Como proteger um site wordpress? – 10 métodos eficazes

Como proteger o site wordpress? Você investiu muito tempo e esforço para construir seu site e provavelmente dedicou ainda mais tempo e esforço para mantê-lo atualizado. Seu site pode até ser necessário para sua sobrevivência – você precisa desse adorável dinheiro em dólar para manter sua empresa à tona.

Então, vamos ao que interessa quando se trata de segurança.

O WordPress é uma plataforma excelente e segura pronta para uso, mas há muito mais que você pode (e deve!) fazer para manter seu site protegido contra indivíduos nefastos. Muitos desses aprimoramentos de segurança são simples de implantar e podem ser concluídos manualmente em questão de minutos. Outros requerem apenas a instalação de um determinado plugin.

Neste artigo, mostrarei dez maneiras alternativas de fortalecer as defesas da sua fortaleza WordPress. Mas primeiro, vamos nos aprofundar um pouco mais no motivo pelo qual a segurança do site é importante para você.

Por que tomar medidas para proteger seu site WordPress é vital

Escolher o WordPress como sua plataforma é um ótimo lugar para começar se você deseja desenvolver um site seguro (um óbvio “não duh”). Não é apenas uma plataforma versátil e poderosa para criar sites, mas também é extremamente segura imediatamente.

Como os desenvolvedores do WordPress estão preocupados com a segurança, eles estão comprometidos em “proteger” a plataforma principal ao máximo. Eles também fornecem atualizações e patches relacionados à segurança regularmente, que são baixados e implantados automaticamente em seu site. Como resultado, seu site estará bem preparado para lidar com quaisquer novos perigos que surgirem.

De fato, nenhuma plataforma pode garantir segurança completa. Os hackers estão trabalhando duro tentando invadir até mesmo os sites mais seguros (se ao menos pudessem utilizar suas habilidades para o bem, amirita?) WordPress é popular o suficiente para ser um alvo regular porque alimenta mais de 30% da internet.

Não é preciso dizer que, se os bandidos conseguirem entrar no seu site, eles podem causar muitos danos.

Eles podem, por exemplo, roubar ou comprometer informações confidenciais, instalar malware, modificar seu site para atender às suas demandas ou até mesmo derrubá-lo completamente. Isso é ruim para você e seus usuários e, se você administra um negócio, pode resultar em perda de receita e clientes.

Isso não é nada bom.

Tomar precauções extras para proteger seu site WordPress é fundamental. Você vai querer dedicar a mesma quantidade de tempo e atenção a este projeto como você fez para criar seu site em primeiro lugar (se não mais). Felizmente, caro leitor, existem muitas maneiras básicas e rápidas de fortalecer a segurança do seu site, bem como algumas estratégias mais avançadas que você pode usar.

Como proteger o site wordpress?

10 ideias úteis para manter seu site mais seguro e minimizar as possibilidades de ser invadido no restante deste artigo. Além disso, enviarei a você a direção correta para cada estratégia.

Você não precisa realizar tudo nesta lista – embora certamente possa – quanto mais ações você tomar para proteger seu site, menor será a probabilidade de enfrentar uma tragédia no futuro.

1. Use um host de qualidade

Seu host pode ser considerado a “rua” do seu site na Internet; é onde seu site “mora”.

A qualidade da base inicial do seu site é importante de várias maneiras, assim como um bom distrito escolar é importante para o futuro do seu filho (é o que dizem; acabei bem).

Uma empresa de hospedagem respeitável pode afetar o funcionamento do seu site, o tamanho que ele pode expandir e até mesmo a classificação nos mecanismos de pesquisa. Os principais hosts fornecem uma ampla variedade de recursos úteis, excelente atendimento ao cliente e um serviço específico da plataforma.

