Como proteger seu site WordPress [o único guia que você precisará]
Publicados: 2021-08-05
Os usuários do WordPress tendem a gastar muito tempo no design, conteúdo e otimização do site, mas muitas vezes esquecem um fator essencial: a segurança do site. Embora possa parecer uma questão chata para pessoas que não são desenvolvedores, manter seu WordPress seguro é uma parte crítica da administração de seus negócios.
Por que você pode perguntar?
Vamos explorar essa questão juntos.
Muitas pessoas desconsideram essa informação porque nunca lidaram com um site invadido e, portanto, simplesmente não conseguem imaginar o incômodo, o tempo e o esforço que isso pode causar.
Em primeiro lugar, se você administra um negócio online, ou pelo menos gerencia parte do seu negócio através do site, um ataque de hacker inevitavelmente interromperá seu processo de trabalho. Se você possui uma loja online, não poderá vender; se você agendar consultas através de seu site, não poderá fazê-lo.
Para lojas online de alto volume, isso é particularmente ruim - não apenas você não poderá vender por um tempo, mas também poderá perder pedidos. Os backups de sites geralmente são criados uma vez por dia e, se você for invadido horas depois, todos os pedidos feitos nesse meio tempo serão perdidos.
Se o seu site estiver operacional, ainda pode ter ocorrido um hack - por exemplo, os links podem ser injetados no código e apontar para outros sites.
Se você monetizar seu site por meio de anúncios, poderá substituí-los por anúncios de outra pessoa (e, portanto, exibir anúncios dos quais você não obterá receita).
Existem muitos casos em que seu site pode ser comprometido e você levará dias, se não semanas, para perceber isso. No cenário com a injeção de links de spam, isso pode afetar seu SEO (já que o Google não gosta de links com spam). Como resultado, sua classificação no Google pode sofrer e pode levar muito, muito tempo para reparar esse tipo de dano.
Há também a questão da confiança do cliente; as pessoas ficam realmente preocupadas quando ouvem que um site que usam foi invadido.
O uso de certificados SSL evitou as consequências mais graves, como o vazamento de números de cartão de crédito, mas alguns dados ainda podem ser obtidos. Os usuários podem associar um ataque de hackers ao seu site a uma segurança ruim e decidir parar de usar seus serviços completamente.
No geral, se o seu site for invadido, você pode repará-lo, mas proteger seu WordPress em primeiro lugar é um caminho muito indolor.
Se um ataque já ocorreu, você pode usar um plug-in para verificar seu site, mas a maioria dos plug-ins disponíveis apenas indicará quais arquivos foram modificados recentemente e você ainda terá que limpar tudo manualmente.
Outra maneira de tentar corrigir isso é restaurando um backup do seu site. Isso, no entanto, não é uma correção 100% garantida, especialmente se você não tiver certeza de quando seu WordPress foi invadido (e, portanto, qual cópia de backup está limpa com certeza).
Você também pode entrar em contato com uma agência especializada que oferece remoção de malware e assistência técnica; eles vão agir de forma relativamente rápida e limpar seu WordPress para você, mas tem um custo, é claro.
Você precisa ter em mente que, mesmo que tenha sucesso em consertar o dano, essa situação pode (e provavelmente acontecerá) novamente se você não definir a proteção adequada.
Sua melhor chance aqui é agir preventivamente e proteger seu site, adotando uma abordagem detalhada e abrangente de proteção.
Mas o que isso significa?
Então, como você protege seu site WordPress ? Que passos acionáveis você pode tomar? Estamos felizes que você perguntou! Continue lendo.
A forma como a hospedagem na web é geralmente escolhida é por recomendação de um amigo, por meio da agência que está construindo o site ou por meio de pesquisas online.
O que os usuários inexperientes geralmente procuram é o preço mais barato. No entanto, como acontece com a maioria das coisas na vida, uma hospedagem confiável e de alta qualidade custará mais e também oferecerá mais. Bons provedores de hospedagem oferecem muitos recursos de segurança que podem significar a diferença entre você ter que lidar com um site invadido ou não.
Por outro lado, provedores de hospedagem de baixo custo cortarão custos sempre que puderem para cobrir a diferença e, infelizmente, a segurança é uma área que sofre muito.
Vamos dar um exemplo de alguns dos recursos que disponibilizamos para nossos clientes. Além das opções clássicas, como proteção contra DDoS, certificados SSL e firewalls de aplicativos da Web, temos algumas que aumentarão o nível do jogo de segurança do seu site.
Um deles é o Patchman, um aplicativo que pode ser extremamente útil para usuários que não atualizam automaticamente seu WordPress. O Patchman verifica sua instalação e corrige quaisquer vulnerabilidades conhecidas nos arquivos principais do WordPress e vários plugins populares. Em vez de atualizar automaticamente o software para corrigir a vulnerabilidade, o que pode causar problemas de dependência de quebra de site, o Patchman aplica a correção de segurança à versão atualmente instalada.
Você pode ter total confiança de que os patches aplicados acontecerão com segurança e sem danificar seu site.
