Aumentando a segurança do WordPress - um guia completo para proteger sites WordPress

Quando você terminar esta postagem, garanto que seu site WordPress estará imune a hacks e exploits.

Espere, não posso garantir isso. Deixe-me colocar desta forma, você estará equipado com o conhecimento necessário para manter seu site relativamente seguro.

Não existe segurança à prova de idiotas. Existem medidas específicas que você pode tomar para diminuir significativamente a chance de seu site ser vítima de um hack ou ataque.

Já escrevi um pequeno post sobre como os sites WordPress são comprometidos e por que você deve investir em boas práticas de segurança. Você pode ler aqui ou eu darei um pequeno resumo das vulnerabilidades do WordPress antes de discutirmos medidas específicas para fortalecer seu site do WordPress.

O WordPress por si só tem poucas vulnerabilidades e, quando descobertas, são rapidamente corrigidas com uma atualização. Mas quando você leva em consideração as práticas de segurança do seu host ou a falta delas e o software de terceiros que normalmente é executado em sites WordPress, é mais provável que seu site seja vítima de um hack devido a erros de outras pessoas.

51% de todos os sites hackeados em 2021 foram comprometidos por temas ou plug-ins que estavam executando. 41% foram explorados porque escolheram o host errado e, como resultado, seus sites foram hackeados.

Executar um site WordPress simples e mantê-lo seguro não é muito difícil. Mas quando você adiciona uma mistura de software de terceiros e precisa manter seu domínio com o host certo, torna-se um pouco mais difícil.

Eu li muitas postagens em blogs de empreendedores da web de sucesso que eram essencialmente homens e mulheres de negócios que colocaram seus negócios online. E quando seus empreendimentos online se tornaram bem-sucedidos, eles se tornaram alvos. Porém, não é necessário que seu site seja bem-sucedido ou mesmo tenha algum tráfego para se tornar um alvo.

Pessoas que invadem sites usam ferramentas automatizadas que permitem vasculhar centenas e milhares de sites em busca de vulnerabilidades. Seu site pode ser uma dessas centenas. Portanto, mesmo que seu site não seja popular, você ainda pode ser um alvo.

Agora, muitos empreendedores da web estão cientes dos padrões e medidas de segurança necessários para manter seus sites e negócios online seguros. Mas a melhor coisa sobre o WordPress e a web hoje é que você não precisa mais ser um especialista em tecnologia ou um desenvolvedor web para iniciar um site. E criar um site não é nada difícil, é muito fácil e eu até escrevi um artigo sobre isso no Colorlib (para aqueles que procuram um pouco de ajuda ao construir seu primeiro site WordPress).

Criar um site não é muito difícil, torná-lo popular é uma proposta um pouco mais complicada. Mas torná-lo seguro, especialmente para empreendedores da web não experientes em tecnologia, cuja principal preocupação gira em torno de um produto / serviço não baseado na web, é bastante desafiador.

E, claro, eles poderiam contratar um desenvolvedor da Web para ajudá-los. Mas o motivo pelo qual existem muitos negócios da web de pequena escala prosperando certamente está diretamente relacionado à sua capacidade de manter os custos baixos. E empregar um desenvolvedor web que cobra US $ 100 por hora não prejudica suas capacidades financeiras.

Um profissional de segurança da web é sempre a opção preferida, mas, infelizmente, nem todo mundo tem a receita de negócios necessária para pagar essas despesas. E pode estar tudo bem, talvez não. Mas o fato crucial é que temos que reconhecer que mesmo as pequenas empresas coletam informações pessoais confidenciais, incluindo coisas como seu endereço de residência, detalhes de seu cartão de crédito, números de telefone e e-mail-IDs.

Não apenas as informações do seu cliente estão em risco devido a práticas de segurança possivelmente negligentes, mas também o próprio negócio que você construiu ou vai gastar muito tempo construindo. Construir um negócio on-line é uma tarefa bastante assustadora. Seu sucesso depende de uma série de fatores, que incluem a reputação da marca e o que o Google pensa do seu site. E acredite em mim, ninguém terá uma visão favorável de seus negócios ou serviços, se o seu site for encerrado ou se tornar vítima de um ataque / hack.

Considerando tudo isso e as apostas envolvidas, quais etapas “você”, como empreendedor da web, pode tomar para tornar seu site seguro?

