Dicas de segurança do WordPress para proteger o WordPress
Publicados: 2023-05-07Você está preocupado com a segurança do seu site WordPress? Se assim for, você não está sozinho.
O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares e é usado por milhões de sites em toda a web. No entanto, com sua popularidade vem o risco de vulnerabilidades de segurança se não for devidamente protegido.
O guia a seguir ensinará como seguir algumas etapas simples para garantir que seu site WordPress esteja protegido contra possíveis ameaças no futuro.
Neste artigo, detalharemos algumas práticas essenciais de segurança do WordPress para ajudar a proteger seu site. Abordaremos tópicos como escolher uma senha forte, atualizar seus plugins e temas regularmente, usar um certificado SSL, executar uma estratégia de backup e muito mais.
Ao tomar essas medidas, você pode ter certeza de que seu site WordPress está seguro e seus dados estão seguros.
Por que você precisa proteger um site WordPress?
Proteger seu site WordPress é fundamental para protegê-lo de hackers e possíveis ataques que possam comprometer seus dados ou prejudicar sua reputação online. A implementação de medidas de segurança, como senhas fortes, atualizações regulares e backups, pode evitar violações de segurança e manter seu site seguro.
Você precisa seguir várias etapas para garantir que seu site WordPress esteja seguro para protegê-lo contra ataques maliciosos e acesso não autorizado. Você precisa tomar as medidas necessárias para proteger seu site o mais rápido possível, pois ele é vulnerável a ameaças.
A segurança é uma das coisas mais importantes sobre o seu site WordPress nesta era digital. Se você não colocar as medidas de segurança adequadas, seu site WordPress deixará você e seus visitantes vulneráveis a ataques mal-intencionados.
Os sites WordPress devem ser devidamente protegidos, portanto, nesta seção, discutiremos por que é tão importante e como você pode tomar medidas para garantir que seu site WordPress seja seguro.
O WordPress é um dos sistemas de gerenciamento de conteúdo (CMS) mais populares da Internet e milhões de sites o utilizam.
Devido a isso, os sites WordPress atraem hackers e outros cibercriminosos que tentam explorar vulnerabilidades de segurança ou roubar informações confidenciais deles.
Sem medidas de segurança adequadas, seu site WordPress pode ser facilmente comprometido, expondo você e seus visitantes a roubo de dados, malware e outros ataques cibernéticos.
Aqui estão alguns dos ataques mais comuns em sites WordPress:
1. A falsificação de solicitação entre sites ( CSRF ) é uma campanha para induzir os usuários a executar ações não pretendidas em um aplicativo da web seguro.
2. Este é um ataque distribuído de negação de serviço que inunda um site com conexões indesejadas, tornando-o inutilizável.
3. Um desvio de autenticação é um ataque que dá aos hackers acesso aos recursos do seu site sem verificar sua integridade.
4. Conhecida como injeção de SQL (SQLi) , essa ameaça corrompe os dados do banco de dados gerando consultas SQL maliciosas.
5. XSS (cross-site scripting) permite que o código malicioso flua de um lugar para outro em um site.
6. Uma inclusão de arquivo local (LFI) força um site a executar arquivos maliciosos.
Proteger um site WordPress é vital para garantir sua segurança e a de seus visitantes. A implementação de medidas de segurança adequadas pode ajudar a proteger seu site contra possíveis ataques e proporcionar maior tranquilidade.
As dicas a seguir ajudarão você a aumentar a segurança e a proteção do seu site WordPress com pouco esforço. Seu site também estará protegido contra ataques maliciosos ou acessos não autorizados por meio dessas dicas.
Lista de verificação de segurança do WordPress e dicas adicionais
Apenas uma ou duas medidas de segurança não protegerão seu site WordPress completamente, portanto, certifique-se de que todos os aspectos estejam seguros.
Nas partes a seguir, verificaremos e discutiremos várias e diferentes dicas para tornar o WordPress mais seguro.
Práticas recomendadas de segurança do WordPress
Este artigo revisará uma lista de verificação de segurança do WordPress e dicas adicionais. A segurança da Internet é vital para o sucesso do seu site WordPress, então aqui estão algumas coisas que você deve considerar como parte de seu plano de segurança.