Se você estiver optando por hospedagem compartilhada, é imperativo escolher uma hospedagem segura e de alto desempenho. Muitas empresas também oferecem hospedagem WordPress, que é configurada especificamente para WordPress e seu site normalmente terá um desempenho muito melhor nele.
Se você tiver um site de alto volume e optar por atualizar sua conta de hospedagem, vá para o servidor dedicado totalmente gerenciado para garantir um nível mais alto de segurança, em oposição ao seu equivalente mais barato (não gerenciado).
Em suma, faça uma pesquisa completa sobre hospedagem na web e não deixe o preço guiá-lo em sua escolha.
A razão pela qual isso acontece é devido a vulnerabilidades descobertas por hackers. Se você estiver interessado em ler mais sobre o tema, recomendamos este artigo, mas resumindo, vulnerabilidades são "buracos" no código do aplicativo que você está usando. Há uma batalha constante entre hackers e desenvolvedores de software, onde os hackers encontram e exploram vulnerabilidades de segurança, e os desenvolvedores procuram corrigi-las rapidamente.
Assim como outros aplicativos CMS, o WordPress passa por ciclos de atualizações, nos quais novos recursos são adicionados e os desenvolvedores trabalham para corrigir quaisquer vulnerabilidades conhecidas. Todos os anos, geralmente há 1-3 atualizações principais e muitas pequenas, todas críticas para a segurança, pois quase sempre contêm patches de segurança.
Mas espere - se você tem algo como o Patchman, por que ainda precisa atualizar?
O Patchman cobre os arquivos principais do WordPress e alguns dos plugins mais populares, mas muitos plugins não são corrigidos pelo aplicativo. Isso significa que todos esses plugins, se deixados desatualizados, facilmente se tornarão um ponto de entrada para os hackers fazerem o que quiserem em seu site.
Manter seu WordPress atualizado é bastante fácil.
Em primeiro lugar, todas as versões posteriores à 5.6 (lançada em dezembro de 2020) possuem atualizações automáticas habilitadas, o que significa que você não precisa fazer nada. Se esse não for o caso por algum motivo (digamos que seu desenvolvedor os desativou), há algumas maneiras de ativar suas atualizações automáticas.
Uma delas é via Softaculous, o aplicativo frequentemente usado pelos usuários do cPanel para instalar o WordPress em seus servidores. O WordPress Manager da Softaculous permite configurar atualizações automáticas; você pode optar por atualizar automaticamente apenas atualizações menores ou maiores também.
Você também pode optar por atualizar automaticamente seus plugins e temas. O melhor de tudo, será necessário um backup antes de qualquer atualização automática, caso haja necessidade de reverter.
Outra opção, se você é um pouco habilidoso em modificar seu código, é usar a configuração de atualizações automáticas nativas do WordPress - saiba mais sobre isso diretamente na KB do WordPress.
Muitas pessoas usam o nome de usuário "admin", pois isso aparece por padrão ao usar um aplicativo de software como o Softaculous para instalar seu WordPress.
Não use o nome de usuário padrão , facilitando as coisas para os hackers - escolha um nome de usuário diferente, como seu endereço de e-mail. Se você recebeu um usuário já criado com este nome de usuário, crie um novo administrador e exclua o existente.
O mesmo vale para sua senha; quanto mais forte for, melhor. Escolha uma senha longa que inclua dígitos e caracteres especiais ou, melhor ainda, gere uma senha aleatória.
Se você está preocupado em esquecer sua senha, tente criar um sistema que possa ajudá-lo a lembrar. Algumas pessoas gostam de usar uma combinação estática de caracteres + o nome do site como diferencial ( Jack1990Apple!), outras preferem senhas associativas.
Claro, você pode simplesmente salvar seus detalhes de login e não se preocupar se você vai se lembrar deles ou não. Não use seu navegador para armazenar seus detalhes de login! Esta é uma opção bastante insegura (e comumente usada).
Se você quiser armazenar seus detalhes de login para não precisar digitá-los todas as vezes, use um gerenciador de senhas como o Lastpass - eles têm um plano gratuito e seus detalhes de login serão o mais seguros possível. Com o gerenciador de senhas, você precisa lembrar apenas 1 senha (a mestra) e também armazenar os dados do cartão de crédito.
Os clientes do serviço de hospedagem compartilhada da Kualo também são protegidos contra ataques de login de força bruta automaticamente - com tentativas de força bruta limitadas e bloqueadas.
Isso significa que, mesmo que os hackers tenham seus detalhes de login exatos, eles ainda não poderão fazer login sem essa autenticação adicional.
Você pode instalar um plug-in como o WP 2FA e forçar outros usuários em seu site a usá-lo também (especialmente se eles tiverem direitos de administrador ou editor). Lembre-se de sempre baixar seus códigos de backup e armazená-los em um local seguro, caso você perca o acesso ao seu telefone.
De qualquer forma, se você deixar assim, ficará muito mais fácil para os hackers identificarem a entrada do seu back-end e iniciarem um ataque de força bruta.