Seu host, como você deve ter previsto, pode ter um impacto considerável na segurança do seu site. Escolher um serviço de hospedagem confiável tem várias vantagens de segurança, incluindo:

• Um bom host manterá seu serviço, software e ferramentas atualizados para responder às ameaças mais recentes e evitar violações de segurança.
• Vários recursos de segurança direcionados, como certificados SSL/TLS e proteção contra DDoS, são frequentemente oferecidos por servidores web. Você também deve ter acesso a um Web Application Firewall (WAF), que o ajudará a monitorar e bloquear as principais ameaças ao seu site.
• Se você for hackeado, seu provedor da Web quase certamente fornecerá um mecanismo para fazer backup do seu site (e, em algumas circunstâncias, até fará isso por você), permitindo que você restaure rapidamente uma versão anterior estável.
• Se o seu host fornecer suporte confiável e 24 horas por dia, você sempre terá alguém a quem recorrer se tiver um problema relacionado à segurança.

Essa lista deve servir como um ponto de partida decente para encontrar um host para seu novo site ou se você estiver pensando em mudar de provedor. Você vai querer escolher um que tenha todos os recursos e funcionalidades de que você precisa, bem como um histórico de confiabilidade e alto desempenho.

DreamPress é uma hospedagem específica do WordPress que é rápida, confiável, escalável e segura. O DreamPress vem com um certificado SSL/TLS pré-instalado e um WAF dedicado com regras projetadas especificamente para proteger sites WordPress e evitar tentativas de hackers. Sem custo extra, você também terá backups automatizados, suporte 24 horas por dia, 7 dias por semana, de profissionais do WordPress e Jetpack Premium, um plugin que pode adicionar uma série de proteções extras de segurança ao seu site.

Você poderá relaxar sabendo que seu site está seguro com o DreamPress. Mesmo que nosso serviço de hospedagem cuide de muitos dos procedimentos de aprimoramento de segurança a seguir, recomendamos que você continue lendo para descobrir quais precauções adicionais você pode tomar.

Afinal, crianças, a segurança vem em primeiro lugar!

Host da Web Sugerido - Host Azul

2. Mude seu site para HTTPS

Vamos discutir os certificados SSL/TLS com mais detalhes. Isso permite que você atualize seu site para HTTPS (HyperText Transfer Protocol Secure), uma versão mais segura do HTTP. Mesmo que você nunca tenha ouvido falar desses termos antes, eles são conceitos de segurança vitais para serem compreendidos.

HTTP é o protocolo de transporte de dados entre seu site e qualquer navegador que tente acessá-lo. Quando um visitante clica em sua página inicial, esse protocolo envia todo o seu conteúdo, mídia e código do site para a localização do visitante.

Embora isso seja, sem dúvida, necessário, levanta algumas preocupações de segurança. Os maus atores podem tentar interceptar dados em trânsito e utilizá-los por seus próprios motivos nefastos.

Este é um problema que o HTTPS resolve! Ele realiza a mesma coisa que o HTTP, mas também criptografa os dados do seu site à medida que viaja do ponto A ao ponto B, dificultando o acesso.

Inicialmente, o HTTPS era utilizado principalmente para sites que lidavam com dados confidenciais de clientes, como números de cartão de crédito. No entanto, está se tornando mais prevalente em todos os sites, e grandes nomes como WordPress e Google têm pressionado para que seja amplamente adotado.

Você precisará de um certificado SSL/TLS para converter seu site em HTTPS. Isso informa aos navegadores que seu site é legítimo e que os dados nele contidos estão devidamente protegidos. Certos sites, como o Let's Encrypt, também fornecerão um gratuitamente.

Como parte do seu pacote de hospedagem, um bom host geralmente inclui um certificado SSL/TLS. Na verdade, todos os nossos planos de hospedagem na DreamHost incluem um certificado Let's Encrypt grátis!

Você só precisará implementar HTTPS depois de colocar um certificado SSL/TLS em seu site. Seu anfitrião pode cuidar disso para você, mas também é algo que você pode lidar sozinho. Seu site será construído utilizando HTTPS desde o início se você escolher o DreamPress, a limusine estendida da hospedagem. Que os jogos comecem!