Ficar atento a qualquer comportamento suspeito em seu site também é muito importante e pode ajudá-lo a evitar qualquer dano ao seu site. Seguir essas etapas é a melhor maneira de garantir que seu site esteja protegido contra ameaças que possam prejudicá-lo no futuro.
Apesar da popularidade e poder do WordPress, ele pode ser vulnerável a ataques se as medidas de segurança não estiverem em vigor.
1. Atualize o WordPress Core, Plugins e Temas Regularmente
Qualquer proprietário de site deve priorizar a segurança de seus sites WordPress. Uma maneira de fazer isso é manter seus plugins, temas e núcleo do WordPress atualizados.
As atualizações são necessárias porque, muitas vezes, corrigem falhas de segurança e outros bugs que podem deixar seu site aberto a ataques no futuro.
Felizmente, o WordPress facilita a atualização de seu núcleo, plugins e temas. Você pode verificar as atualizações disponíveis no painel de administração do WordPress; a maioria das atualizações será instalada automaticamente.
Se você estiver usando hospedagem WordPress gerenciada, também poderá ter opções adicionais para realizar atualizações automáticas regularmente.
Além disso, geralmente é uma boa ideia usar apenas plug-ins e temas de fontes confiáveis. Plugins e temas anulados podem conter código malicioso, então é melhor evitá-los se possível. Verificar avaliações e classificações pode ajudá-lo a decidir se um plug-in ou tema é confiável.
Por fim, se você estiver executando um site de comércio eletrônico, considere investir em ferramentas e serviços de segurança adicionais. Isso pode ajudar a proteger seu site contra ataques mal-intencionados e fornecer camadas adicionais de proteção além de simplesmente manter seu software atualizado.
2. Use credenciais de login seguras do WP-Admin
Para proteger seu site, você precisa de credenciais de administrador do WordPress exclusivas e seguras.
Uma senha forte deve incluir uma mistura de letras maiúsculas, minúsculas, números e caracteres especiais.
Nunca use nomes de usuário e senhas previsíveis, como admin
ou user
como nome de usuário ou 12345
como senha.
Além disso, alterar sua senha de administrador do WordPress regularmente é essencial, especialmente após qualquer atualização significativa do WordPress, para que os hackers não possam obter acesso por meio de uma falha de segurança desatualizada.
3. Use temas e plugins confiáveis do WordPress
Usar temas e plugins confiáveis do WordPress é essencial para manter seu site seguro. Temas WordPress gratuitos ou baratos de fontes não confiáveis podem ser tentadores, mas podem deixar seu site vulnerável a hackers. Também é altamente recomendável não usar temas ou plugins nulos.
Plugins e temas verificados pela equipe do WordPress são os mais seguros de usar quando se trata de segurança, pois são atualizados continuamente para proteger contra possíveis vulnerabilidades.
Além disso, certifique-se de ficar de olho nos desenvolvedores que oferecem suporte para seus produtos e que atualizam seus códigos regularmente, pois isso garantirá que, se surgir um possível problema de segurança, ele seja detectado o mais rápido possível.
Muitos temas e plug-ins agora estão disponíveis em fontes confiáveis, com atualizações regulares, correções de bugs e outros recursos valiosos. Se você está procurando um tema confiável, leia mais sobre os melhores temas WordPress também sugerimos o tema Publisher.
Além disso, você também deve ler as avaliações de outros usuários para ter a maior certeza possível de que os temas e plugins que pretende usar são da mais alta qualidade.
Quaisquer temas e plugins também devem ser verificados quanto a backdoors ou códigos maliciosos. Você pode usar serviços que fazem isso se não se sentir à vontade para fazer isso sozinho.
4. Use um plug-in de segurança do WordPress
Proteger seu site é uma etapa importante que todo proprietário de site deve seguir. Os plug-ins de segurança do WordPress podem fazer exatamente isso.
Você pode usar esses plug-ins para proteger seu site WordPress contra ataques maliciosos, detectar e remover malware e melhorar a segurança geral.
Escolha um bom plug-in de segurança do WordPress adequado para o seu site da variedade disponível.