Altere o URL (slug) para sua página de login usando um plug-in como ThemeMyLogin ou procure um plug-in de segurança que inclua vários recursos listados (2FA, limite de tentativas de login etc.).
Há também um excelente artigo do WPBeginner sobre como alterar manualmente sua URL de login, mas se você não se sentir à vontade para gerenciar código, é melhor não ir até lá.
Por outro lado, cada plugin que você instala é outro pedaço de código que precisa ser cuidado (ou seja, atualizado). Uma infinidade de plugins também aumenta o risco de incompatibilidade - é quando dois ou mais plugins não podem funcionar juntos - então você precisa evitar a instalação de plugins que você pode ficar sem.
Alguns dos melhores plugins de segurança combinam vários recursos, como mencionado acima, reduzindo assim o número de plugins que você terá que instalar para fazer tudo o que estamos falando. Alguns ótimos exemplos são:
Se vários usuários com direitos de administrador trabalham em seu site, essa é uma excelente maneira de manter um registro do que está sendo feito.
Do ponto de vista da segurança, ele pode mostrar várias informações que podem ser muito úteis - desde tentativas de login com falha até alterações nos arquivos e configurações do site WordPress. Se você é alguém que gosta de realizar a manutenção do próprio site, esse recurso é obrigatório.
Uma ótima opção (e gratuita) é o log de atividades do WP, um plugin que existe há anos e também é conhecido por seu log detalhado e simplicidade de interface.
Uma vez, um SSL era necessário para sites que precisavam ser seguros para transações específicas, como pagamentos. Hoje em dia, no entanto, não importa se você está processando pagamentos em seu site ou não. O SSL é obrigatório para qualquer site que esteja processando informações confidenciais, como senhas, nomes, endereços etc.
A mecânica paralela disso é a seguinte: sem um SSL em seu site, todos os dados transferidos entre o navegador da Web do usuário e seu servidor da Web são entregues em texto simples que os hackers podem ler.
Depois de instalar um SSL, as informações confidenciais são criptografadas antes de serem transferidas entre as duas partes – o navegador da Web do usuário e seu servidor, protegendo-o de terceiros com intenções maliciosas.
O Google reconheceu a importância de um certificado SSL há algum tempo e começou a mostrar nas primeiras posições sites que poderiam oferecer uma transferência criptografada de informações.
Além disso, em 2018, o Google alertou todos os proprietários de sites que todos os sites que não possuem SSL ativo seriam exibidos como “Não seguro” na URL. Isso torna o certificado SSL uma necessidade absoluta; a boa notícia é que é bastante fácil de obter e, além disso, em algumas empresas de hospedagem (incluindo Kualo!) um SSL está incluído gratuitamente.
Muitas vezes, ao instalar um novo tema/plugin ou trabalhar ativamente em seu site, algo pode quebrar, portanto, ter um backup é, sem dúvida, uma obrigação.
Embora os provedores de hospedagem mais confiáveis tenham esses backups diários configurados para você, não é uma má ideia aprender como fazê-los manualmente ou usar um plug-in de backup como UpdraftPlus ou BackupBuddy. Ambos têm a opção de fazer upload de backups de seu site para serviços em nuvem como Amazon ou exportá-los localmente.
Você também pode usar o recurso Softaculous Backup, que é facilmente acessível em seu cPanel. A boa notícia é que oferece a máxima simplicidade e não tem custo adicional. A má notícia é que, ao contrário de suas contrapartes, ele fará o upload dos backups em sua conta de hospedagem, portanto, usará espaço em disco e também será armazenado no mesmo local que o próprio site. Se algo acontecer com sua conta (por exemplo, excluir arquivos por acidente ou uma invasão manual de hackers), sua cópia de backup também poderá ser comprometida.
Lembre-se sempre de criar uma cópia de backup se estiver planejando trabalhar no seu WordPress e não tiver certeza dos resultados finais!
Se você estiver executando um site de comércio eletrônico de alto tráfego, os backups de hora em hora podem ser a melhor opção para você. Como mencionado anteriormente, sites que geram muitos pedidos podem sofrer perdas significativas caso precisem restaurar um backup feito várias horas antes.
Você pode fazer isso adicionando um pedaço de código ao seu arquivo wp-config.php:
Você pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando este código:
<Arquivos *.php>
negar de todos
</Arquivos>
Salve este arquivo como .htaccess e carregue-o nas pastas /wp-content/uploads/ em seu site usando um cliente FTP ou através do seu Gerenciador de Arquivos no cPanel.
Por exemplo, se um hacker quisesse experimentar 1.000 senhas diferentes em seus sites, ele teria que fazer 1.000 tentativas de login separadas, que serão detectadas pelo seu plug-in de segurança ou firewall. No entanto, se você mantiver o XML-RPC ativado, um hacker poderá usar a função system.multicall e tentar 1.000 senhas diferentes com 30-60 solicitações.
É por isso que recomendamos desativá-lo, e você pode fazer isso simplesmente adicionando um código em seu arquivo .htaccess:
Na linha 5, você deve inserir seu próprio IP se for o único do qual deseja manter o XML-RPC (caso contrário, exclua-o).
