seu site seguro. Mas seus três principais recursos garantem que seu site permaneça livre de malware – varredura, firewall e limpezas. Com o MalCare, você pode agendar verificações automatizadas em seu site WordPress e receber alertas se algo suspeito for detectado. O MalCare também protege seu site com um firewall inteligente que impede a maioria dos ataques. E o mais importante, se o seu site for invadido – dado que nenhum site pode ser infalível, o MalCare limpa seu site em minutos com um único clique de um botão.
Outra razão pela qual você deve optar pelo MalCare é que, com medidas de segurança manuais, sempre há uma chance de erro humano. Mas erros de segurança podem causar mais do que apenas alguns dólares. Se os hacks piorarem, eles podem levar ao roubo de dados, desfiguração do site, perda de clientes e, o mais importante, à perda de confiança que sua empresa sofre.
A lista de verificação de segurança definitiva do WordPress
Existem tantos elementos em um site WordPress que acompanhar tudo pode se tornar esmagador. Nós compilamos uma lista de verificação de segurança do WordPress para você com base na frequência de tempo que você precisa para cuidar da tarefa.
Para a segurança diária
A segurança do site é um processo constante e não pode ser um compromisso único. Mas existem maneiras de automatizar tarefas diárias. Essas tarefas garantem que seu site esteja protegido contra quaisquer problemas ou ameaças imprevisíveis.
Escaneie seu site
É importante verificar seu site em busca de malware todos os dias. Um site é invadido a cada 38 segundos na internet, e há uma boa chance de que o seu seja um deles. A verificação regular do seu site garante que você seja o primeiro a saber de qualquer ameaça ou malware em seu site e o ajuda a agir antes que o invasor possa causar qualquer dano ao seu site.
Se escanear seu site todos os dias manualmente parece tedioso para você, você pode optar por uma solução de segurança como MalCare, que permite agendar verificações automatizadas diariamente, para que você não precise se preocupar em perder uma verificação ou ter que executá-las pessoalmente .
Faça backup do seu site
Existem várias razões pelas quais você deve fazer backup do seu site WordPress, mas a mais importante delas é a segurança. Se não for detectado a tempo, o malware pode causar estragos no seu site WordPress e, consequentemente, levar à perda de dados ou desfiguração do site. Muitas vezes, os hosts da Web excluem sites de seus servidores se estiverem infectados e, a menos que você tenha um backup independente do seu site, terá que começar do zero.
É importante fazer backup de sites de alto valor todos os dias, para que nada importante seja perdido. Isso é especialmente verdadeiro para sites WooCommerce que precisam de backups em tempo real. Uma solução útil como o BlogVault pode tornar esse processo muito fácil. O BlogVault permite agendar backups diariamente ou em tempo real, dependendo de suas necessidades, e armazena esses backups em um servidor externo para que, mesmo que o servidor do seu site seja invadido, os backups permaneçam seguros.
Para segurança mensal
Verifique o registro de atividades
Hacks e instalação de malware, adware ou outros tipos de programas maliciosos geralmente ocorrem secretamente. Muitas vezes, o único rastro visível pode ser encontrado no registro de atividades do seu site, um registro cronológico das atividades realizadas e das alterações feitas. Como resultado, é uma boa ideia realizar uma verificação mensal do log de atividades do seu site para procurar inconsistências ou atividades suspeitas. Ele pode ajudá-lo a rastrear vários detalhes importantes caso seu site seja invadido, como quais endereços IP estavam envolvidos e como isso pode ter acontecido.
Se o seu site é de alta produção, ou seja, você publica conteúdo diariamente ou semanalmente, verificar o log de atividades uma vez por mês pode ser cansativo porque há muitas mudanças no site. Nesse caso, você pode verificar o registro de atividades uma vez por semana ou quinzenalmente.
O WordPress não oferece um log de atividades por padrão, então você terá que confiar em um plugin para isso. Como alternativa, o MalCare fornece um registro de atividades detalhado e fácil de entender, juntamente com a segurança completa do WordPress.
Atualize seu site
Idealmente, você deve atualizar seu site WordPress assim que novas atualizações forem lançadas, mas realizar atualizações mensais também funciona. Ao manter um cronograma de atualização mensal, você pode ter certeza de que seu site está bem protegido e todas as novas vulnerabilidades são corrigidas.
