Como conduzir uma auditoria de segurança do WordPress

Publicados: 2021-11-08

Proteger seu site WordPress não é um negócio único. Não importa o quanto você confia em seu plug-in de segurança ou quão completo você foi com o fortalecimento do site, um site seguro hoje não é um site seguro amanhã. Para manter os hackers afastados, você deve realizar regularmente auditorias de segurança do WordPress e preencher as falhas de segurança que encontrar.

As táticas de invasão de sites estão sempre progredindo e com elas também estão as medidas preventivas para manter seu site seguro. Pense nisso como um ciclo. Quanto mais seguro for um site, mais criativos os hackers precisam ser para entrar nele, o que significa que seu site precisa ficar ainda mais seguro e assim por diante.

Procure realizar uma auditoria de segurança do WordPress a cada três meses, pelo menos. Todo mês é melhor e toda semana (ou até diariamente, dependendo da sensibilidade do seu site) é melhor. E, claro, se você achar que há algo errado com seu site, faça uma auditoria de segurança imediatamente. Qualquer um dos seguintes deve levantar uma bandeira vermelha:

  • Seu site está lento e lento de repente.
  • Há uma grande queda no tráfego do site sem motivo aparente.
  • Há novas contas, tentativas de login ou solicitações de “esqueci a senha”.
  • Novos links que você não adicionou estão em seu site.

As etapas a seguir são obrigatórias para manter seu site em ótima forma, em termos de segurança. Com uma lista de verificação em mãos, você simplificará suas auditorias em vez de sobrecarregar.

Uma visão geral da auditoria de segurança do WordPress

Em um ponto ou outro, quase todos os sites do WordPress encontrarão algum tipo de problema de segurança. Um comum é um plugin ou tema que se torna atormentado por uma vulnerabilidade, permitindo que hackers entrem diretamente no seu site. Depois que seu site é invadido, várias coisas podem acontecer:

  • Dados pessoais de clientes roubados
  • Anúncios ilegais e conteúdo exibido
  • Tráfego desviado para outro lugar
  • Dados do WordPress criptografados, excluídos ou vendidos

Isso é muito mais do que uma dor de cabeça ou um site inativo por algumas horas. Hackers podem reter seus dados para resgate. As informações do seu site podem ser vendidas na Dark Web. O Google pode colocar seu site na lista negra por exibir spam em páginas da web. Os clientes podem processá-lo se as informações do cartão de crédito forem roubadas. Outros sites podem ser infectados assim que os hackers tiverem acesso ao seu.

As auditorias de segurança do WordPress identificam essas vulnerabilidades para que você possa corrigi-las imediatamente – antes que um hacker encontre seu caminho. precisam de mais proteção.

Avalie o plug-in de segurança que você está usando

Seu plugin de segurança do WordPress é uma das ferramentas mais importantes para proteger seu site. Certifique-se de que seu plug-in de segurança ainda esteja funcionando das seguintes maneiras:

  • Log de atividades: rastreia os usuários do seu site, incluindo quem fez login e quando, tentativas de login com falha e alterações no site.
  • Firewall: Isso bloqueará bots, hackers e endereços IP que estão tentando entrar em seu site.
  • Tentativas de login: os plug-ins de segurança de qualidade aplicarão senhas fortes, exigirão autenticação de dois fatores e limitarão as tentativas de login.
  • Proteção de login: Isso bloqueia ataques de força bruta, que é quando os hackers tentam diferentes combinações de nome de usuário e senha para fazer login.
  • Verificações e limpezas de malware: Isso deve ser executado diariamente, verificando profundamente o banco de dados, arquivos e pastas do seu site em busca de malware e limpando tudo o que encontrar.
  • Alertas em tempo real: o plugin deve notificá-lo imediatamente se houver algo suspeito acontecendo com seu site.

Ainda não tem um plugin de segurança? Considere obter um para ser sua etapa preliminar em sua auditoria de segurança do WordPress. Reunimos os 6 melhores plugins de segurança do WordPress para escolher.

Teste sua solução de backup do site

Se algo der errado em seu site que seja impossível ou muito complexo de corrigir, ter um backup do WordPress significa que você pode restaurar seu site ao estado anterior antes do problema ocorrer. No entanto, se o backup falhar, você não terá nada para restaurar, o que significa que pode ficar preso a um site infectado ou com defeito. Idealmente, você usará uma solução de backup (seja fornecida pelo seu host ou um plug-in que você usa) que permita testar seus backups, como o BlogVault. Você também pode querer ler nosso artigo com os 6 melhores plugins de backup do WordPress.