Nota: Se você é um de nossos usuários, não há necessidade de realizar esta etapa, pois seu XMLRPC estará protegido pelo recurso Brute Force Protection do LiteSpeed.
Uma ótima maneira de lidar com isso é impedir que bots abusivos obtenham acesso ao seu WordPress. Insira o seguinte código no arquivo .htaccess.
Dê a qualquer um dos usuários do seu site a menor quantidade de acesso possível. Se você tiver um redator de conteúdo, por exemplo, não é necessário fornecer a ele uma conta de administrador - um usuário Editor funcionará bem. Não compartilhe sua conta a menos que seja absolutamente necessário e, se o fizer - altere sua senha assim que a pessoa a quem você a deu não precisar mais dela.
Não compartilhe seus detalhes de hospedagem também, a menos que seja absolutamente necessário.
Não use temas e plugins WordPress anulados (baixados ilegalmente)
Em algum momento, pode se tornar uma tentação economizar algum dinheiro e baixar um plugin ou tema não licenciado. Nesse caso, você pagará de outra forma - provavelmente com o posicionamento de um backdoor no seu WordPress. Os hackers geralmente ocultam links de spam ou códigos maliciosos nos itens não licenciados e os oferecem para download gratuito.
Evite-os a qualquer custo e se você encomendar um site ou funcionalidade, certifique-se de confirmar com o desenvolvedor se tudo está devidamente licenciado.
Você acha que algum dos conselhos oferecidos é difícil de seguir? Perdemos algo importante? Mande um ping para nós nos comentários, adoraríamos saber sua opinião!
Ou se você estiver pronto para mudar para a hospedagem WordPress super segura do Kualo, confira nossos planos aqui.
Por que você pode perguntar?
Vamos explorar essa questão juntos.
Por que proteger seu WordPress é importante?
Como outras coisas relacionadas à segurança na vida, a segurança do site é um mal necessário. Normalmente, quando você contrata um desenvolvedor ou uma agência para criar um site para você, o tópico de segurança aparece. Os especialistas sabem em primeira mão com que frequência os sites são invadidos - especialmente os sites WordPress devido à popularidade da plataforma. Eles normalmente aconselham você a proteger seu site de várias maneiras e podem recomendar algumas práticas de segurança conhecidas.Muitas pessoas desconsideram essa informação porque nunca lidaram com um site invadido e, portanto, simplesmente não conseguem imaginar o incômodo, o tempo e o esforço que isso pode causar.
Em primeiro lugar, se você administra um negócio online, ou pelo menos gerencia parte do seu negócio através do site, um ataque de hacker inevitavelmente interromperá seu processo de trabalho. Se você possui uma loja online, não poderá vender; se você agendar consultas através de seu site, não poderá fazê-lo.
Para lojas online de alto volume, isso é particularmente ruim - não apenas você não poderá vender por um tempo, mas também poderá perder pedidos. Os backups de sites geralmente são criados uma vez por dia e, se você for invadido horas depois, todos os pedidos feitos nesse meio tempo serão perdidos.
Se o seu site estiver operacional, ainda pode ter ocorrido um hack - por exemplo, os links podem ser injetados no código e apontar para outros sites.
Se você monetizar seu site por meio de anúncios, poderá substituí-los por anúncios de outra pessoa (e, portanto, exibir anúncios dos quais você não obterá receita).
Existem muitos casos em que seu site pode ser comprometido e você levará dias, se não semanas, para perceber isso. No cenário com a injeção de links de spam, isso pode afetar seu SEO (já que o Google não gosta de links com spam). Como resultado, sua classificação no Google pode sofrer e pode levar muito, muito tempo para reparar esse tipo de dano.
Há também a questão da confiança do cliente; as pessoas ficam realmente preocupadas quando ouvem que um site que usam foi invadido.
O uso de certificados SSL evitou as consequências mais graves, como o vazamento de números de cartão de crédito, mas alguns dados ainda podem ser obtidos. Os usuários podem associar um ataque de hackers ao seu site a uma segurança ruim e decidir parar de usar seus serviços completamente.
No geral, se o seu site for invadido, você pode repará-lo, mas proteger seu WordPress em primeiro lugar é um caminho muito indolor.
Você pode consertar um WordPress hackeado?
Se você não estiver familiarizado com o processo, consertar um site WordPress hackeado pode ser uma grande dificuldade. Limpar o código infectado requer um tipo específico de conhecimento. Ao contrário de muitos outros problemas técnicos, seria difícil encontrar uma solução rápida no Google devido à natureza variável dos ataques de hackers.Se um ataque já ocorreu, você pode usar um plug-in para verificar seu site, mas a maioria dos plug-ins disponíveis apenas indicará quais arquivos foram modificados recentemente e você ainda terá que limpar tudo manualmente.
Outra maneira de tentar corrigir isso é restaurando um backup do seu site. Isso, no entanto, não é uma correção 100% garantida, especialmente se você não tiver certeza de quando seu WordPress foi invadido (e, portanto, qual cópia de backup está limpa com certeza).
