Como proteger seu site WordPress em 2023 (tutorial detalhado)
Publicados: 2023-07-28O WordPress se tornou um dos sistemas de gerenciamento de conteúdo (CMS) mais populares do mundo, com mais de 44% dos sites construídos nele. Como em qualquer plataforma online, a segurança deve estar no topo da sua lista de preocupações. Nesta postagem, examinaremos as questões de segurança do WordPress e forneceremos dicas sobre como manter seu site WordPress seguro e protegido.
Vamos mergulhar.
- 1 O WordPress é seguro?
- 2 preocupações de segurança do WordPress
- 3 Como proteger seu site WordPress
- 3.1 Segurança do WordPress: escolha uma boa hospedagem para WordPress
- 3.2 Mantenha seu login WordPress seguro
- 3.3 Use um conjunto de plug-ins de segurança do WordPress
- 3.4 Mantenha o PHP atualizado
- 3.5 Escolha Senhas Fortes
- 3.6 Segurança do WordPress: mantenha o software atualizado
- 3.7 Instalar certificado SSL
- 3.8 Realizar uma Auditoria de Segurança
- 3.9 Técnicas avançadas de segurança do WordPress
- 4 O que fazer se o seu site WordPress for invadido
- 5 Considerações finais sobre a segurança do WordPress
WordPress é seguro?
Para a maior parte sim. Os desenvolvedores do WordPress trabalham duro para manter a segurança de sua plataforma por meio de patches e atualizações que ocorrem regularmente. No entanto, como o WordPress é construído em uma estrutura de código aberto, os hackers podem analisar como ele é construído e frequentemente desenvolver novas maneiras de obter o controle dos sites do WordPress. Por isso, a segurança do WordPress é crucial. Conhecer os riscos associados ao uso do WordPress é importante para entender melhor como proteger seu site.
Preocupações de segurança do WordPress
Ao operar um site WordPress, existem vários riscos potenciais a serem observados. Uma das maiores preocupações são os hackers. Como o WordPress é tão popular, ele atrai a atenção de atores nefastos que tentam explorar vulnerabilidades como plug-ins desatualizados ou arquivos principais para obter acesso não autorizado ao seu site. Eles podem empregar métodos como backdoors, lançar ataques de força bruta, ataques farmacêuticos, ataques de negação de serviço (DoS) ou cross-site scripting (XSS).
Se não for resolvido, pode haver consequências graves, como malware (código malicioso projetado para roubar as informações do visitante do seu site), encaminhar seu site para outro completamente diferente, adicionar conteúdo que você não conhece, avisos do Google que podem prejudicar sua posição em os SERPs, ou pior, não conseguir fazer login no seu site.
Como proteger seu site WordPress
A seção a seguir explorará as melhores práticas para aprimorar a segurança do WordPress para proteger seu site contra possíveis ameaças.
Inscreva-se em nosso canal do Youtube
Segurança do WordPress: escolha uma boa hospedagem para WordPress
O primeiro passo a tomar é fazer parceria com uma boa empresa de hospedagem WordPress. Com tantas opções disponíveis, pode ser difícil determinar como escolher o host certo. Se você é iniciante, provavelmente é melhor optar por um bom provedor de hospedagem gerenciada, como o SiteGround, que fornecerá todas as atualizações de segurança para o WordPress, além de manter o servidor em que está instalado. Para aqueles que são mais experientes em tecnologia, um provedor de hospedagem em nuvem, como Cloudways, é uma excelente escolha.
Qualquer uma das opções fornecerá todas as ferramentas necessárias para garantir que seu site seja seguro e protegido, incluindo:
- certificado SSL grátis
- Firewall de aplicativo da Web (WAF)
- acesso SFTP
- Proteção contra negação de serviço distribuída (DDoS)
- Proteção contra malware
Mantenha seu login WordPress seguro
Outra coisa fácil que você pode fazer para aumentar a segurança do WordPress é bloquear suas credenciais de login. Isso pode ser feito de várias maneiras, incluindo o uso de um plug-in para alterar a URL de login de /wp-admin para algo de sua escolha. Você também pode adicionar autenticação de dois fatores (2FA) ao seu login e limitar as tentativas de login, o que ajudará a repelir bots.
Outra forma de proteger seu login é vinculá-lo à sua conta do Google usando o Login do Google Apps para WordPress. Depois que seu login for bloqueado, você deve colocar na lista de permissões os endereços IP de seus usuários. Isso garante que apenas usuários registrados possam entrar, mesmo que tenham conseguido descobrir sua senha.
Use um conjunto de plug-ins de segurança do WordPress
Outra coisa muito útil que você pode fazer é instalar um bom plugin de segurança, como o iThemes Security. Ele permitirá que você adicione 2FA, limite as tentativas de login, agende backups e oculte seu login do WordPress.
Além de um plug-in de segurança do WordPress, considere instalar um bom plug-in de backup, como o UpdraftPlus, se o seu host não oferecer backups. Um plug-in de backup protege você de perder os arquivos do seu site, ajudando você a evitar a reconstrução do WordPress do zero. Você pode facilmente restaurar seu site com pouco esforço se algo der errado. Por fim, incorporar um plug-in de log de atividades como o WP Activity Log permitirá que você identifique o que deu errado e quando.