Revise sua configuração de administrador e FTP do WordPress

Com o WordPress, você pode ter várias pessoas fazendo login para trabalhar em vários projetos, mas isso não significa que todas as pessoas com login devam ter acesso total ao seu site. E quando se trata de seu cliente FTP, permitir o acesso de várias pessoas significa que elas podem fazer alterações em seu site... bem, tudo.

Ao adicionar um novo usuário no WordPress, você atribui a ele uma função (e pode editar o perfil para alterar sua função também):

auditoria de segurança wordpress

Diferentes funções têm diferentes capacidades. Por exemplo, um Administrador pode acessar todas as ferramentas de administração do site (como alterar o tema ou instalar um plugin), mas um contribuidor só pode escrever e gerenciar suas próprias postagens. Aqui está uma análise abrangente das diferentes funções e suas capacidades.

Para sua auditoria de segurança do WordPress, faça o seguinte:

  • Veja quais usuários do WordPress têm acesso no nível de administrador.
  • Decida se todos esses usuários precisam desse nível de acesso (e se outros que têm acesso limitado devem ser administradores).
  • Reduza as permissões e restrinja o acesso atualizando as funções de usuário para esses indivíduos.
  • Se você não reconhecer os usuários no painel, exclua-os – podem ser contas criadas por um hacker.
  • Algum nome de usuário é simplesmente “admin”? Este é um nome de usuário muito comum e que os hackers geralmente tentam usar para acessar seu site. Crie uma nova conta de usuário para a pessoa e exclua a conta antiga.
  • Exclua as contas de FTP para usuários que não precisam de um nível de acesso tão alto.

Por fim, se o seu site permite membros, você quer ter certeza de que eles realmente precisam criar uma conta ao se inscrever e que sua função padrão não permite acesso de administrador. Vá para Configurações > Geral . Desmarque a caixa ao lado de Qualquer pessoa pode se registrar . Em seguida, selecione a opção apropriada em New User Default Role .

Verifique se o WordPress está atualizado

Você pode ter isso executado automaticamente, mas ainda vale a pena verificar se o WordPress está atualizado para sua versão mais recente. As atualizações não apenas corrigem falhas de segurança – elas também melhoram o desempenho e adicionam recursos. Vá para Painel > Atualizações para ver se uma está pronta.

auditoria de segurança wordpress

Limpe seus plugins e temas

Os plug-ins podem estender a capacidade do seu site, mas também são vulneráveis ​​a ataques, especialmente se não forem atualizados por muito tempo. Desenvolvedores confiáveis ​​ficarão por dentro das vulnerabilidades de seus plugins e lançarão atualizações com patches. Durante a atualização de segurança do WordPress, vá para sua lista de plugins e faça o seguinte:

  • Desative e desinstale quaisquer plug-ins que você não esteja mais usando ou que não reconheça.
  • Atualize quaisquer plugins restantes que tenham atualizações prontas.
  • Se você estiver usando um plug-in que não está recebendo atualizações do desenvolvedor, considere usar outro que tenha a mesma funcionalidade – um plug-in desatualizado é muito vulnerável a problemas de segurança.

Mesmo se você estiver fazendo sua auditoria de segurança do WordPress uma vez por mês, é uma boa ideia verificar seus plugins com mais regularidade para atualizá-los conforme necessário. Além disso, remova todos os temas que você não está usando no momento ou não espera precisar. Assim como os plugins, os temas apresentam o risco de vulnerabilidades de segurança, por isso é melhor manter seu site o mais livre possível deles.

Fique seguro lá fora!

Você não para de trabalhar em outras partes do seu negócio – criando novos produtos ou serviços, comercializando-os, vendendo, etc. A segurança do seu site não deve ser diferente. Um pequeno problema pode levar rapidamente a um hack que ameaça os negócios se você não o detectar a tempo, mas sem saber onde estão as áreas problemáticas, você não saberá quais correções implementar.

Manter seu site seguro é um processo contínuo, e ter uma lista de verificação de auditoria de segurança do WordPress evita o trabalho de tentar lembrar o que fazer todos os meses. Além disso, quanto mais você automatizar com um plug-in de segurança, melhor. Sua lista de verificação de auditoria de segurança do WordPress pode ser muito menor se a maioria do que você precisa fazer é verificar novamente se o plug-in ainda está funcionando corretamente. Temos visões gerais detalhadas de análises de dois principais plugins de segurança, Sucuri e Wordfence.