Descubra se a autenticação de dois fatores, verificações de força de senha e proteção de firewall estão disponíveis.
Certifique-se de que o plug-in escolhido seja atualizado regularmente com patches de segurança para se manter protegido.
Certifique-se de pesquisar as opções disponíveis e escolher aquela que atenda às suas necessidades. Proteja seu site com um plug-in de segurança do WordPress.
5. Use uma Hospedagem WordPress Segura
A escolha de um provedor de hospedagem WordPress seguro deve ser uma prioridade ao proteger seu site.
Certificar-se de que seu site é seguro começa com a escolha de um provedor de hospedagem.
Considere as medidas de segurança do seu host da web ao escolher uma. Certifique-se de que o host escolhido seja proativo nessa área.
Um bom host deve ter verificação regular de malware, proteção contra força bruta e firewalls fortes com proteção DDoS. Eles também devem fornecer criptografia no nível do servidor e backups diários.
Além dos recursos de segurança, procure um host que ofereça excelente suporte. Você quer alguém que responda rapidamente a quaisquer alertas ou problemas que você tenha.
Além disso, você deve garantir que o provedor de hospedagem escolhido ofereça um alto tempo de atividade e monitoramento, pois o tempo de inatividade pode afetar seriamente seu site.
Como dica final, garanta que o preço seja competitivo, pois muitas empresas de hospedagem oferecem serviços semelhantes. Tente encontrar descontos ou ofertas especiais para economizar algum dinheiro também.
Ao seguir essas etapas e escolher o provedor de hospedagem certo, você pode ter certeza de que seu site WordPress está seguro e protegido contra ataques maliciosos.
6. Instale o certificado SSL
Para proteger os dados que você armazena, envia e recebe em seu site WordPress, você deve instalar um certificado SSL como parte de suas medidas de segurança.
Os certificados SSL protegidos criptografam o tráfego entre seu site e os navegadores dos visitantes, para que os dados que eles enviam ou recebem não possam ser interceptados.
A instalação de um certificado SSL também pode ajudar a melhorar sua classificação no mecanismo de pesquisa e tornar seu site mais atraente para os visitantes, adicionando uma camada de segurança e confiança.
Manter seu certificado atualizado e monitorá-lo regularmente em busca de falhas é essencial depois de instalá-lo. Certifique-se de encontrar um provedor de certificado SSL confiável para o seu site.
Essas dicas ajudarão seu site WordPress a permanecer seguro e os visitantes se sentirão confortáveis navegando.
7. Remova plugins e temas WordPress não utilizados
Uma etapa importante para proteger seu site WordPress é remover regularmente todos os plugins e temas não utilizados. Esses itens não utilizados podem deixar seu site vulnerável a violações de segurança, pois podem não receber atualizações ou patches necessários.
Ao removê-los, você reduz a superfície de ataque potencial do seu site, tornando mais difícil para os hackers encontrar vulnerabilidades.
Além disso, a remoção desses recursos desnecessários também pode ajudar a melhorar a velocidade de carregamento e o desempenho geral do seu site, garantindo uma melhor experiência do usuário para seus visitantes.
Portanto, reserve um tempo para revisar seus plug-ins e temas periodicamente e remova os que não são mais necessários para manter seu site seguro e funcionando sem problemas.
8. Crie backups regularmente
Criar backups do seu site WordPress é uma parte essencial da segurança do site. Backups regulares garantem que, se o pior acontecer e seu site for comprometido, você pode restaurar rapidamente o site para um estado bom sem perder nenhum conteúdo.
A criação de backups deve ser parte integrante do processo de segurança do WordPress. Você deve fazer backups diários, embora queira fazer backup com mais frequência se fizer alterações ou atualizações frequentes em seu site.
Você precisa fazer backup de todos os elementos de sua instalação do WordPress ao criar backups, incluindo o banco de dados, arquivos do WordPress e quaisquer plugins, temas e outros arquivos. Um bom plug-in de backup pode ajudá-lo a proteger seu site.
Você desejará várias cópias de seus backups em caso de uma falha catastrófica. Se uma cópia de backup estiver corrompida, ter outra ajudará a minimizar o tempo de inatividade ao colocar seu site novamente em funcionamento.