Esta postagem é destinada principalmente a pessoas cuja ocupação principal não é administrar um negócio online. Destina-se a pessoas que, de diferentes estilos de vida, estão a iniciar negócios que dependem parcial ou fortemente da presença online. E uma vez que mais de 65% da web é gerida por WP e WordPress é o CMS de escolha para o empreendedor da web não experiente em tecnologia, estarei concentrando meus esforços em armar você com o conhecimento para manter seu site WordPress seguro e protegido .

# 1. Escolha o provedor de serviços de host certo

A maior parte das vulnerabilidades existe devido a problemas criados na extremidade do servidor do seu site. Achei esse fato bastante surpreendente, o seu serviço de hospedagem é potencialmente a maior fonte de vulnerabilidades do seu site.

E com um host de terceiros, você não pode fazer muito no que diz respeito à proteção do seu site.

Portanto, a próxima melhor coisa que você pode fazer - escolher o provedor de serviços de hospedagem na web certo.

Existem muitos provedores de host da web que executam seus sistemas em software desatualizado ou software que não está sendo mantido no momento. O problema com o software que não está mais sendo mantido é que, embora possa não ter existido nenhuma vulnerabilidade no passado, não existe garantia para a segurança futura. E se for detectada uma vulnerabilidade quase certa, ela pode não ser mais corrigida porque a equipe principal não está mantendo ativamente as versões mais antigas do software.

Quando falo de software, quero dizer qualquer coisa que rode em seu servidor para manter seu site ativo e funcional.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• Certificados SSL

Mesmo que eles tenham atualizado seu software com um pequeno atraso, quando os patches de software forem lançados. A janela de oportunidade para os hackers explorarem vulnerabilidades que só foram corrigidas em atualizações recentes se alarga e coloca o seu site em risco.

A hospedagem compartilhada, que é a opção de hospedagem para a maioria dos negócios online iniciados recentemente, apresenta alguns problemas,

• Ataques DOS em qualquer IP em um servidor podem afetar todos os sites hospedados naquele servidor específico.
• Os endereços IP compartilhados são um grande problema. Endereços de IP vizinhos aos seus afetam seu site, se um IP compartilhado for colocado na lista negra, seu site sofrerá as consequências.
• Sempre existe a chance de que algum software carregado em um servidor compartilhado possa comprometer todo o servidor, mesmo que os provedores de serviços de hospedagem compartilhada tomem medidas para evitar que isso aconteça.

Minha escolha de hospedagem compartilhada,

• Hospedagem compartilhada - SiteGround - Eles fornecem isolamento de conta que protege você contra sites no mesmo servidor que podem ser vulneráveis. Atualizações automatizadas para núcleo e plug-ins WP, certificado SSL gratuito e backups diários para o plano Grow Big e superiores, proteção contra spam com um sistema de filtragem, firewall, sistemas de prevenção de intrusão e monitoramento ao vivo. Usar um sistema CDN como o CloudFlare protegerá seu site contra ataques DDoS.

SiteGround tem um bom histórico em termos de resposta rápida e incisiva contra vulnerabilidades expostas no passado. Em 2013, quando ataques de força bruta foram perpetrados em mais de 90.000 endereços IP, o SiteGround impediu que as solicitações chegassem até mesmo aos seus servidores.

Ataques de força bruta podem sobrecarregar o servidor com carga, mas se você não puder enviar um número suficiente de solicitações ao servidor, não poderá afetá-lo. Durante o ataque, mais de 15 milhões de tentativas em menos de 12 horas foram feitas contra sites em seus servidores e, ainda assim, nenhum de seus servidores sofreu qualquer problema de desempenho.

Na verdade, depois de alguns deles alojarem a força bruta nos sites de seus próprios clientes para encontrar senhas fracas, eles encontraram muitos sites em seus servidores com senhas fracas e inseguras. Eles seguiram aplicando senhas fortes e seus clientes foram informados por e-mail. Eles realmente parecem se preocupar com sua segurança e garantir o desempenho de seus ambientes de servidor compartilhados, mesmo quando sob ataque. O mesmo não pode ser dito para algumas das maiores empresas de hospedagem compartilhada da web.

Se você quiser opções alternativas ao SiteGround para hospedagem compartilhada, listei algumas em um post anterior.