As atualizações costumam ser assustadoras porque são conhecidas por quebrar sites. Mas se você usar um plug-in como o BlogVault, poderá testar suas atualizações em um site de teste e mesclar as alterações perfeitamente com seu site ao vivo.
Verifique o Search Console
Adicionar seu site WordPress ao Search Console do Google tem vários benefícios relacionados a SEO, mas também pode ajudar na segurança do seu site. O Search Console do Google tem uma guia de problemas de segurança que sinaliza qualquer malware detectado em seu site, portanto, verificar de tempos em tempos pode ajudá-lo a detectar malware.
Se você verificar seu site com o MalCare regularmente, já terá detectado o malware em seu site. Mas ainda é uma boa prática verificar se o Google acha que há alguma atividade suspeita em andamento em seu site.
Remova temas e plugins não utilizados
A remoção de temas e plugins antigos e não utilizados serve a dois propósitos. A primeira é acelerar seu site, pois muitos arquivos podem causar inchaço e lentidão no servidor. A segunda é garantir que seu site não possa ser atacado por eles. Temas e plugins não utilizados são frequentemente ignorados e não atualizados, criando vulnerabilidades que podem ser facilmente aproveitadas. Portanto, certifique-se de executar uma verificação mensal em todos os temas e plugins que você usa e remova aqueles que serviram ao seu propósito.
Nota: Verifique também se há plugins falsos em seu site. O malware geralmente fica oculto como uma pasta de plugins, mas os plugins falsos têm apenas um ou dois arquivos, não podem ser localizados no repositório do WordPress e têm nomes estranhos como 'azzz' ou 'tiff'.
Atualize suas credenciais
Usar as mesmas credenciais por muito tempo ou reutilizá-las em várias contas é um grande risco. Para proteger seu site WordPress, atualize suas senhas pelo menos uma vez por mês. Isso garante que qualquer hacker que tenha adquirido sua senha não possa usá-la e também desconecta você da sua conta em todos os dispositivos. Embora um pouco inconveniente, garante que você possa controlar o acesso ao seu site.
Verifique as funções e privilégios do usuário
As contas de usuário em seu site WordPress são tão importantes quanto a conta de administrador. Se um hacker tiver acesso a qualquer conta, ele poderá infectar seu site, atualizar seus privilégios de função e até mesmo bloqueá-lo do seu próprio site.
Certifique-se de que todos os usuários do site tenham apenas os privilégios necessários e que as contas de usuário antigas sejam excluídas. Verifique também se algum privilégio de usuário foi escalado sem sua autorização, pode ser um sinal de malware.
Bloqueie IPs maliciosos
Bloquear ou restringir IPs maliciosos pode tornar sua vida significativamente mais fácil. Se você está sendo hackeado, você pode rastrear o endereço IP de onde está acontecendo e simplesmente bloqueá-lo. Isso impede que qualquer pessoa com esse endereço IP acesse seu site. Este método é usado para combater hackers, parar bots ou trolls e manter usuários não autorizados afastados. Se você usar um firewall, ele bloqueará automaticamente IPs maliciosos para você.
Você também pode bloquear uma área geográfica inteira, se estiver enfrentando ataques repetidos vindos da região.
Teste seus backups
Se o pior acontecer e seu site WordPress cair, você pode confiar em seus backups para colocá-lo em funcionamento novamente. Mas você precisa ter certeza de que seus backups também estão seguros. Caso seus backups já tenham sido invadidos, restaurá-los será inútil. Da mesma forma, você também precisa testar se eles são funcionais, ou então você estará restaurando um site quebrado. Você pode testar seus backups facilmente se usar o BlogVault e certificar-se de que eles sejam confiáveis.
Atualizar sais do WordPress
O WordPress usa sais como parte de seu processo de criptografia. Um salt é uma sequência aleatória de caracteres que é adicionada a uma senha antes da criptografia. A string resultante é um hash, e é isso que é armazenado no banco de dados. Dessa forma, se um hacker for capaz de obter as senhas com hash do banco de dados E descriptografá-las, ele ainda não saberá qual parte da senha é realmente a senha e qual é o sal. A única maneira de eles saberem disso é se eles obtiverem acesso aos salts e chaves de segurança no arquivo de configuração.