Por último, mas não menos importante, certifique-se de fazer backup de seus arquivos em algum lugar seguro. Existem serviços de backup baseados em nuvem e servidores remotos que você pode usar.
Dicas gerais de segurança do WordPress
Vou dar algumas dicas gerais nesta seção para ajudá-lo a proteger ainda mais seu site contra hackers e outras ameaças que possam surgir em seu caminho.
1. Habilite a autenticação de dois fatores para WP-Admin
A autenticação de dois fatores (2FA) é uma ótima maneira de proteger seu site WordPress. Ele adiciona uma camada extra de proteção ao seu nome de usuário e senha normais, dificultando o acesso de hackers ao seu site.
Ao habilitar o 2FA, você pode ter certeza de que, mesmo que alguém obtenha suas credenciais de login, ele ainda não conseguirá passar da segunda etapa de autenticação.
Existem várias maneiras de configurar a autenticação de dois fatores no WordPress. A maneira mais fácil é usar um plug-in de autenticação de dois fatores, como WordFence ou iThemes Security . Esses plug-ins permitirão que você configure facilmente a autenticação de dois fatores e adicione uma camada adicional de proteção ao seu site.
2. Desativar inspecionar elemento e visualizar origem
Desativar Inspecionar elemento e visualizar código-fonte é uma etapa importante para proteger seu site WordPress. Ao fazer isso, você pode impedir que agentes mal-intencionados acessem informações confidenciais, como o código-fonte do seu site.
Para desabilitar o Inspect Element e View Source no WordPress, você pode usar um plugin como o WPShield Content Protector.
Para desabilitar o View Source, faça o seguinte:
Passo 1: Baixe o Protetor de Conteúdo WPShield.
Etapa 2: instale o plug-in em Plug-ins → Adicionar novo .
Passo 3: Vá para WP Shield → Configuração s.
Passo 4: Abra o View Source Protector e habilite Exibir protetor de código-fonte .
Passo 5: O protetor oferece dois protocolos diferentes.
Escolha um protocolo que melhor lhe convier:
1. Desativar apenas teclas de atalho: esta opção desativa completamente todas as teclas de atalho, mas não é a opção mais segura disponível e usuários mais avançados podem acessar o código-fonte do site.
2. Ocultar código-fonte + Adicionar aviso de direitos autorais: esta opção é muito segura. Se alguém tentar abrir o View Source Code, todo o conteúdo da página será excluído e receberá uma mensagem informando que não pode acessar o código-fonte.
Passo 6: Salve as alterações feitas.
Para desativar Inspecionar elemento, faça o seguinte:
Passo 1: Vá para WP Shield → Configurações .
Passo 2: Abra o Protetor de Ferramentas do Desenvolvedor e habilite o Protetor de Ferramentas do Desenvolvedor (Inspecionar Elemento) .
Passo 5: O protetor oferece três protocolos diferentes.
Escolha um protocolo que melhor lhe convier:
1. Disable Only HotKeys: Este protocolo apenas desativa as teclas de atalho, portanto, se alguém encontrar uma maneira de acessar o elemento de inspeção, poderá usá-lo.
2. Limpar o conteúdo da página após abrir as ferramentas de desenvolvimento: se alguém tentar abrir o elemento de inspeção, o conteúdo da página será limpo. Esta opção é segura de usar.
3. Redirecione para uma página após abrir as ferramentas de desenvolvimento: Se alguém tentar abrir a seção de elemento de inspeção, será redirecionado para uma página personalizada. Você pode escolher a seção Redirecionar para página da página.
Passo 6: Salve as alterações feitas.
Ao desabilitar Inspecionar elemento e Exibir fonte, você pode ficar tranquilo sabendo que seu site está protegido contra olhares indiscretos. Tomar as medidas necessárias para proteger seu conteúdo ajudará a manter seu site seguro e a impedir agentes mal-intencionados.
Nota importante: Para obter mais informações, consulte nosso artigo detalhado sobre como desativar o elemento de inspeção no WordPress.