Mantenha o PHP atualizado
O WordPress requer três coisas para funcionar corretamente: suporte a PHP, MySQL e HTTPS. PHP, ou pré-processador de hipertexto, é uma linguagem de script de código aberto popular usada no desenvolvimento da Web e é a espinha dorsal do WP. Como o WordPress, ser de código aberto o deixa aberto para agentes mal-intencionados que desejam tirar proveito. Para evitar esses possíveis problemas, é melhor manter o PHP atualizado. Isso não apenas ajuda na segurança do WordPress, mas também mantém seu site funcionando de maneira ideal.
Escolha senhas fortes
Um dos aspectos mais importantes da segurança do WordPress é escolher senhas fortes para login. Senhas fracas ou fáceis de adivinhar deixam seu site vulnerável a acesso não autorizado e expõem seu site a botnets. Botnets são uma coleção de computadores que foram infectados por malware e estão sob o controle de um hacker. Eles são a principal causa de ataques DDoS na Internet, mas você pode evitar que seu site seja vítima deles tomando as devidas precauções.
Por exemplo, você pode proteger seu site garantindo que todos os usuários sigam uma política de senha. Uma ótima maneira de fazer isso é instalando um plug-in como o Password Policy Maker.
Segurança do WordPress: mantenha o software atualizado
Outro passo simples na segurança do WordPress é manter o núcleo, plugins e temas do WordPress atualizados. Deixar o software desatualizado pode ter consequências negativas em seu site, incluindo falhas de segurança, a tela branca da morte do WordPress ou qualquer número de erros comuns.
Você pode acompanhar as atualizações por conta própria ou ativar as atualizações automáticas. O que é certo para você depende de vários fatores, incluindo tempo, experiência e o tipo de software que sua instalação do WordPress executa. Independentemente de você lidar com atualizações ou optar por atualizar automaticamente, você sempre deve fazer um backup antes de executar qualquer atualização.
Instalar certificado SSL
Se você fizer parceria com um bom provedor de hospedagem, um dos benefícios que o acompanham é um certificado SSL gratuito. No entanto, pode haver situações em que você mesmo precisará instalar um. A maioria dos provedores, como o SiteGround, oferece um SSL gratuito que é instalado em alguns minutos. Ao ler isso, você pode se perguntar : “Por que preciso de um certificado SSL?”. Vamos explicar.
SSL, ou camada de soquete seguro, expande o protocolo de transferência de hipertexto (HTTP) para o protocolo de transferência de hipertexto seguro (HTTPS), adicionando criptografia e uma camada extra de segurança. Por exemplo, um consumidor que faz uma compra por HTTP corre o risco de que suas informações de cartão de crédito sejam exploradas. Por outro lado, suas informações estariam protegidas se tivessem feito a mesma compra por HTTPS. Seu site e seus visitantes ficam expostos e vulneráveis sem essa conexão segura. É por isso que instalar um certificado SSL em qualquer novo site é crucial.
Faça uma Auditoria de Segurança
Depois de tomar medidas para proteger seu site, é importante realizar uma auditoria de segurança do WordPress ocasionalmente. Assim como a tecnologia muda diariamente, o arsenal de ferramentas de um hacker também muda. Malware e outras táticas são desenvolvidas regularmente, então proteger seu site WordPress não é um negócio pronto. Agende verificações de segurança regulares e procure sinais de que seu site pode estar com problemas. Se você perceber que seu site está carregando lentamente, seu tráfego cai, você descobre novos links que não adicionou ou tem tentativas de login excessivas, talvez seja hora de executar uma varredura de segurança para garantir que seu site permaneça seguro e protegido.
Técnicas avançadas de segurança do WordPress
Além das etapas listadas acima, existem algumas técnicas mais avançadas para incorporar ao seu site para aumentar a segurança do WordPress.
Proteger o arquivo wp-config.php
Um ponto de entrada comum para hackers é o arquivo wp-config.php do seu site WordPress. Ele contém informações sobre seu banco de dados, incluindo nome, host, nome de usuário e senha. Deixar esse arquivo importante aberto pode ser prejudicial, então escondê-lo é sempre uma boa ideia.
Mova seu arquivo wp-config.php
Para mover o wp-config, você pode arrastá-lo para a pasta raiz do seu site (HTML público) e o WordPress irá procurá-lo sempre que o site receber um ping. No entanto, se a estrutura de arquivos do seu site incluir um arquivo htaccess, você poderá protegê-lo ainda mais adicionando uma diretiva para negar acesso a ele usando o seguinte código:
<FilesMatch "wp-config/.php"> Require all denied </FilesMatch">
Observação: antes de fazer isso, certifique-se de que seu provedor de hospedagem já não tomou medidas para mover seu arquivo wp-config para você. Alguns hosts, como Kinsta, fazem isso automaticamente para manter seu site seguro.