Você também pode entrar em contato com uma agência especializada que oferece remoção de malware e assistência técnica; eles vão agir de forma relativamente rápida e limpar seu WordPress para você, mas tem um custo, é claro.
Você precisa ter em mente que, mesmo que tenha sucesso em consertar o dano, essa situação pode (e provavelmente acontecerá) novamente se você não definir a proteção adequada.
Sua melhor chance aqui é agir preventivamente e proteger seu site, adotando uma abordagem detalhada e abrangente de proteção.
Mas o que isso significa?
Então, como você protege seu site WordPress ? Que passos acionáveis você pode tomar? Estamos felizes que você perguntou! Continue lendo.
Etapas acionáveis para proteger seu site WordPress
1. Escolha um bom provedor de hospedagem
Antes de se concentrar em qualquer outra etapa de segurança, é fundamental escolher uma base sólida para o seu site. Trabalhar com um bom provedor de hospedagem que pode oferecer várias camadas de segurança é a maneira mais simples de proteger seu site de futuros ataques cibernéticos. A escolha de um provedor de hospedagem na web raramente é algo que as pessoas planejam meticulosamente, especialmente se não administram negócios on-line há anos.A forma como a hospedagem na web é geralmente escolhida é por recomendação de um amigo, por meio da agência que está construindo o site ou por meio de pesquisas online.
O que os usuários inexperientes geralmente procuram é o preço mais barato. No entanto, como acontece com a maioria das coisas na vida, uma hospedagem confiável e de alta qualidade custará mais e também oferecerá mais. Bons provedores de hospedagem oferecem muitos recursos de segurança que podem significar a diferença entre você ter que lidar com um site invadido ou não.
Por outro lado, provedores de hospedagem de baixo custo cortarão custos sempre que puderem para cobrir a diferença e, infelizmente, a segurança é uma área que sofre muito.
Vamos dar um exemplo de alguns dos recursos que disponibilizamos para nossos clientes. Além das opções clássicas, como proteção contra DDoS, certificados SSL e firewalls de aplicativos da Web, temos algumas que aumentarão o nível do jogo de segurança do seu site.
Um deles é o Patchman, um aplicativo que pode ser extremamente útil para usuários que não atualizam automaticamente seu WordPress. O Patchman verifica sua instalação e corrige quaisquer vulnerabilidades conhecidas nos arquivos principais do WordPress e vários plugins populares. Em vez de atualizar automaticamente o software para corrigir a vulnerabilidade, o que pode causar problemas de dependência de quebra de site, o Patchman aplica a correção de segurança à versão atualmente instalada.
Você pode ter total confiança de que os patches aplicados acontecerão com segurança e sem danificar seu site.
Se você estiver optando por hospedagem compartilhada, é imperativo escolher uma hospedagem segura e de alto desempenho. Muitas empresas também oferecem hospedagem WordPress, que é configurada especificamente para WordPress e seu site normalmente terá um desempenho muito melhor nele.
Se você tiver um site de alto volume e optar por atualizar sua conta de hospedagem, vá para o servidor dedicado totalmente gerenciado para garantir um nível mais alto de segurança, em oposição ao seu equivalente mais barato (não gerenciado).
Em suma, faça uma pesquisa completa sobre hospedagem na web e não deixe o preço guiá-lo em sua escolha.
2. Mantenha seu WordPress atualizado
Este é provavelmente o primeiro conselho que você ouvirá do seu desenvolvedor web - mantenha tudo atualizado! Muitos proprietários do WordPress desconsideram isso como regra, conscientemente ou não, e se tornam alvos de ataques maliciosos.A razão pela qual isso acontece é devido a vulnerabilidades descobertas por hackers. Se você estiver interessado em ler mais sobre o tema, recomendamos este artigo, mas resumindo, vulnerabilidades são "buracos" no código do aplicativo que você está usando. Há uma batalha constante entre hackers e desenvolvedores de software, onde os hackers encontram e exploram vulnerabilidades de segurança, e os desenvolvedores procuram corrigi-las rapidamente.
Assim como outros aplicativos CMS, o WordPress passa por ciclos de atualizações, nos quais novos recursos são adicionados e os desenvolvedores trabalham para corrigir quaisquer vulnerabilidades conhecidas. Todos os anos, geralmente há 1-3 atualizações principais e muitas pequenas, todas críticas para a segurança, pois quase sempre contêm patches de segurança.
Mas espere - se você tem algo como o Patchman, por que ainda precisa atualizar?
O Patchman cobre os arquivos principais do WordPress e alguns dos plugins mais populares, mas muitos plugins não são corrigidos pelo aplicativo. Isso significa que todos esses plugins, se deixados desatualizados, facilmente se tornarão um ponto de entrada para os hackers fazerem o que quiserem em seu site.
Manter seu WordPress atualizado é bastante fácil.