3. Limite as tentativas de login
Se você planeja proteger o WordPress, limitar as tentativas de login deve ser uma das partes mais críticas de qualquer lista de verificação de segurança.
Seu site permanecerá seguro se você limitar os logins para que usuários não autorizados não possam acessá-lo.
Você pode instalar um plugin como Limit Login Attempts Reloaded para limitar as tentativas de login. Este plug-in permite definir o número máximo de tentativas de login com falha antes que o usuário seja bloqueado. Você pode personalizar a duração do bloqueio de alguns minutos a um dia inteiro.
Para usar Limitar a tentativa de login, faça o seguinte:
Passo 1: Instale o Limit Login Attempts Reloaded from Plugins → Add New .
Passo 2: Vá para Configurações → Limitar tentativas de login .
Passo 3: Em App Setting → Lockout, você pode configurar a limitação de tentativas de login.
Passo 4: Salve as alterações.
Observação importante: para obter mais informações, consulte nosso artigo sobre como limitar as tentativas de login no WordPress.
4. Altere o URL da página de login do WordPress
Tomar as medidas necessárias para garantir a segurança e a integridade do seu site WordPress começa com a proteção da página de login no início do processo.
Alterar o URL da página de login do WordPress dificulta a entrada de usuários mal-intencionados.
A página de login pode ser alterada com um plugin como o WP Hide Login.
Altere o URL da página de login do WordPress:
Etapa 1: Vá para Plugins → Adicionar novo e instale o WPS Hide Login .
Passo 2: Vá para Configurações → WPS Hide Login .
Etapa 3: altere o link de login na URL de login.
Passo 4: Salve as alterações.
É importante lembrar que alterar o URL da página de login do WordPress não garante a segurança total do seu site. Ainda assim, pode ajudar a diminuir as chances de agentes mal-intencionados obterem acesso ao seu site.
Além disso, escrevi um artigo mais aprofundado sobre como alterar a URL de login. Certifique-se de dar uma lida se você estiver interessado.
Observação importante: para obter mais informações, consulte nosso artigo sobre como alterar a URL de login do WordPress.
5. Nunca use o nome de usuário “Admin”
Para usuários do WordPress, o nome de usuário admin
é um dos nomes de usuário padrão mais comuns e o mais provável de ser alvo de hackers.
É importante nunca usar o nome de usuário padrão admin
como seu nome de perfil de login. Em vez disso, crie um nome de usuário exclusivo que não seja fácil de adivinhar e certifique-se de que não seja semelhante a outros nomes de usuário associados ao seu site ou a qualquer outra conta que você tenha online.
Se seu nome estiver disponível no site, certifique-se de alterar seu nome de exibição em Usuários → Perfil → Nome de exibição publicamente como .
Certifique-se de que esse novo nome de usuário esteja vinculado a um endereço de e-mail que também seja seguro, pois pode ser usado para redefinir senhas.
6. Desconectar usuários ociosos automaticamente
Proteger seu site WordPress é essencial para se proteger contra ataques maliciosos. Uma maneira de ajudar a fazer isso é desconectar os usuários ociosos automaticamente. Isso reduz o risco de outra pessoa obter acesso ao seu site enquanto um usuário pode estar longe de seu computador ou dispositivo.
Você pode desconectar um usuário se ele não interagir com a página por um determinado período de tempo usando plug-ins como Inactive Plugin .
Esta opção é especialmente importante se alguém usar computadores públicos, arriscando seus dados e os seus.
Por fim, mantenha seus nomes de usuário e senhas atualizados, especialmente se você suspeitar que suas informações podem vazar.
7. Desative Hotlinking
Desative o hotlinking para manter seu site WordPress seguro. Hotlinking é quando alguém cria um link direto para a imagem ou arquivo de outro site em seu próprio site sem hospedar o arquivo ou a imagem. Isso pode consumir largura de banda e pode ser um risco de segurança.
Se você quiser parar de hotlinking no WordPress, você pode usar o plug-in WPShield Content Protector. Isso bloqueia hotlinks de outros sites, então você só pode vincular arquivos ou imagens em seu próprio site.
Para desativar o hotlinking, faça o seguinte:
Passo 1: Vá para WP Shield → Configurações .
