Como proteger seu site WordPress de hackers: a lista completa

Publicados: 2019-02-04

O WordPress sendo uma plataforma de código aberto, é bastante vulnerável. Embora não seja necessário muito conhecimento técnico para desenvolver e executar um site através da plataforma WordPress, você deve estar ciente de certos tópicos técnicos, se desejar fortalecer completamente seu site direcionado ao WordPress. Aqui estou escrevendo um guia tutorial sobre como proteger seu site WordPress contra hackers e tentarei fornecer a lista completa de métodos e ferramentas de trabalho em que você pode confiar para fornecer a segurança necessária.

Se o WordPress não estivesse disponível com um atributo de código aberto, nunca poderia ter sido tão popular (discutível? Discuta nos comentários) e, como não tem custo, você não pode esperar nenhum suporte e segurança rígidos dos desenvolvedores, embora proteção básica é fornecida do lado deles, que inclui uma notificação piscando para atualizar o site para a versão mais recente disponível do WordPress com cada versão recém-lançada.

Leia também:

  • Como: Proteger seu login do WordPress contra hackers
  • Como proteger com senha a página ou o site do WordPress?
  • Marca de confiança McAfee SECURE para aumentar a segurança do comércio eletrônico

Índice

Proteja seu site WordPress de hackers

Para aproveitar a proteção básica, atualizar e manter o site sempre com a versão estável mais recente disponível é bom o suficiente, mas ainda há muitas vulnerabilidades que você deve cuidar. Aqui estão as correções uma a uma e elas exigem um nível de conhecimento técnico para serem trabalhadas.

Nº 1 ID de usuário e senha

O WordPress fornece uma proteção padrão para todos os desenvolvedores de sites em sua plataforma, mantendo a área do Painel protegida com uma combinação de ID de usuário e senha. Essas credenciais são necessárias para fazer login na área do Dashboard, onde todas as opções de controle estão disponíveis para o desenvolvedor.

Então esta é a primeira coisa que você tem que cuidar. Certifique-se de que a combinação de senha que você está usando seja única e boa o suficiente para ser extremamente difícil para qualquer um adivinhar. Experimente uma combinação de letras maiúsculas, letras minúsculas, números e símbolos especiais para criar a melhor senha para o seu site favorito.

Além disso, exclua o ID do usuário admin que é criado automaticamente quando o script do WordPress é instalado. Excluir este perfil é muito fácil. Basta ir para a seção Usuário através do Painel e criar um novo ID de usuário com privilégios de administrador. Depois que um novo for criado, você poderá excluir facilmente o ID do administrador com alguns cliques simples na mesma seção.

A exclusão do usuário padrão e a manutenção da senha rígida, que não é tão fácil de adivinhar, aumenta ainda mais o nível de segurança oferecido ao seu site por meio dessa proteção básica oferecida pela plataforma.

#2 Limite as tentativas de login

O WordPress, por padrão, oferece um número ilimitado de tentativas de ID de usuário e senha para invadir a área do painel. Agora você precisa remover de alguma forma esse atributo ilimitado e torná-lo limitado. Basta instalar um plugin chamado Limit Login Attempts e ele fará o trabalho muito bem.

Uma vez instalado e ativado, você pode definir o número de tentativas fornecidas para acessar e tentar credenciais para fazer login no centro de controle do seu site.

Existem muitos softwares e algoritmos gerados (comumente conhecidos como Brute Force Attacks) para funcionar automaticamente e adivinhar a senha de qualquer site criado no WordPress. Você está simplesmente bloqueando todos esses métodos limitando as tentativas de login.

#3 Mantendo-se atualizado com as versões mais recentes

Como já mencionado durante as declarações iniciais acima, manter-se atualizado com as últimas versões disponíveis do script WordPress pode minimizar as chances de se machucar. Mas o script principal não é a única coisa a ser atualizada. Você precisa manter plugins e temas atualizados também.

Além disso, use plugins que são usados ​​e recomendados por usuários em toda a comunidade e também verifique suas avaliações antes de comprar. Quando se trata de seleção de temas, sempre recomendo usar os premium, não apenas porque são seguros, mas também oferecem muitos recursos e experiência do usuário melhores.

#4 Atualizando permissões de arquivo

Faça login na conta de hospedagem e vá para a seção Gerenciador de Arquivos, antes de alterar qualquer coisa, conforme ilustrado abaixo, faça um backup completo de todos os arquivos e pastas.

Pastas como wp-admin e wp-includes devem ser graváveis ​​apenas pela sua conta de usuário. Exceto a pasta wp-content e o arquivo .htaccess , certifique-se de que todas as outras pastas e arquivos sejam graváveis ​​apenas por sua conta no servidor de hospedagem.

Você pode fazer isso alterando as permissões de arquivos das pastas para o código 755 e dos arquivos para o código 644.

Esta é uma maneira fácil de proteger arquivos e pastas que executam o site WordPress para você de serem expostos e regraváveis ​​pelo mundo. Esta etapa específica aqui exige que você esteja ciente de como lidar bem com o servidor, caso contrário, peça ao sistema de suporte do host para fazer isso por você.

#5 Protegendo o wp-config.php

Dentro do gerenciador de arquivos, um arquivo wp-config.php pode ser encontrado. Agora, se o script do WordPress estiver instalado na pasta raiz do seu servidor, você precisará mover esse arquivo específico para fora dessa pasta raiz. Certifique-se de mover apenas uma única pasta e manter o arquivo lá.

Atualize também as permissões de arquivo para este arquivo específico para 440 ou 400, o que significa que somente você pode ler e editar este arquivo.

Proteger esse arquivo específico por essas duas maneiras pode trazer alterações mínimas ao nível de segurança, mas ainda fará a diferença no momento da urgência.

#6 Escolha um host conhecido e popular

Quando se trata de obter um serviço premium, não devemos pensar muito na hora de pagar por ele. O mesmo caso é aplicado aqui. Eu recomendo que cada um de vocês escolha sabiamente o host onde deseja armazenar arquivos e pastas do seu site WordPress.

Certifique-se de verificar suas avaliações e pergunte aos usuários que já estão com eles ou foram seus clientes. É assim que você conhecerá a revisão real antes de comprar seus serviços. Hosts como HostGator, BlueHost, InMotion, etc, são players populares neste setor e têm uma reputação bem conhecida por fornecer interface segura há anos.

#7 Verificar malwares

O plug-in WordFence, quando instalado, verifica todos os arquivos e pastas por trás da existência do seu site WordPress para procurar a presença de qualquer tipo de malware. Limpar um site e mantê-lo seguro antes de uma tentativa de ataque é sempre melhor do que mexer na limpeza depois de se machucar.

Embrulhar

Observe que mesmo seguir todos esses métodos para proteger seu site WordPress contra hackers não garante que ele esteja completamente protegido. Os hackers estão sempre tentando exibir seus recursos invadindo sites completamente protegidos.

Mas isso não significa que você deve servir o futuro do seu site para eles com uma taça de vinho. Portanto, mantenha o site protegido e espere o melhor. Também manter o backup é sempre uma opção melhor. Mantenha-se atualizado com as vulnerabilidades e medidas de segurança em todo o mundo para o WordPress. Vejo todos vocês nos comentários.

*última atualização em 27/02/2019