Alterar as chaves de sal do WordPress
Outra maneira de proteger seu arquivo wp-config é alterando as chaves salt do seu site. Essas chaves adicionam uma camada extra de proteção ao salvar senhas em seu banco de dados, fazer login em cookies e outros aspectos importantes de segurança do WordPress. Se os hackers conseguirem obter suas salt keys, eles poderão acessar o banco de dados e os arquivos do seu site, incluindo informações de cartão de crédito armazenadas, senhas e outras informações importantes. Portanto, é recomendável trocá-los periodicamente.
Alterar permissões de arquivo
Por padrão, os arquivos em seu diretório raiz são definidos como 644, o que significa que são legíveis e graváveis, deixando-os vulneráveis a agentes mal-intencionados. De acordo com o WordPress, eles não devem ser deixados com as permissões padrão. Em vez disso, eles devem ser alterados para 440 ou 400 para impedir que outras pessoas no mesmo servidor os leiam. No entanto, é importante verificar com seu provedor de hospedagem antes de fazer alterações em suas permissões de arquivo. Eles podem ter um sistema exclusivo em vigor, portanto, alterar as permissões pode causar interrupções em seu site.
Desativar XML-RPC
XML-RPC é uma API do WordPress que permite conectar seu site a aplicativos e ferramentas de terceiros. Nos últimos anos, foi explorado por ataques de força bruta, permitindo o acesso a sites WordPress. É usado principalmente para fazer conexões Zapier ou acessar seu site remotamente por meio de um aplicativo. Você deve desativar o XML-RPC em seu servidor se não estiver usando nenhuma dessas conexões.
Existem várias maneiras de fazer isso, incluindo desativá-lo por meio do htaccess, usando um trecho de código ou um plug-in. O método mais avançado, htaccess, pode ser complicado para iniciantes, então a abordagem mais recomendada é usar um trecho de código.
Para o método htaccess, use um cliente FTP para acessar os arquivos do seu site e adicione o seguinte código ao seu arquivo htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny, allow deny from all allow from 123.123.123.123 </Files>
Nota: Certifique-se de alterar o IP 123.123.123.123 pelo seu próprio.
Como alternativa, você pode usar a guia htaccess de ferramentas do plug-in AIOSEO para inserir o código:
Se preferir desabilitar o XML-PRC usando um trecho de código, você pode fazê-lo facilmente usando o plug-in WPCode. Ele possui um snippet integrado que você pode usar para desativar a API.
Ocultar versão do WordPress
Esta é uma etapa frequentemente negligenciada quando se trata de segurança do WordPress, mas é importante. Por padrão, o WordPress deixa uma pegada no código do seu site que mostra qual versão está instalada. Isso pode parecer inofensivo, mas ao acessar o código-fonte do site, os hackers podem determinar qual versão do WordPress você está executando. Se estiver desatualizado, eles podem usar essa informação para invadir seu site injetando malware ou scripts maliciosos.
Portanto, como uma medida extra de segurança do WordPress, oculte a versão do WordPress do seu site para dificultar o controle dos hackers. Existem boas maneiras de fazer isso. Você pode implementar um plug-in de trecho de código que removerá a linha no código-fonte ou criar um tema filho e colocá-lo em seu arquivo functions.php.
function elegantthemes_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Como alternativa, se você quiser remover a versão do WP na meta tag, nas strings de consulta do banco de dados e nos feeds RSS, use este código:
/* Hide WP version strings from scripts and styles * @return {string} $src * @filter script_loader_src * @filter style_loader_src */ function elegantthemes_remove_wp_version_strings( $src ) { global $wp_version; parse_str(parse_url($src, PHP_URL_QUERY), $query); if ( !empty($query['ver']) && $query['ver'] === $wp_version ) { $src = remove_query_arg('ver', $src); } return $src; } add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' ); add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' ); /* Hide WP version strings from generator meta tag */ function wordpress_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
O que fazer se o seu site WordPress for invadido
Mesmo se você fizer tudo certo, você pode se deparar com uma situação em que seu site foi invadido. Felizmente, existem etapas que você pode seguir, incluindo colocar seu site no modo de recuperação, restaurar a partir do backup mais recente ou redefinir suas senhas. Se tudo mais falhar, seu provedor de hospedagem poderá ajudar.
Considerações finais sobre a segurança do WordPress
Ao tomar as medidas necessárias para aumentar a segurança do seu WordPress, você pode garantir que seu site continue a operar normalmente enquanto é seguro para seus visitantes. Embora o WordPress ofereça enormes benefícios e facilidade de uso, é importante entender suas deficiências. Felizmente, existem vários plug-ins de segurança do WordPress, como iThemes, que podem ajudar a manter as coisas sob controle.
Procurando mais informações sobre o WordPress? Confira alguns de nossos artigos detalhados que o transformarão em um especialista em WordPress rapidamente:
- Como instalar o WordPress: o guia definitivo
- 10 melhores opções de hospedagem WordPress em 2023 (escolhido a dedo)
- 31 melhores plugins WordPress em 2023 (tudo que você precisa)
- 10 melhores temas WordPress em 2023 (comparados e classificados)
Imagem em destaque via Pikovit / Shutterstock.com