Em primeiro lugar, todas as versões posteriores à 5.6 (lançada em dezembro de 2020) possuem atualizações automáticas habilitadas, o que significa que você não precisa fazer nada. Se esse não for o caso por algum motivo (digamos que seu desenvolvedor os desativou), há algumas maneiras de ativar suas atualizações automáticas.
Uma delas é via Softaculous, o aplicativo frequentemente usado pelos usuários do cPanel para instalar o WordPress em seus servidores. O WordPress Manager da Softaculous permite configurar atualizações automáticas; você pode optar por atualizar automaticamente apenas atualizações menores ou maiores também.
Você também pode optar por atualizar automaticamente seus plugins e temas. O melhor de tudo, será necessário um backup antes de qualquer atualização automática, caso haja necessidade de reverter.
Outra opção, se você é um pouco habilidoso em modificar seu código, é usar a configuração de atualizações automáticas nativas do WordPress - saiba mais sobre isso diretamente na KB do WordPress.
3. Escolha um nome de usuário e senha fortes
As tentativas mais comuns de hacking do WordPress incluem o uso de detalhes de login roubados. Estamos falando do chamado ataque Brute Force – um tipo de ataque cibernético eficiente e direto, em que os hackers permitem que um computador experimente diferentes combinações de nomes de usuário e senhas até encontrar as corretas.Muitas pessoas usam o nome de usuário "admin", pois isso aparece por padrão ao usar um aplicativo de software como o Softaculous para instalar seu WordPress.
Não use o nome de usuário padrão , facilitando as coisas para os hackers - escolha um nome de usuário diferente, como seu endereço de e-mail. Se você recebeu um usuário já criado com este nome de usuário, crie um novo administrador e exclua o existente.
O mesmo vale para sua senha; quanto mais forte for, melhor. Escolha uma senha longa que inclua dígitos e caracteres especiais ou, melhor ainda, gere uma senha aleatória.
Se você está preocupado em esquecer sua senha, tente criar um sistema que possa ajudá-lo a lembrar. Algumas pessoas gostam de usar uma combinação estática de caracteres + o nome do site como diferencial ( Jack1990Apple!), outras preferem senhas associativas.
Claro, você pode simplesmente salvar seus detalhes de login e não se preocupar se você vai se lembrar deles ou não. Não use seu navegador para armazenar seus detalhes de login! Esta é uma opção bastante insegura (e comumente usada).
Se você quiser armazenar seus detalhes de login para não precisar digitá-los todas as vezes, use um gerenciador de senhas como o Lastpass - eles têm um plano gratuito e seus detalhes de login serão o mais seguros possível. Com o gerenciador de senhas, você precisa lembrar apenas 1 senha (a mestra) e também armazenar os dados do cartão de crédito.
4. Limite as tentativas de login
Outra maneira de evitar ataques de força bruta (novamente, eles tentarão invadir adivinhando seus detalhes) é simplesmente limitar o número de tentativas de login. Felizmente, isso é uma coisa bastante fácil de fazer; basta instalar um plugin como o Loginizer ou, se você estiver usando um plugin de segurança, verifique se ele não oferece isso como um recurso.Os clientes do serviço de hospedagem compartilhada da Kualo também são protegidos contra ataques de login de força bruta automaticamente - com tentativas de força bruta limitadas e bloqueadas.
5. Use 2FA (autenticação de dois fatores)
A autenticação de dois fatores tornou-se um padrão ouro nos últimos dois anos. De fato, muitos sites respeitáveis forçarão seus usuários a implementar o 2FA em sua conta como uma das formas mais confiáveis de protegê-lo. A maneira como funciona é que exigirá uma autenticação adicional (geralmente por meio de seu telefone) toda vez que você fizer login em um dispositivo que não seja reconhecido.Isso significa que, mesmo que os hackers tenham seus detalhes de login exatos, eles ainda não poderão fazer login sem essa autenticação adicional.
Você pode instalar um plug-in como o WP 2FA e forçar outros usuários em seu site a usá-lo também (especialmente se eles tiverem direitos de administrador ou editor). Lembre-se de sempre baixar seus códigos de backup e armazená-los em um local seguro, caso você perca o acesso ao seu telefone.
6. Altere o URL da sua página de login
Assim como o nome de usuário "admin", outro detalhe notório do WordPress quando se trata de acesso de login é sua página de login. O padrão é "www.yourwebsite.com/wp-login.php" ou "www.yourwebsite.com/wp-admin"De qualquer forma, se você deixar assim, ficará muito mais fácil para os hackers identificarem a entrada do seu back-end e iniciarem um ataque de força bruta.
Altere o URL (slug) para sua página de login usando um plug-in como ThemeMyLogin ou procure um plug-in de segurança que inclua vários recursos listados (2FA, limite de tentativas de login etc.).
Há também um excelente artigo do WPBeginner sobre como alterar manualmente sua URL de login, mas se você não se sentir à vontade para gerenciar código, é melhor não ir até lá.
