Como proteger seu site wordpress

Cada criador de site WordPress deve se preocupar com a segurança de seu site, lista negra do Google (lista negra) mais de 10.000 sites todos os dias, pois esses sites foram infectados com malware.

Infelizmente, isso não acontece apenas com os outros. Quanto mais cedo você estiver ciente disso, melhor será para você.

Mesmo que o kernel do WordPress seja muito seguro graças a uma centena de desenvolvedores, o fato é que ele permanece vulnerável, pois é muito visado por hackers porque cerca de 25% dos sites são feitos com WordPress.

Como webmaster, há muitas coisas que você pode fazer para aumentar a segurança do seu site WordPress.

É por isso que decidi escrever este artigo na esperança de que fosse o mais simples e claro possível.

Você verá que há muitos passos que você pode tomar para evitar que seu site seja infectado ou destruído por um hacker.

Embora essas medidas não eliminem completamente os riscos, elas os reduzirão consideravelmente.

Caso seu site já esteja infectado por malwares, recomendamos que você siga estas etapas, isso o guiará na remoção de malwares do seu site.

Então vamos começar.

1: Atualize o WordPress e seus temas e plugins.

O WordPress é atualizado regularmente, os temas e plugins de qualidade também. Isso é crucial para a segurança e estabilidade do seu site.

2: Fortaleça suas senhas para proteger o WordPress

O ataque mais comum é o roubo de senha devido a uma senha relativamente fraca.

Você pode complicar consideravelmente a tarefa de um hacker fortalecendo sua senha do WordPress, mas também aquelas ao se conectar à sua conta FTP, seu banco de dados, seu host, seus e-mails etc.

Muitos de vocês não gostam de usar uma senha muito complexa por medo de esquecê-la. Nesse caso, aconselho você a usar um “gerenciador de senhas”.

Um gerenciador de senhas armazenará todas as suas senhas em uma nuvem segura e permitirá que você as gerencie com uma única senha.

Existem muitos, mas eu recomendo o LastPass , é fácil de usar e gratuito.

3: Instale um plug-in de backup

Fazer backup do seu site é uma boa maneira de reparar qualquer dano que um hacker possa ter causado ao seu site.

No caso de um ataque, um plug-in de backup permitirá que você restaure seu site para um estado anterior ao ataque.

Existem muitos plugins de backup para WordPress, mas nem todos são criados iguais. Deve ser fácil de usar, permitir fazer backup de todo o seu site, fazer backups automáticos regulares e, claro, poder salvar seus backups fora dos servidores do seu host (disco rígido, nuvem, etc.).

Aqui estão três que atendem a todos os critérios acima. Todos os três têm uma versão gratuita e paga.

• UpdraftPlus
• Amigo de backup
• Duplicador

4: Instale um plug-in de segurança

Depois de ver os backups, o próximo passo é instalar um plugin de segurança que monitore constantemente seu site e rastreie qualquer atividade suspeita que possa estar acontecendo lá.

• Varredura antimalware
• Detecção de corrupção de arquivo
• Bloqueando usuários
• etc.

Plug-in recomendado:

• Wordfence (versão gratuita e paga)
• Segurança iThemes (versão gratuita e paga)
• Sucuri

5: Escolha um tema de qualidade

Um tema WordPress de qualidade é um tema seguro que não possui vulnerabilidades conhecidas, que é atualizado regularmente, que atende aos padrões de codificação apropriados e que é compatível com sua versão do WordPress, mas também com outros elementos do seu site, como plugins.

Ter um tema que atenda a todos esses critérios não apenas ajudará você a evitar bugs, erros de compatibilidade e vários problemas semelhantes, mas também limitará as possibilidades de ataque, pois seu site WordPress terá menos vulnerabilidades de segurança para explorar. Portanto, evite a todo custo quaisquer temas anulados.