No entanto, se você não quiser se preocupar com a segurança do WordPress e com praticamente qualquer outra coisa remotamente técnica sobre a criação, manutenção e crescimento de um site, você ficará melhor com um host WordPress gerenciado. Eu prefiro hospedagem gerenciada, mas os custos são consideravelmente mais altos.

O preço da hospedagem gerenciada por um mês também comprará a hospedagem compartilhada por um período de 8 meses. Se você está administrando uma empresa com pouco dinheiro, isso tem um efeito monumental na sustentabilidade do seu negócio. Mas qualquer um seria um tolo em ignorar os benefícios de um host WordPress gerenciado, se puder pagar.

Medidas de segurança do WPEngine-

• Proteção contra gravação de disco, qualquer código malicioso que crie vulnerabilidades que podem ser exploradas é severamente limitado pelas restrições de gravação de disco. Usar plug-ins e temas com vulnerabilidades é repentinamente mais seguro, visto que eles não podem mais escrever código em seu servidor que torna seu WP vulnerável com tanta facilidade.
• Privilégios de gravação de disco para usuários logados em seu painel WP estendem-se a funções padrão como escrever e editar postagens, temas adicionando novas folhas de estilo e ativando / desativando plug-ins.
• Para excluir e gravar novos arquivos, você precisa estar logado por meio de um cliente SFTP.
• Adicionar código PHP genérico não é permitido.
• Scripts com vulnerabilidades conhecidas que comprometem o WP não podem ser adicionados ao WordPress.
• Certos plug-ins podem ser desautorizados e até mesmo desabilitados, se seus scanners detectarem algo no código do plug-in que deixe seu site menos seguro.
• Os planos básicos do WPEngine ainda envolverão algum compartilhamento de servidor. Em qualquer plano de hospedagem dedicada, o host fornece um servidor inteiro totalmente dedicado a fornecer recursos apenas para o seu site.
• Backups via Amazon S3 e você não tem acesso a eles. Você não poderia comprometer seus backups, mesmo que tentasse. Uma apólice de seguro para o seu site está sempre em vigor.
• O acesso físico aos servidores é limitado apenas ao pessoal essencial. Seus data centers soam como o Fort Knox só de ler sobre isso.
• Eles são especializados em WP e conhecem os meandros da criação de um site WordPress seguro.
• A recuperação no caso de uma conta hackeada é fácil e garantida sem custos.
• Auditorias regulares de código do provedor de soluções de segurança WP - Sucuri.

Pense no WPEngine desta forma, ele custa uma bomba, mas muito menos do que um site hackeado pode custar. Isso torna muito mais fácil racionalizar custos.

Não se esqueça do fato de que seu site não ficará apenas mais seguro com o WPEgnine, será muito mais rápido com toda a probabilidade. Mesmo sites como o Colorlib, que usam um servidor virtual privado, têm dificuldade em corresponder à velocidade de um site executado pelo WPEngine.

Se você ainda tem dúvidas e não pode escolher entre um host compartilhado e um host WP gerenciado, esse é um grande tópico por si só. Por favor, leia um artigo que escrevi há algum tempo. Esperamos que isso responda a todas as suas perguntas sobre a adequação de um plano de hospedagem para o seu site.

# 2. Use software confiável de terceiros - Temas e plug-ins premium

Plugins e temas são sempre suspeitos, seja um cético, especialmente quando eles são mal mantidos e raramente atualizados. Agora você pode realizar várias etapas ao discriminar plug-ins com base em falhas de segurança, mas sempre vale a pena anotar as ações que seus plug-ins realizam com o WP Security Audit Log.

Um log de segurança é muito útil para os profissionais de desenvolvimento e segurança da web acompanharem as alterações em vários sites quando lidam com as necessidades de seus clientes. Cada ação de cada usuário pode ser contabilizada com o plugin. O Log também ajuda a ficar de olho nos plug-ins, no tema e no comportamento de outros softwares de terceiros. Este plugin pode não prevenir um problema de segurança, mas se algo der errado, você achará fácil rastrear a origem do problema.

Outra boa prática é fazer com que o plug-in seja auditado por um especialista em segurança. Se você não pode pagar por isso, procure os carimbos de confiança da Sucuri (a Sucuri é uma fornecedora líder de soluções de segurança para usuários do WordPress) nos plug-ins. Muitos plug-ins / temas enviam voluntariamente seus produtos para auditorias de código.