Para comprar um certificado SSL clique aqui

3. Crie credenciais de login seguro

Isso torna mais difícil para um estranho assustador obter acesso ao seu site. Você, sem dúvida, escolheu nomes de usuário e senhas fortes para outras contas na internet, então não é um grande problema fazer o mesmo para o seu site WordPress.

Você terá a opção de estabelecer um nome de usuário e senha de login ao criar seu site. O nome de usuário será admin por padrão, mas você pode alterá-lo se quiser (e provavelmente deve). No entanto, como existem várias maneiras de as pessoas descobrirem seu login do WordPress, você pode escolher a opção padrão, se quiser.

Sua senha, por outro lado, é crítica e você deve escolher uma senha forte. Uma reviravolta recente sobre como escolher uma senha forte ocorreu, com o conselho de uma simples frase de quatro palavras eclipsando a mistura tradicional de letras, números e símbolos aleatórios. É uma técnica que já existe há algum tempo em alguns círculos.

Se toda essa conversa sobre senhas está fazendo sua cabeça girar, recomendamos usar o próprio gerador de senhas do WordPress, que gera uma senha (quase) impenetrável diretamente no back-end do WordPress. Basta anotar suas credenciais em algum lugar seguro, como um gerenciador de senhas criptografado, para não esquecê-las.

Você ainda pode atualizar suas credenciais de login se já criou seu site e usou credenciais menos do que ideais no início. Você pode alterar seu nome de usuário criando uma nova conta, dando a ela status de administrador e atribuindo todas as suas coisas a ela antes de excluir a antiga.

Para alterar sua senha, vá para Usuários > Todos os usuários no painel de administração do WordPress, clique no seu nome de usuário e altere-o na tela Editar usuário.

4. Ative um firewall de aplicativo da Web

Você provavelmente conhece o conceito de firewall, que é um programa que ajuda a proteger seu computador contra vários tipos de ataques maliciosos. Você quase certamente tem um firewall instalado no seu PC. Um Web Application Firewall (WAF) é um tipo de firewall projetado especificamente para proteger sites. Servidores, sites específicos ou grandes grupos de sites podem ser protegidos.

Um firewall de aplicativo da web (WAF) em seu site WordPress atuará como um firewall entre seu site e o resto da Internet. Um firewall observa comportamentos suspeitos, detecta ataques, vírus e outras ocorrências indesejadas e bloqueia qualquer coisa que considere perigosa. #ganhando

Se você escolheu nosso pacote DreamPress, não precisará instalar um firewall adicional. O DreamPress vem com um firewall de aplicativo da Web (WAF) integrado que varre seu site em busca de riscos e impede que indivíduos e programas não autorizados obtenham acesso. Não há necessidade de você tomar nenhuma ação.

Nosso serviço interno de detecção de malware, DreamShield, também está disponível através do DreamHost. Analisaremos seu site semanalmente em busca de códigos perigosos se você ativar o DreamShield em sua conta de hospedagem. Se descobrirmos algo questionável, enviaremos um e-mail imediatamente.

5. Implemente a autenticação de dois fatores

Há mais uma abordagem a ser abordada antes de prosseguirmos: autenticação de dois fatores (que também passa pela autenticação de duas etapas e uma variedade de outros nomes semelhantes). A palavra refere-se ao processo de duas etapas que você terá que passar para fazer login no seu site. Isso leva um pouco mais de tempo de sua parte, mas ajuda bastante a impedir que hackers entrem em seu sistema.

A autenticação de dois fatores envolve a confirmação do seu login usando um smartphone ou outro dispositivo. Para começar, acesse seu site WordPress e faça login com seu nome de usuário e senha. Um código exclusivo será entregue ao seu dispositivo móvel, que você deve inserir para concluir o processo de login. Isso permite que você autentique sua identidade demonstrando que tem acesso exclusivo a algo que possui, como um telefone ou tablet.

