Dicas essenciais para manter seu site WordPress seguro
Publicados: 2016-02-19Vamos encarar! Ninguém gosta de ter seu site ou perfil social hackeado. Mas aqui estão dois cenários diferentes. Deixe-me explicar tudo para você.
Ter um perfil social hackeado significa perda de dados pessoais e, o mais importante, colocá-los em mãos erradas. Agora, se você puder recuperar a conta, somente você ou seus entes fechados serão afetados.
Mas em outro caso, quando seu site é invadido, você primeiro perde o perfil autêntico que criou como blogueiro ou profissional de marketing on-line e isso também afeta seus ganhos.
Eu acho que o primeiro cenário é bem direto e claro para você, mas o segundo tem muito por baixo. Não se preocupe, chegaremos ao WordPress e compartilharei algumas dicas para torná-lo completamente seguro, mas precisamos entender o básico primeiro e entrar na mesma página.
Após os efeitos dos hacks de sites
Vamos começar com a lista de e-mail primeiro. Todo blogueiro gosta de criar listas de e-mail e isso cria uma confiança entre os leitores e também traz mais tráfego e conversão. Agora, uma vez que seu site é invadido, esse culpado desconhecido pode anotar sua lista e enviar conteúdo malicioso ou talvez aquele que tenta vender itens errados (o que você nunca teria feito). Muito em breve, o provedor ISP saberá que o e-mail anexado ao seu domínio está enviando e-mails com spam e eles o bloquearão. No futuro, toda vez que você envia um novo e-mail, ele vai direto para a pasta Spam, que ninguém se atreve a abrir.
Agora, chegando ao segundo cenário, onde isso afeta o dinheiro que seu blog está ganhando. Bem, uma vez que você perde o perfil autêntico entre seus assinantes de e-mail, eles não vão mais acreditar em suas palavras e vão parar de comprar o que você tem recomendado e contando dinheiro até agora. Além disso, se o site cair, o tráfego cairá, o que faz com que os ganhos cheguem ao chão.
Finalmente, você pode estar trabalhando muito para se recuperar dessas duas grandes perdas e uma terceira ocorrerá simultaneamente. No momento em que o site foi invadido, você começa a investir o tempo crucial no lado errado. Sim, para descobrir o que deu errado, então tente tudo o que puder para consertar e minimizar os danos. Agora, acho que não preciso lembrá-lo de como o tempo é valioso para todos nós.
Para garantir a segurança e manter seu site, esforços, ganhos e tempo no caminho certo, você precisa entender um fato. Este fato vem associado a todo site WordPress, ou seja, o WordPress é uma plataforma de código aberto.
Mesmo que não estivesse disponível gratuitamente, um hacker experiente poderia tê-lo hackeado, mas disponibilizá-lo como código aberto torna seu trabalho simples e direto. Ainda assim, os desenvolvedores por trás do script WordPress trabalharam muito para manter as coisas fortes, para que não pareça um pedaço de bolo para mãos erradas.
Algumas das etapas que você pode seguir para fortalecer a instalação do WordPress são extremamente simples e parecem óbvias e são a prova completa para proteger seu site contra hackers ou ataques normais. Mas também compartilharei alguns métodos de alto nível que você pode aplicar e minimizar as chances de ser hackeado.
Nota – Nenhum site único na Internet é totalmente protegido contra hackers. Você precisa entender esse fato! Mas, se você fortalecer a proteção, estará pelo menos pedindo a esse hacker em algum lugar para usar o melhor de seu método e esforços.
Métodos essenciais para manter seu site WordPress seguro
Com base na dureza, estou dividindo os métodos. Então, vamos começar com os óbvios. Você também pode chamá-los de essenciais.
#1 Mantenha o WordPress atualizado
Como eu disse acima, a equipe por trás do script WordPress já está ciente da desvantagem no departamento de segurança e está muito interessada em manter seu produto seguro. Para garantir isso, eles estão sempre trabalhando para melhorar seu produto e lançando atualizações técnicas e de segurança regularmente.