7. Instale um plug-in de segurança
No momento em que escrevo este artigo, existem mais de 50 milhões de plugins disponíveis, gratuitos e pagos. Seria uma pena não aproveitar a grande base de plugins que podem proteger sua instalação de ataques maliciosos.Por outro lado, cada plugin que você instala é outro pedaço de código que precisa ser cuidado (ou seja, atualizado). Uma infinidade de plugins também aumenta o risco de incompatibilidade - é quando dois ou mais plugins não podem funcionar juntos - então você precisa evitar a instalação de plugins que você pode ficar sem.
Alguns dos melhores plugins de segurança combinam vários recursos, como mencionado acima, reduzindo assim o número de plugins que você terá que instalar para fazer tudo o que estamos falando. Alguns ótimos exemplos são:
- Segurança Wordfence - outra opção predominante repleta de recursos. Ótimo para usuários com vários sites por meio de sua central Wordfence, o plug-in verifica o WordPress quanto a vários riscos de segurança, como código malicioso, injeções de spam e até URLs ruins
- WP Cerber Security - um ótimo plugin com uma combinação de opções de energia, muitas das quais são recomendadas neste artigo. Na verdade, este é provavelmente um dos plugins com a lista mais abrangente de recursos de segurança.
- All in One WP Security - este plugin é muito popular entre usuários menos experientes tecnicamente, e também não há versão paga, portanto, não há restrições. Exigirá mais configuração manual, mas sua simplicidade garante uma curva de aprendizado relativamente plana.
8. Instale um plug-in de log de atividades
Este é um conselho legal que pode ser útil em muitas ocasiões. O plug-in de log de atividades registrará e mostrará logs de qualquer atividade realizada por diferentes usuários em seu site. Pense nisso como uma espécie de câmera de CFTV, de olho em tudo o que acontece no seu site (em formato de texto, é claro!)Se vários usuários com direitos de administrador trabalham em seu site, essa é uma excelente maneira de manter um registro do que está sendo feito.
Do ponto de vista da segurança, ele pode mostrar várias informações que podem ser muito úteis - desde tentativas de login com falha até alterações nos arquivos e configurações do site WordPress. Se você é alguém que gosta de realizar a manutenção do próprio site, esse recurso é obrigatório.
Uma ótima opção (e gratuita) é o log de atividades do WP, um plugin que existe há anos e também é conhecido por seu log detalhado e simplicidade de interface.
9. Instale um certificado SSL
Isso deve ser óbvio, mas vamos incluir essa recomendação para estar no lado seguro.Uma vez, um SSL era necessário para sites que precisavam ser seguros para transações específicas, como pagamentos. Hoje em dia, no entanto, não importa se você está processando pagamentos em seu site ou não. O SSL é obrigatório para qualquer site que esteja processando informações confidenciais, como senhas, nomes, endereços etc.
A mecânica paralela disso é a seguinte: sem um SSL em seu site, todos os dados transferidos entre o navegador da Web do usuário e seu servidor da Web são entregues em texto simples que os hackers podem ler.
Depois de instalar um SSL, as informações confidenciais são criptografadas antes de serem transferidas entre as duas partes – o navegador da Web do usuário e seu servidor, protegendo-o de terceiros com intenções maliciosas.
O Google reconheceu a importância de um certificado SSL há algum tempo e começou a mostrar nas primeiras posições sites que poderiam oferecer uma transferência criptografada de informações.
Além disso, em 2018, o Google alertou todos os proprietários de sites que todos os sites que não possuem SSL ativo seriam exibidos como “Não seguro” na URL. Isso torna o certificado SSL uma necessidade absoluta; a boa notícia é que é bastante fácil de obter e, além disso, em algumas empresas de hospedagem (incluindo Kualo!) um SSL está incluído gratuitamente.
10. Backups de configuração
Embora os backups possam não funcionar 100% se e quando você precisar corrigir um problema do WordPress, eles são sua primeira linha de defesa. Um backup de site pode ser útil não apenas quando há um ataque de hackers, mas também quando há problemas técnicos.Muitas vezes, ao instalar um novo tema/plugin ou trabalhar ativamente em seu site, algo pode quebrar, portanto, ter um backup é, sem dúvida, uma obrigação.
Embora os provedores de hospedagem mais confiáveis tenham esses backups diários configurados para você, não é uma má ideia aprender como fazê-los manualmente ou usar um plug-in de backup como UpdraftPlus ou BackupBuddy. Ambos têm a opção de fazer upload de backups de seu site para serviços em nuvem como Amazon ou exportá-los localmente.
Você também pode usar o recurso Softaculous Backup, que é facilmente acessível em seu cPanel. A boa notícia é que oferece a máxima simplicidade e não tem custo adicional. A má notícia é que, ao contrário de suas contrapartes, ele fará o upload dos backups em sua conta de hospedagem, portanto, usará espaço em disco e também será armazenado no mesmo local que o próprio site. Se algo acontecer com sua conta (por exemplo, excluir arquivos por acidente ou uma invasão manual de hackers), sua cópia de backup também poderá ser comprometida.
Lembre-se sempre de criar uma cópia de backup se estiver planejando trabalhar no seu WordPress e não tiver certeza dos resultados finais!