Passo 3: Vá para iFrame Hotlink Protector e habilite Protetor de Hotlink iFrame .
Etapa 4: Este protetor oferece quatro protocolos diferentes.
Escolha o protocolo que mais lhe convém:
1. Mostrar mensagem pop-up em solicitações de iFrame: Este protocolo mostra apenas uma mensagem pop-up no iFrame. Este não é o método mais seguro.
2. Bloquear e mostrar uma página em branco em iFrames: Este protocolo bloqueia a solicitação e mostra uma página em branco. Esta é uma opção muito segura; no entanto, isso pode afetar o UX do site.
3. Mostrar uma marca d'água Copyright em solicitações de iFrame: Este protocolo adiciona uma marca d'água ao iFrame. Esta é a melhor opção para o site UX.
4. Redirecione a solicitação de iFrame para a página personalizada: uma página personalizada pode ser escolhida e a página solicitada pode ser redirecionada para lá.
Passo 5: Salve as alterações feitas.
Observação importante: aqui está um artigo completo sobre como evitar hotlinks se você estiver interessado em evitá-los para imagens e outras mídias.
8. Monitore a atividade do usuário
A segurança de um site WordPress pode ser comprometida por várias ameaças, portanto, monitorar a atividade do usuário é essencial.
Você será capaz de identificar atividades suspeitas e tomar medidas para evitá-las se acompanhar quem visita o site, quando o fazem e o que estão fazendo.
Usando um plug-in de monitoramento de usuário como WP Activity Log Security Solution, você pode rastrear a atividade do usuário em seu site WordPress.
Este plug-in permite definir restrições nas funções do usuário, rastrear tentativas de login e configurar alertas para comportamento incomum.
9. Verifique se há malware
Existem várias razões pelas quais o malware pode ser um problema significativo em relação à segurança do WordPress. Tomar medidas preventivas é essencial para verificar se há algum software malicioso que possa ter infectado seu site.
Você deve verificar seu site WordPress com uma ferramenta antivírus como Sucuri ou WordFence para encontrar possíveis ameaças e removê-las.
Você também deve executar verificações regulares de malware para se proteger contra novas ameaças. Além disso, você deve garantir que todos os plugins e temas estejam atualizados e sejam de fontes confiáveis.
Seguir essas etapas pode tornar seu site WordPress mais seguro e menos vulnerável a ataques de malware.
10. Desative o relatório de erros do PHP
Você precisa desabilitar o PHP Error Reporting para proteger seu site WordPress. Isso ajudará você a identificar gargalos e mantê-lo funcionando sem problemas.
Você obterá informações detalhadas sobre os caminhos e estruturas de arquivos do seu site através do relatório de erros do PHP, para saber se tudo está funcionando corretamente.
O problema é que mostrar as vulnerabilidades do seu site no back-end é um sério risco de segurança.
Se ele exibir um plug-in específico no qual a mensagem de erro apareceu, os cibercriminosos podem explorar as vulnerabilidades desse plug-in.
Para corrigi-lo, adicione este código ao wp-config.php :
error_reporting(0); @ini_set('display_errors', 0);
Ao desabilitar o PHP Error Reporting, você basicamente elimina a possibilidade de seu site exibir qualquer coisa que indique um erro, que hackers com intenções maliciosas podem ver.
Tomar as precauções necessárias é importante se você não quiser que suas informações confidenciais caiam em mãos erradas.
11. Use um firewall de aplicativo da Web
Um firewall de aplicativo da web (WAF) é uma camada essencial de segurança do WordPress.
Um WAF monitora e bloqueia o tráfego malicioso em tempo real, protegendo seu site contra ataques maliciosos e acesso não autorizado.
Ele também permite personalizar regras para detectar atividades suspeitas e filtrar ameaças comuns baseadas na Web, como scripts entre sites e injeção de SQL.
Use um WAF que ofereça o máximo de recursos e configurações de segurança, como autenticação de dois fatores , lista de permissões e listas de bloqueio de endereços IP e criptografia de dados , para proteção ideal.
Além disso, certifique-se de que seu provedor de hospedagem o atualize com frequência para protegê-lo de bugs recém-descobertos. Você também pode instalar um plug-in de firewall em seu site para protegê-lo adequadamente.