A autenticação de dois fatores, como muitos outros recursos do WordPress, é simples de configurar usando um plug-in. A autenticação de dois fatores é uma boa opção porque foi projetada por desenvolvedores respeitáveis, é compatível com o Google Authenticator e permite integrar facilmente essa funcionalidade ao seu site.

Outra opção é o plugin Two-Factor, que é bem conhecido por sua confiabilidade e foi desenvolvido principalmente por desenvolvedores do núcleo do WordPress. A curva de aprendizado é um pouco íngreme, mas dará conta do recado e é muito seguro, como acontece com qualquer plugin em sua categoria. Você também pode conferir a solução premium do tipo Clef do Jetpack se estiver preparado para gastar um pouco de dinheiro.

Seja qual for o caminho que você tomar, certifique-se de consultar sua equipe com antecedência, se necessário, pois você precisará de seus números de telefone e outros detalhes para começar. Sua página de login agora está protegida e pronta para uso.

6. Adicione novos plugins e temas com cuidado (e atualize-os com frequência)

Um dos melhores aspectos da utilização do WordPress é a pronta disponibilidade de temas e plugins. Com essas ferramentas úteis, você pode personalizar a aparência do seu site e adicionar praticamente qualquer recurso ou funcionalidade que possa imaginar.

No entanto, nem todos os plugins e temas são criados iguais.

Desenvolvedores que não são cuidadosos ou não têm o conhecimento necessário podem produzir plugins que não são confiáveis, inseguros ou simplesmente ruins. Eles podem empregar técnicas de codificação de má qualidade que expõem falhas de segurança que os hackers podem explorar prontamente, ou podem interferir involuntariamente em funções críticas.

Tudo isso significa que você deve ser extremamente cauteloso com os temas e plugins que instala em seu site. Cada um deve ser cuidadosamente examinado para verificar se é uma alternativa confiável que não prejudicará seu site ou causará problemas. Existem inúmeras considerações a serem feitas, no entanto, as diretrizes a seguir podem ajudá-lo a selecionar ferramentas de alta qualidade:

• Veja as avaliações e classificações dos clientes para ver se outras pessoas tiveram uma experiência positiva com o plugin ou tema em questão.
• Verifique se o plugin ou tema foi atualizado recentemente. Se já se passaram mais de seis meses, há uma boa possibilidade de que não seja tão seguro quanto poderia ser.
• Instale novos plugins e temas, um de cada vez, para saber o que deu errado se algo der errado. Além disso, faça um backup do seu site antes de fazer qualquer alteração.
• Plugins e temas devem ser obtidos de fontes respeitáveis, como os diretórios de temas e plugins do WordPress.org, ThemeForest e CodeCanyon, e sites de desenvolvedores respeitáveis.

Por fim, depois de adicionar os plugins e temas que deseja ao seu site, seu trabalho não está concluído.

Você também precisará mantê-los atualizados para garantir que funcionem efetivamente juntos e estejam protegidos dos perigos mais recentes. Felizmente, isso é simples: basta acessar o painel do WordPress, procurar as notificações em vermelho indicando que há temas e/ou plugins com atualizações disponíveis e clicar em atualizar agora ao lado de cada um.

Você também pode atualizar todos os seus plugins de uma vez escolhendo todos eles e clicando no botão atualizar, que pode ser encontrado aqui ou no painel do WordPress. Essa é uma opção mais rápida, mas lembre-se de que atualizar todos eles de uma vez pode tornar mais complexo o diagnóstico de quaisquer problemas que se desenvolvam como resultado das alterações. Isso não deve ser um problema se você usar apenas plugins e temas confiáveis.

Antes de prosseguirmos, é importante observar que você também deve manter o WordPress atualizado. Patches menores e atualizações de segurança serão aplicados automaticamente, mas mudanças maiores podem precisar ser implementadas manualmente (novamente, isso é muito simples de fazer). Isso deve ser óbvio, mas o DreamHost cuida dessas atualizações para você, para que você não precise.