É semelhante a como as senhas são armazenadas nos cookies do navegador. A razão pela qual você pode permanecer conectado a qualquer site é que as informações da sessão são armazenadas em cookies. Mas se as senhas de texto simples fossem armazenadas lá, seria perigoso. Portanto, o WordPress armazena a versão salgada e com hash. Ter acesso ao salt não significa que você pode descriptografar hashes, mas reduz o nível de segurança. Portanto, é importante atualizar seus sais do WordPress periodicamente.
Para segurança a longo prazo
Verificar SSL
SSL é um protocolo de segurança projetado para criptografar qualquer comunicação de e para o servidor do seu site. Isso impede que os invasores acessem, leiam ou alterem qualquer informação que esteja sendo transferida.
Normalmente, você protege seu site com SSL ao obter seu domínio ou plano de hospedagem. No entanto, os certificados SSL expiram aproximadamente a cada dois anos e você precisa garantir que seja renovado o mais rápido possível. Isso é duplamente importante se os usuários realizarem transações em seu site, pois qualquer violação de segurança pode levar ao vazamento de detalhes do cartão de crédito ou da conta bancária.
Confira os planos de hospedagem
Se você esquecer de renovar seu plano de hospedagem a tempo, sua conta do WordPress será suspensa. Isso pode causar vários problemas. O tráfego do seu site será afetado, você perderá clientes e poderá até acabar perdendo dados. Verificar seus serviços de hospedagem regularmente também permite analisar o tráfego do site e o uso do servidor. O uso excessivamente alto do servidor é um sintoma comum de um ataque de força bruta, e capturar esses ataques mais cedo tem uma chance melhor de detê-los. Quando você é alertado sobre um ataque de força bruta antecipadamente, você pode agir e proteger seu site antes que os hackers tenham acesso ao seu site.
Medidas únicas para segurança completa
Embora a segurança do WordPress precise ser revisada constantemente, existem algumas medidas que você pode tomar uma vez e não precisar atualizar constantemente.
Invista em um firewall forte
Um firewall protege seu site WordPress filtrando o tráfego malicioso e interrompendo a maioria dos ataques antes que eles possam infectar seu site. Existem vários tipos de firewalls, como firewalls de aplicativos da Web, firewalls de rede ou firewalls baseados em nuvem. Um firewall de aplicativo da web forte, como o MalCare, permite filtrar o tráfego do seu site e bloquear visitantes pelo número de tentativas de login ou localização geográfica.
Implementar autenticação HTTP
A autenticação HTTP é um protocolo que permite o acesso a um recurso da Web apenas para aqueles que devem acessá-lo. A autenticação HTTP restringe o acesso solicitando um nome de usuário e senha quando uma determinada página da Web é solicitada. Agora, obviamente, você não pode fazer isso em todo o seu site, mas implementá-lo no painel de administração ou na página de login pode reduzir significativamente o número de ataques de bot.
Usar autenticação de dois fatores
A autenticação de dois fatores é um método que exige que um usuário apresente duas chaves separadas para acessar uma conta. Por exemplo, se você estiver tentando acessar seu e-mail, geralmente precisará fornecer o nome de usuário e a senha, mas ao implementar a autenticação de dois fatores, também precisará fornecer uma chave criada em tempo real, como uma senha de tempo ou PIN. Isso reduz o número de tentativas de login e não sobrecarrega o servidor do seu site com solicitações de login. Ele também protege seu site contra ataques de força bruta. Você pode usar um plug-in como o 2FA para habilitar a autenticação de dois fatores para o seu site.
Limitar tentativas de login
Já falamos sobre como as tentativas de login precisam ser limitadas. O WordPress, por padrão, permite tentativas de login ilimitadas, e isso oferece uma ótima oportunidade para hackers tentarem acessar sua conta do WordPress com ataques de força bruta. A maneira mais fácil de limitar as tentativas de login é usar um plug-in de segurança como o MalCare, ou você pode adicionar um código personalizado ao seu arquivo function.php.
Desabilitar XML-RPC
Semelhante à API REST do WP, o XML-RPC é um recurso do WordPress que permite publicar conteúdo remotamente. É útil se você usa o aplicativo WordPress ou precisa habilitar trackbacks e pingbacks, mas, caso contrário, pode ser explorado por hackers para obter acesso ao seu site por meio de ataques de força bruta. A solução mais fácil aqui é desativá-lo com um plugin ou manualmente.