A incorporação de um WAF pode ajudar a mitigar os riscos do site WordPress, mas isso deve ser apenas uma parte de um plano de segurança mais amplo.
12. Desative o editor de arquivos do WordPress
É um excelente recurso para blogueiros, pois permite editar seus arquivos WordPress diretamente no Editor de arquivos. No entanto, também é um recurso perigoso porque um hacker pode acessar seu site e alterar seus dados usando-o.
Editores de arquivos podem ser portas de entrada para hackers, portanto, desligue-os se não os estiver usando.
Você pode adicionar o seguinte código ao final de wp-config.php no diretório raiz do WordPress para desativar o Editor de arquivos:
define('DISALLOW_FILE_EDIT', true);
Agora você pode desativar o Editor de arquivos e isso não deve representar um risco à segurança.
13. Alterar o prefixo padrão do banco de dados do WordPress
Alterar o prefixo padrão do banco de dados dos sites WordPress os torna mais seguros.
A alteração do prefixo padrão do banco de dados cria uma camada adicional de segurança, tornando mais difícil para os hackers adivinhar o nome do seu banco de dados.
O prefixo do banco de dados WordPress identifica o banco de dados e todas as tabelas nele. Por padrão, o prefixo é wp_
, mas você pode alterá-lo para outro.
Para alterar o prefixo:
Passo 1: Procure wp-config.php nos arquivos do seu site.
Passo 2: Procure esta linha
“$table_prefix = 'wp_'”
Etapa 3: altere wp_
para algo mais exclusivo, como bsprefix_
e salve as alterações.
Passo 4: Abra seu banco de dados no phpmyadmin.
Passo 5: Você pode renomear tabelas em SQL com este código:
RENAME table `wp_tablename` TO `bsprefix_tablename`;
Cada tabela que você precisa atualizar precisa desse código.
Existem momentos em que você precisa alterar alguns valores nas tabelas, para isso siga os seguintes passos:
Passo 1: Ainda pode haver tabelas com o prefixo antigo anexado a elas, portanto, identifique-as.
Etapa 2: abra o SQL e execute esta consulta:
SELECT * FROM `bsprefix_tablename` WHERE `field_name` LIKE '%wp_%'
Nesse código, bsprefix_tablename
é a tabela que você já está editando.
Etapa 3: edite os resultados com o novo prefixo assim que aparecerem.
14. Desativar XML-RPC
Como proteção, recomendamos que você desabilite o recurso XML-RPC para que seu site WordPress permaneça seguro. O recurso XML-RPC no WordPress permite que você acesse e publique conteúdo por meio de dispositivos móveis, habilite trackbacks e pingbacks e use o plug-in Jetpack.
No arquivo .htaccess, adicione um código para desativá-lo.
Para desativar o XML-PRC, adicione o seguinte código ao arquivo .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 000.00.000.000 </Files>
No entanto, o XML-RPC pode ser explorado por hackers para obter acesso ao seu site e fazer várias tentativas de login por vez sem ser detectado pelo software de segurança, o que torna seu site vulnerável a ataques.
Os hackers usam APIs XML-RPC para acessar sites WordPress. Desligá-lo interromperá ataques de força bruta, ataques DDoS, spam e outros problemas.
Você deve certificar-se de que seu site ainda funcione depois de desativar o XML-RPC. Verifique os plug-ins para garantir que eles não exijam XML-RPC para funcionar.
Observação importante: para obter mais informações, consulte nosso artigo sobre como desativar o XML-RPC no WordPress.
15. Ocultar a versão do WordPress
O sistema de gerenciamento de conteúdo do WordPress se destaca como um dos sistemas de gerenciamento de conteúdo mais populares do mercado atualmente, o que o torna um alvo atraente para usuários mal-intencionados.
Oculte a versão do WordPress como uma dessas práticas de segurança. Uma versão visível do WordPress torna mais fácil para os hackers descobrirem qual versão está sendo executada em um servidor, para que possam encontrar quaisquer vulnerabilidades conhecidas que existam nele.