Lembre-se de que manter o WordPress, ou qualquer um de seus temas ou plugins, desatualizado é um perigo que você deve evitar.

7. Configure suas permissões de arquivo

Um conjunto de pastas e arquivos contém muitas informações, dados e conteúdo em seu site WordPress. Cada um recebe um nível de permissões e é estruturado em uma estrutura hierárquica. As permissões em um arquivo ou pasta do WordPress controlam quem pode visualizá-lo e modificá-lo, e podem ser configuradas para permitir que qualquer pessoa, apenas você ou quase qualquer coisa entre eles.

No WordPress, as permissões de arquivo são representadas por um número de três dígitos, com cada dígito tendo um significado diferente. O primeiro dígito representa um usuário individual (o proprietário do site), o segundo dígito representa um grupo (por exemplo, os membros do seu site) e o terceiro número representa o planeta inteiro. O próprio número indica que o usuário, grupo ou o mundo inteiro:

• 0: Não tem permissão para visualizar o arquivo.
• 1: O arquivo só pode ser executado.
• 2: O arquivo pode ser editado.
• 3: O arquivo pode ser editado e executado.
• 4: O arquivo pode ser lido.
• 5: O arquivo pode ser lido e executado.
• 6: O arquivo pode ser lido e editado.
• 7: O arquivo pode ser lido, editado e executado.

Portanto, se um arquivo tiver um nível de permissões de 640, isso implica que o usuário principal pode lê-lo e editá-lo, o grupo pode lê-lo, mas não alterá-lo, e todos os outros não podem acessá-lo. Isso pode parecer muito complicado, mas é fundamental garantir que cada indivíduo tenha acesso apenas aos arquivos e pastas em seu site que você deseja que eles tenham.

O WordPress sugere dar permissões de diretórios de 755 e permissões de arquivos de 644. Você ficará bem se seguir essas regras, embora possa criar qualquer combinação que escolher. Apenas tenha em mente que ninguém deve ter mais acesso do que o necessário, especialmente para arquivos críticos.

Você também deve ter em mente que as melhores configurações de permissões variam dependendo do seu serviço de hospedagem, portanto, pergunte ao seu host o que eles recomendam.

Nota: A alteração de seus níveis de permissão deve ser feita com cautela; os números impróprios (como o temido 777) tornarão seu site indisponível.

8. Mantenha o número de usuários em seu site baixo

Você não precisa se preocupar com esta etapa se estiver executando seu site WordPress sozinho. Apenas certifique-se de que ninguém mais tenha acesso ao seu site para que você seja o único que possa fazer atualizações.

Muitos humanos, por outro lado, gostam de interagir com os outros e eventualmente adicionarão mais de um usuário ao seu site. Você pode permitir que outros autores adicionem conteúdo ou pode precisar de assistência para editar e gerenciar seu site. Também é possível que você tenha uma equipe inteira de usuários que entrarão regularmente no seu site WordPress e farão modificações por conta própria.

Isso pode ser vantajoso de várias maneiras, e às vezes é até necessário. É, no entanto, um possível problema de segurança.

Quanto mais pessoas você convidar para o seu site, mais provável é que alguém cometa um erro de dedo gordo ou cause problemas simplesmente por ser um idiota. Como resultado, é uma boa ideia manter o número de usuários do seu site o mais baixo possível e permitir sua expansão. Tente manter o número de administradores e outras funções de usuário com altos privilégios no mínimo.

Aqui estão mais algumas ideias:

• Limite as permissões de cada usuário apenas àquelas que são necessárias para que eles executem seu trabalho. Obviamente, os usuários devem ser encorajados a escolher senhas fortes (lembra do nº 3?).
• Se possível, mantenha um administrador e um pequeno número de editores.
• Permitir que os usuários que deixaram o site ou que não precisam mais de acesso sejam iniciados.
• Considere instalar o Members, um plugin que fornece uma interface de usuário para o sistema de funções e recursos do WordPress.