Abaixo estão alguns temas que uso com frequência e recomendo de olhos fechados:

• O tema: Oceanwp (gratuito).
• Os temas: ThemeIsle (gratuito e pago).
• O tema: Divi (pagando).
• O tema: extra (pago).
• O tema: Gerar imprensa (gratuita e paga).
• O tema: Astra (gratuito e pago).

6: Altere o nome de usuário do WordPress

Se durante a instalação de versões recentes do WordPress é possível escolher um nome diferente do famoso “admin”, não era o caso antes. No entanto, é sempre melhor que um administrador não deixe um nome de usuário conhecido. Obviamente, neste caso, você não deve postar um artigo ou responder a comentários com o apelido de seu administrador.

Existem diferentes métodos para alterar seu nome de usuário no WordPress:

• O método manual.
• Usar um plug-in

Leia este artigo para ver os 2 métodos em detalhes (tutoriais).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: Adicione dois fatores de identificação (autenticação de dois fatores)

Essa opção força um usuário a se identificar por meio de dois métodos diferentes. O método clássico com nome de usuário e senha e um segundo método, que é receber um código em um dispositivo diferente do computador que você costuma usar.

Se você estiver usando Wordfence , iThemes Security ou UpdraftPlus , todos eles fornecem esse recurso de segurança.

8: Logout automático de usuários inativos no WordPress?

É comum que um usuário se afaste da tela por um tempo permanecendo conectado ao WordPress, o que pode representar um risco de segurança. Alguém pode sequestrar sua sessão, alterar suas senhas ou alterar sua conta.

A solução consiste em instalar um plugin que cuidará de desconectar um usuário inativo após um determinado período de tempo.

Para isso recomendo o plugin “Inactive Logout” é gratuito, muito simples de configurar e cumpre bem o seu papel.

Uma vez instalado, vá para “ Configurações ” no painel do WordPress e clique em “ Logout inativo ” para configurar o plugin

Lá você só precisa estipular o tempo ocioso antes que a desconexão ocorra e uma mensagem para exibir quando isso acontecer, clique em “ salvar alterações ” para finalizar.

9: Adicione uma pergunta de segurança para se conectar ao WordPress

Adicionar uma pergunta de segurança à tela de login do WordPress reduzirá bastante a probabilidade de uma pessoa não autorizada acessar sua conta.

Você pode adicionar uma ou mais perguntas de segurança instalando o plug-in: WP Security Question

10: Altere a URL de conexão

Por padrão, a URL para se conectar ao WordPress é sempre a mesma: https://www.seunome.com/wp-admin (coloquei .com mas pode ser .net ou outra extensão).

Para complicar a tarefa de um possível hacker que deseja lançar um ataque “Brute Force” em seu site, você pode alterar a URL de conexão.

Veja este plugin: WPS Hide Login.

11: Verificador do WordPress para vírus ou malware e possíveis vulnerabilidades de segurança e outras vulnerabilidades

Se você não instalou um plugin de segurança no seu WordPress e percebe uma queda repentina no tráfego ou degradação do seu ranking nos buscadores, é urgente fazer uma análise completa do seu site.

Neste caso duas opções:

Ou você decide instalar um plug-in de segurança e iniciar uma verificação imediatamente ou inicia uma verificação online em um dos sites abaixo. Todos são gratuitos e muito fáceis de usar.

Basta digitar o endereço do seu site e iniciar a verificação.

• https://wpsec.com/
• https://app.upguard.com/webscan
• https://www.virustotal.com/gui/home/upload

12: Desinfete seu site

Se você instalou um plug-in de segurança, é improvável que tenha sido infectado. Mas muitos de vocês ainda não pensam nisso.

Antes de mais nada, deve-se entender que é muito mais fácil prevenir uma infecção do seu site WordPress do que desinfetá-lo.

Limpar um site WordPress pode ser demorado e muitas vezes você precisará contratar um profissional, principalmente se não tiver feito um backup completo do seu site.

Os hackers instalam backdoors em sites infectados e, se não forem tratados adequadamente, seu site provavelmente será invadido novamente.