Felizmente, ocultar a versão do WordPress é relativamente simples. Tudo o que você precisa fazer é seguir estas instruções:
Etapa 1: Vá para Aparência → Editor de arquivo de tema .
Passo 2: Abra as funções do tema, adicione o seguinte código:
function wp_remove_version() { return ''; } add_filter('the_generator', 'wp_remove_version');
A metatag do WordPress também mostra a versão e você pode alterá-la adicionando este código a function.php.
remove_action('wp_head', 'wp_generator');
Consertando um site WordPress invadido
Se o seu site WordPress foi invadido, existem várias etapas que você pode seguir para corrigi-lo. Primeiro, identifique e remova qualquer código ou arquivo malicioso. Em seguida, atualize todas as senhas e plugins para suas versões mais recentes. Por fim, implemente medidas de segurança como autenticação de dois fatores e um firewall para evitar ataques futuros.
Um site WordPress hackeado pode ser uma experiência assustadora. Se isso acontecer, você pode precisar de ajuda para descobrir por onde começar.
Aqui estão algumas dicas para ajudá-lo a corrigir um site WordPress invadido. Proteger seu site WordPress de hackers é essencial.
Os especialistas podem ajudá-lo com esse problema, mas, se preferir corrigi-lo sozinho, há algumas etapas que você pode seguir.
Comece desligando seu site. Isso evitará que mais danos sejam causados. Faça backup de todos os seus arquivos e dados importantes, apenas por precaução.
É crucial descobrir de onde veio o ataque antes de trabalhar na correção do seu site WordPress invadido.
Tente entrar em contato com seu host e seguir as instruções. Eles podem ser capazes de ajudar. Eles lidam com esse tipo de coisa diariamente e conhecem seu ambiente de hospedagem, então saberão como ajudar.
Se você fizer backup de seu site regularmente , poderá restaurar seu site WordPress para uma data em que ainda não foi invadido.
Verifique se há malware e remova-os . Limpe seu site WordPress e exclua quaisquer temas ou plugins inativos. Às vezes, é aqui que os hackers escondem seus backdoors.
Procure na seção do usuário do WordPress para ver quem tem direitos de administrador. Se houver alguém suspeito, exclua-o.
Assim que seu banco de dados do WordPress for verificado quanto a códigos ou scripts maliciosos, você poderá começar a excluir qualquer código ou scripts maliciosos do seu blog . No entanto, você pode querer considerar o uso de um plug-in como o WP Security Scan para tornar esse processo mais fácil e eficiente.
Se você seguir essas etapas, poderá proteger seu site WordPress e mantê-lo seguro. Apenas lembre-se: prevenir é sempre melhor do que remediar, então atualize seu site, use senhas fortes e fique atento a atividades suspeitas.
Perguntas frequentes
As maneiras mais fáceis de proteger seu site WordPress são mantê-lo atualizado, desabilitar a edição de arquivos, usar senhas fortes, instalar um certificado SSL e fazer backup de tudo regularmente.
Concordo que manter sua versão do WordPress atualizada é uma das melhores maneiras de manter seu site seguro. Versões recentes do WordPress contêm patches de segurança que protegem seu site contra ataques potencialmente mal-intencionados, portanto, você deve sempre manter sua versão do WordPress atualizada.
A criptografia de dados enviados pela rede com um certificado SSL adicionará outra camada de segurança ao seu site WordPress. Além de ajudar a criar confiança entre você e seus visitantes, mostra que a conexão é segura e os dados que eles compartilham estão seguros com você.
Fazer backup dos dados do seu site é essencial se algo acontecer com ele, como um hack ou um vírus. Backups regulares garantem acesso à versão mais recente dos seus dados, que podem ser restaurados se necessário.
Conclusão
Nesta postagem de blog sobre dicas de segurança do WordPress, discutimos a importância de uma senha única, autenticação de dois fatores, atualizações regulares de plugins, uso de plugins de segurança e muito mais.
Por favor, deixe-me saber o que você pensa nos comentários abaixo, dependendo se você achou este artigo útil ou não. Obrigado por ler.
Mantenha-se atualizado com os tutoriais e notícias do BetterStudio no Facebook e no Twitter.