9. Acompanhe sua atividade na área de administração

É uma boa ideia acompanhar o que seus usuários estão fazendo no site se você tiver muitos deles. O rastreamento de atividades em sua área de administração do WordPress pode ajudá-lo a identificar quando outros usuários estão fazendo coisas que não deveriam, bem como se usuários ilegais obtiveram acesso.

Quando uma alteração estranha é realizada ou algo suspeito é instalado, você vai querer descobrir quem é o responsável. Os plugins cuidarão de tudo.

Você precisará localizar uma solução sob medida porque a maioria dos principais plug-ins de segurança não inclui esse recurso pronto para uso. O Simple History, que cria um log simplificado e fácil de entender de mudanças e eventos significativos em seu site, se você quiser adotar uma abordagem prática, faz jus ao seu nome ao gerar um log simplificado e fácil de entender de mudanças e eventos essenciais em seu site.

O WP Security Audit Log, que acompanha quase tudo o que acontece em seu site e oferece muitos complementos premium úteis, é outra opção para recursos de rastreamento mais envolvidos.

É uma boa ideia verificar se há algo fora do comum no log depois de instalar um plug-in apropriado. Verifique a atividade mais recente se algo inesperado acontecer em seu site ou se bugs aparecerem inesperadamente.

10. Faça backup do seu site regularmente

Se eu dissesse que existe uma abordagem única para proteger seu site de todas as ameaças, estaria mentindo. Mesmo se você seguir todas as recomendações desta lista, ainda há o perigo de que seu site seja invadido.

Hackers são mestres em seu ofício.

Tudo o que você precisa fazer agora é vencê-los em seu próprio jogo. Um plano de segurança completo envolve pensar no que você fará se o pior acontecer, mesmo enquanto trabalha para evitá-lo.

A estratégia mais fácil e melhor para proteger seu site em caso de desastre é fazer backup regularmente. Você pode restaurar seu site para o estado em que estava antes de ser invadido ou danificado se tiver um backup recente. Isso irá ajudá-lo a resolver o problema e seguir em frente o mais rápido possível.

Naturalmente, você deve ser cauteloso sobre como criar e usar backups. As sugestões a seguir são um excelente ponto de partida:

• Mantenha muitos backups à mão. Como seu backup mais recente pode ter falhas que você ainda não viu, é uma regra prática manter pelo menos três backups recentes disponíveis o tempo todo.
• Os backups devem ser mantidos em vários locais, incluindo armazenamento em nuvem e discos rígidos convencionais.
• Crie e mantenha um agendamento de backup regular. Embora existam muitas dicas confiáveis ​​que você pode seguir, a frequência e o tempo dependem inteiramente de você.

É sempre uma boa ideia fazer um backup extra do seu site antes de fazer qualquer alteração nele, além do seu plano de backup regular. Portanto, verifique se você tem um backup recente antes de aplicar qualquer uma dessas abordagens de aprimoramento de segurança.

Segurança do WordPress: Palavras finais

Fato verdadeiro: se seu site for invadido, você passará horas (se não dias!) reparando os danos. Você pode perder dados permanentemente ou ter suas informações pessoais — ou, pior ainda, os dados de seus clientes — comprometidos.

É por isso que você deve dedicar muito tempo e esforço para garantir que tal circunstância nunca ocorra. Caso contrário, ao tentar restaurar o dano, você provavelmente perderá negócios e dinheiro significativos.

Essas dez dicas de segurança do WordPress devem ser úteis. Algumas das mudanças são pequenas. Outros, como mudar para HTTPS ou adicionar um certificado SSL, têm impacto em todo o seu site. Você também vai querer garantir que seu site esteja hospedado em um servidor WordPress seguro.