Agora, é seu dever manter seu site atualizado a cada novo lançamento. Você pode pular uma atualização técnica menor, mas se for de segurança, é altamente recomendável agir. Para sua informação, antes de tomar a decisão, certifique-se de que todos os plugins que você está usando são compatíveis com essa versão recém-lançada.
#2 Use uma senha de administrador forte
Quem foi apresentado ao básico do WordPress e ao painel sabe que é possível acessar a parte de back-end facilmente acessando a página de login /wp-admin. Agora, você não pode mudar esse fato, mas o que você pode fazer é usar uma senha forte que é difícil de adivinhar e ainda mais difícil para um software prever através de alguns algoritmos (sim, há muito disponível para fazer essas previsões). Você também precisa excluir o usuário Admin padrão e criar um novo com nome exclusivo e uma senha forte definida para acompanhá-lo.
Quando digo 'forte' quero dizer que você precisa fazer uma senha com uma combinação de letras pequenas, letras grandes, números e caracteres especiais. Atualmente, o próprio WordPress sugere uma senha forte que é gerada pelo sistema, mas difícil de lembrar para humanos. Portanto, crie sua própria senha forte e lembre-se ou use uma do sistema oferecido e mantenha-a segura e tente memorizar.
#3 Remova a versão do WordPress
A seguir, cada instalação do WordPress mostra a versão exata que está sendo usada. Você pode visualizar a versão do script usado em qualquer site que ainda não o tenha ocultado. Agora, uma vez que um hacker está ciente da versão do WordPress, torna-se muito fácil para ele iniciar o trabalho de postagem. Por outro lado, se a versão não for confirmada, ele terá que pesquisar muito para encontrar a versão e começar a atacar as vulnerabilidades que a acompanham.
Portanto, para excluir a versão do WordPress, que não afeta a funcionalidade de forma alguma, você precisa usar um plugin chamado Remove Version ou seguir as instruções compartilhadas por Jeff Starr em seu blog.
#4 Use um host melhor e confiável
Se você escolheu um host do qual ninguém nunca ouviu falar e não está oferecendo um serviço de qualidade atendendo aos padrões industriais, então você fez uma escolha errada desde o início. Agora, você precisa primeiro fazer um backup completo do seu site, tanto do front-end quanto do banco de dados, e depois transferi-lo para um host melhor e confiável.
Se o seu orçamento for muito baixo, você poderá escolher entre Bluehost, iPage, ASmallOrange, etc., mas se seu orçamento permitir avançar, você poderá escolher DreamHost, InMotion, SiteGround ou qualquer outro nome conhecido de sua escolha. Manter um bom host no back-end garante segurança de alto nível para o servidor em que seu site reside e também um guarda dedicado para evitar que as coisas aconteçam. Em suma, nunca opte por um host que você não encontrou boas críticas.
#5 Mantenha sempre um backup atualizado
Conforme mencionado no meu último ponto, é necessário manter um backup da versão atualizada do site. Dessa forma, mesmo que o hacker tenha acesso ao seu site, você pode remover tudo e todos do servidor e atualizar o site usando o backup da última melhor versão.
Esta não é uma forma de proteger o site, mas certamente ajuda a manter o site vivo após o desastre. Além disso, o site WordPress tem muitos problemas técnicos e, nesses casos, seu site pode cair. Portanto, ter um backup da última melhor versão pode ajudá-lo a ficar do lado melhor.
Maneiras super fortes de manter o WordPress protegido
A seguir, estão os métodos de alto nível que você pode seguir para manter o site WordPress longe de ataques de hackers.
#1 Fique de olho nos plugins
Os plugins são o método mais fácil de injetar um código malicioso no site e o pior é que, se isso acontecer, será feito por suas mãos. Para evitar que você cause danos ao seu site, você precisa verificar as revisões e as páginas de suporte de cada plug-in instalado (ou prestes a ser instalado no futuro).