Se você estiver executando um site de comércio eletrônico de alto tráfego, os backups de hora em hora podem ser a melhor opção para você. Como mencionado anteriormente, sites que geram muitos pedidos podem sofrer perdas significativas caso precisem restaurar um backup feito várias horas antes.
Mais etapas acionáveis para proteger seu site WordPress [Avançado]
As dicas que você encontrará nesta seção exigem um conhecimento um pouco mais avançado no gerenciamento do seu WordPress e confiança em escrever diretamente em seu código. Se você não se sentir à vontade para executar essas etapas, é aconselhável consultar um desenvolvedor do WordPress que possa ajudá-lo a executá-las.11. Desative a edição de arquivos
O WordPress vem com um editor de código integrado, que permite editar seus arquivos de tema e plugins no painel de administração. Se a pessoa errada tiver acesso ao seu painel de administração, isso pode ser um grande risco de segurança. É por isso que recomendamos desativar esse recurso.Você pode fazer isso adicionando um pedaço de código ao seu arquivo wp-config.php:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Desabilite a execução de arquivos PHP para diretórios específicos do WordPress
Adicione outra camada de proteção desabilitando a execução de arquivos PHP em diretórios onde não é necessário. A razão pela qual você quer fazer isso é porque os hackers costumam usar a função para fazer upload de arquivos de acesso backdoor ou malware para o seu site WordPress. Este é um passo perigoso se você não sabe o que está fazendo, pois seu site pode parar de funcionar, então tome cuidado! O diretório que você está procurando é /wp-content/uploads/Você pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando este código:
<Arquivos *.php>
negar de todos
</Arquivos>
Salve este arquivo como .htaccess e carregue-o nas pastas /wp-content/uploads/ em seu site usando um cliente FTP ou através do seu Gerenciador de Arquivos no cPanel.
13. Desabilitar XML-RPC
Uma vez que o XML-RPC foi usado para conectar seu site WordPress com aplicativos web e móveis, mas desde que o WordPress lançou sua própria API REST, o XML-RPC tornou-se um passivo em vez de um recurso útil.Por exemplo, se um hacker quisesse experimentar 1.000 senhas diferentes em seus sites, ele teria que fazer 1.000 tentativas de login separadas, que serão detectadas pelo seu plug-in de segurança ou firewall. No entanto, se você mantiver o XML-RPC ativado, um hacker poderá usar a função system.multicall e tentar 1.000 senhas diferentes com 30-60 solicitações.
É por isso que recomendamos desativá-lo, e você pode fazer isso simplesmente adicionando um código em seu arquivo .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>Na linha 5, você deve inserir seu próprio IP se for o único do qual deseja manter o XML-RPC (caso contrário, exclua-o).
Nota: Se você é um de nossos usuários, não há necessidade de realizar esta etapa, pois seu XMLRPC estará protegido pelo recurso Brute Force Protection do LiteSpeed.
14. Restringir o acesso de bots
Embora seu site sempre seja rastreado por alguns bots, bots ruins podem criar perturbações irritantes. Eles podem desacelerar seu fluxo de trabalho e/ou interromper a funcionalidade do seu site WordPress, causando perda de usuários.Uma ótima maneira de lidar com isso é impedir que bots abusivos obtenham acesso ao seu WordPress. Insira o seguinte código no arquivo .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outDicas não técnicas para manter seu WordPress seguro
Use o Princípio do Mínimo Privilégio (POLP)Dê a qualquer um dos usuários do seu site a menor quantidade de acesso possível. Se você tiver um redator de conteúdo, por exemplo, não é necessário fornecer a ele uma conta de administrador - um usuário Editor funcionará bem. Não compartilhe sua conta a menos que seja absolutamente necessário e, se o fizer - altere sua senha assim que a pessoa a quem você a deu não precisar mais dela.
Não compartilhe seus detalhes de hospedagem também, a menos que seja absolutamente necessário.
Não use temas e plugins WordPress anulados (baixados ilegalmente)
Em algum momento, pode se tornar uma tentação economizar algum dinheiro e baixar um plugin ou tema não licenciado. Nesse caso, você pagará de outra forma - provavelmente com o posicionamento de um backdoor no seu WordPress. Os hackers geralmente ocultam links de spam ou códigos maliciosos nos itens não licenciados e os oferecem para download gratuito.
Evite-os a qualquer custo e se você encomendar um site ou funcionalidade, certifique-se de confirmar com o desenvolvedor se tudo está devidamente licenciado.
Pensamentos finais
Considere o tempo (e fundos) que você gastará para proteger seu WordPress como outro investimento comercial crítico. Consertar um site invadido custará consideravelmente mais - no caso mais infeliz, pode até custar seu negócio. Seguir este guia não garantirá 100% de proteção contra ataques maliciosos, mas diminuirá significativamente as chances de isso acontecer.Você acha que algum dos conselhos oferecidos é difícil de seguir? Perdemos algo importante? Mande um ping para nós nos comentários, adoraríamos saber sua opinião!
Ou se você estiver pronto para mudar para a hospedagem WordPress super segura do Kualo, confira nossos planos aqui.