Desativar a navegação no diretório
Quando seu servidor não encontra um arquivo de índice para um site, ele mostra um índice do conteúdo do diretório. Se um hacker puder acessar essas informações, ele poderá verificar se você possui algum arquivo vulnerável em seu site. Isso abre seu site para grandes riscos de segurança.
Para evitar isso, você pode desabilitar a navegação no diretório adicionando uma linha de código ao seu arquivo .htaccess. Siga estas etapas para desativar a navegação no diretório em seu site WordPress.
- Baixe o arquivo .htaccess em seu site através de um cliente FTP.
- Abra o arquivo e adicione o seguinte código na parte inferior do arquivo:
Opções Todos - Índices
- Agora salve o arquivo e recarregue-o. Você terá que excluir o arquivo original do seu site primeiro.
Restringir permissões de arquivo
As permissões de arquivo em seu site determinam quem pode acessar quais partes de seu site e quem pode modificá-las. Normalmente, seu host configura todas essas informações para você. Mas ainda é uma boa prática entender as permissões de arquivo e garantir que elas sejam configuradas de maneira ideal.
Se você quiser entender como as permissões de arquivo funcionam e como você pode otimizá-las para a segurança do seu site, consulte nosso guia detalhado e amigável para iniciantes.
Ocultar arquivo wp-config
O arquivo wp-config em seu site está cheio de informações confidenciais, como senhas, chaves e sais. Se os hackers obtiverem acesso ao arquivo, será como rolar um tapete vermelho para o site para eles. O arquivo wp-config está localizado na pasta public_html por padrão, para que os hackers saibam onde procurá-lo. Mas você pode alterar o local do arquivo, e ele ainda funciona tão bem, enquanto oculta informações confidenciais de forma eficaz.
Desabilitando a execução do PHP em pastas específicas
Os hackers podem fazer upload de arquivos PHP em seu site disfarçados como arquivos principais do WordPress e obter acesso ao seu site. Algumas pastas como wp-uploads não devem ter arquivos PHP. Então o que você faz neste caso?
Você pode desabilitar a execução do PHP nessas pastas para que, mesmo que os hackers consigam acessar esses arquivos por meio de qualquer backdoor, eles não possam ter acesso ao seu site.
Por que a segurança do site é importante
O WordPress é uma plataforma segura, mas é muito popular e atrai todo tipo de atenção. Alguns dos quais são nefastos. Para garantir que os hackers não tenham acesso ao seu site, você precisa garantir que a segurança do seu site esteja atualizada, ou você pode enfrentar consequências terríveis como:
- Perda de clientes
- Perda de dados
- Credenciais privadas vazadas
- Perda de receita
- Questões legais
- Acerte na reputação da marca
- Perda de confiança
Pensamentos finais
A segurança do WordPress não é um mistério. Se você seguir algumas etapas para proteger seu site, poderá se defender de ataques e malware e evitar danos. Esperamos que esta lista de verificação de segurança do WordPress ajude você a reforçar suas medidas de segurança.
Se você deseja uma solução sem complicações que não comprometa sua segurança, o MalCare é a única opção. Com verificações automatizadas, um firewall avançado e limpezas com um clique, o MalCare é uma solução de 360 graus que protege seu site.
Perguntas frequentes
Como faço para proteger meu site WordPress?
O método mais fácil de proteger seu site WordPress é instalar um plugin de segurança como o MalCare. O MalCare verifica seu site todos os dias para garantir que ele esteja seguro e protege seu site com seu firewall avançado. Ele também oferece uma limpeza com um clique, caso haja um hack.
O WordPress tem problemas de segurança?
O WordPress é uma plataforma segura usada por mais da metade dos sites na internet. No entanto, é por causa dessa popularidade que atrai a atenção dos hackers. Você pode proteger seu site WordPress com um plug-in de segurança para garantir que seu site esteja protegido contra esses elementos.
Como faço para proteger meu site WordPress sem plugins?
Se você deseja proteger seu site sem usar plugins, você precisa realizar várias verificações de segurança regularmente. Você terá que realizar varreduras no site, fazer backups, procurar comportamento suspeito no log de atividades do site e limpar manualmente qualquer malware que possa detectar. A lista de maneiras pelas quais os hackers podem entrar em seu site é interminável, e a única maneira de proteger seu site sem precisar estar constantemente alerta é usar um plug-in de segurança.