Não se pode fazer muito sem plugins e, portanto, eles agem como um grande profissional para o script, mas devido a esse efeito colateral, eles também são contados entre os contras. Yu pode ler os prós e contras do WordPress no relatório detalhado postado por David Lockie. Foi publicado há dois anos, mas os pontos que ele mencionou ainda são válidos.
#2 Limite as tentativas de login
Existem plugins para ajudá-lo a conseguir isso e é uma maneira profissional de proteger seu site. Está disponível um mecanismo, mais conhecido como Brute Force Attack, que percorre todas as combinações de senhas possíveis de um site e, finalmente, atinge o resultado. Isso funciona com muita facilidade e o usuário nem precisa ficar olhando para a tela enquanto esse método quebra sua senha, pois é totalmente automático.
Então, como você pode proteger seu site do Brute Force Attack? Bem, a desvantagem desse método é que ele tenta todas as credenciais de login possíveis. Você pode usar essa desvantagem para seu benefício, limitando as tentativas de login. Por padrão, o WordPress permite infinitas tentativas de login em um site. Mas, usando alguns plugins, você pode limitar esses números e reduzi-los para 5 ou 10. Quando um usuário ultrapassar o limite, restrinja esse usuário de acessar o site por um dia inteiro ou talvez algumas horas. Dessa forma, o Brute Force Attack exigirá esforços mais longos para fazer o cracking. Você pode verificar este plugin Login LockDown que parece bom para mim.
#3 Mantenha a página de login oculta
Este é outro método de disfarçar o hacker e ajudar seu site a ficar seguro. Se o hacker não está tentando invadir o servidor e apenas tentando invadir a porta dos fundos do WordPress, ou seja, a página de login, você pode dificultar o trabalho dele movendo a página de login para outro lugar.
Isso pode ser alcançado por um simples plugin Lockdown WP Admin, que oferece até mesmo a autenticação HTTP na página de login. Além disso, o plug-in nunca afeta nenhum outro código relacionado ao login ou segurança do núcleo do WordPress e ainda funciona com precisão.
#4 Use temas que estão sendo executados em código validado
Assim como eu falei para você escolher um servidor confiável e também checar plugins, você precisa conferir e usar temas validados. Os temas são a segunda maneira de injetar um código malicioso no sistema central e, portanto, é altamente recomendável que você use apenas os produtos autênticos e os obtenha de fontes confiáveis. No caso de um tema gratuito, sempre use o catálogo WordPress.org ou você pode obter os pagos ou gratuitos do MyThemeShop, StudioPress, ThemeForest, ElegantThemes e qualquer outro grande player da cidade.
#5 Definir permissões de arquivo/diretório
Bem, se você olhar profundamente no Gerenciador de Arquivos no lado do Servidor, você encontrará um sistema de permissão de Arquivo ou Diretório. Esses códigos simples fecham ou mantêm o acesso aberto, conforme as configurações feitas. Você precisa entender isso e colocar um bloqueio personalizado em seus arquivos e diretórios. Você pode encontrar uma cobertura detalhada sobre o mesmo aqui.
Dica final – “ Nunca acesse site na rede desconhecida.”
Esta é uma dica simples que pode finalmente manter não apenas seu site, mas também os dados pessoais em seu laptop ou smartphone seguros. Nunca se conecte a uma conexão desconhecida que não esteja usando nenhum tipo de criptografia. No caso de usar o Wi-Fi público, mantenha sempre o uso limitado a aplicativos de necessidade e nunca pense em acessar seu site.
Para você
Finalmente, está tudo em suas mãos quais métodos exatos você segue para deixar o site o mais seguro possível. Entendo que seguir todas essas etapas não é um trabalho de um dia e requer muito conhecimento técnico, mas você pode encontrar facilmente um guia dedicado para ajudar a si mesmo ou vídeos no YouTube. No futuro, faremos o possível para criar guias separados sobre os métodos que você acha difícil de seguir. Deixe-nos saber seus pensamentos e comentários na seção de comentários abaixo.