O Elegant Themes teve seu tema principal, a Divi, auditado. Elegant Themes é um dos maiores, senão a maior casa temática no nicho do WP e ainda assim eles têm seu tema principal auditado para questões de segurança.

Fique longe de plug-ins e temas gratuitos que não têm um grande número de downloads. Às vezes, plug-ins com contagens de download excessivamente altas e classificações altas atraem muito mais criadores de travessuras. A proteção em números não é realmente aplicável. Mais pessoas usando um plugin o torna um alvo maior, mas ao mesmo tempo ter milhares de usuários provavelmente ajudará a identificar e proteger contra exploits de dia zero por meio de atualizações rápidas.

Usar plug-ins e temas premium não significa que a segurança do seu site pode ser garantida. Mas você pode ter certeza de que, se alguma exploração de dia zero for descoberta, a resposta geralmente será rápida. As casas temáticas e os desenvolvedores de plug-ins têm uma grande vantagem em seus produtos, a última coisa que desejam é a aparência de vulnerabilidade.

Atenha-se aos plug-ins listados no diretório WordPress.org para obter plug-ins gratuitos. As classificações mais altas e o número de downloads tornam o plug-in uma aposta mais segura até certo ponto. Confira a história dos plugins criados pelo mesmo autor no passado, um bom indicador do pedigree do programador. Você também verá que certos autores tomam cuidado extra para garantir a segurança de seus plug-ins / temas.

A data da última atualização é outro fator que vale a pena levar em consideração. Garantir que a versão mais recente do plug-in é compatível com a versão mais recente do WordPress é outro ponto essencial para marcar na lista de verificação antes de instalar e ativar um plug-in.

Como você deve ter adivinhado, o que vale para plug-ins também vale para temas. Algumas coisas para lembrar quando se trata de usar plug-ins e temas.

• Plug-ins Premium são melhores no sentido, suas equipes provavelmente responderão a qualquer vulnerabilidade de segurança muito mais rápido do que plug-ins gratuitos.
• Use o WP Security Audit Log e rastreie tudo o que é executado sob o capô do seu site.
• Certamente há segurança em números, porque uma ameaça à segurança é muito mais provável de ser relatada e tratada. Mas não posso deixar de sentir que se trata de uma faca de dois gumes, plug-ins / temas com grandes contagens de download também são muito mais propensos a se tornarem alvos de hackers.
• O diretório de plug-ins do WP.org pode ser manipulado para fornecer classificações excelentes para plug-ins com números menores de downloads e classificações.
• Confira o autor do plugin, sua história e produtos anteriores. Se eles tiveram problemas de segurança no passado, eles não indicam necessariamente que seus plug-ins / temas são ruins, mas não é um bom sinal.
• Discriminar implacavelmente contra plug-ins / temas, ler avaliações, especialmente aquelas que fornecem avaliações ruins para o produto (certifique-se de verificar as razões pelas quais esses produtos foram mal avaliados) em mercados como o Envato, mesmo para plug-ins premium. Leia as seções de comentários de análises de produtos para plug-ins e temas. Ao escrever análises sobre produtos específicos do WordPress ou criar uma postagem de lista de temas, sempre procuro na seção de comentários reclamações de usuários que baixaram / compraram o produto. Este exercício é sempre proveitoso, você quase sempre aprenderá algo sobre o produto que pretende comprar ou baixar.
• Se o plug-in / tema teve seu código auditado pela Sucuri ou outro provedor de solução de segurança WP confiável, isso aumenta a probabilidade de que o produto seja bastante sólido em termos de segurança.
• Você pode se proteger contra plug-ins desonestos com plug-ins de segurança como Wordfence ou iThemes Security. Além disso, você pode usar o recurso de varredura de site gratuito da Sucuri, que analisa o seu código WP em busca de scripts maliciosos.

Nenhuma das etapas acima garante que você nunca baixará um plugin ou tema inválido, mas reduz as chances de você ser afetado por problemas de segurança.

Agora, supondo que você esteja usando o host, o tema e os plug-ins corretos. Estarei descrevendo e explicando as medidas de segurança necessárias que você precisa tomar para tornar seu site seguro.

Ao descrever as medidas de segurança individuais, observe que recomendo plug-ins independentes projetados para aplicativos de segurança específicos.

Mais adiante neste post, discutirei o Wordfence, um plugin de segurança freemium completo, e também as soluções de segurança da Sucuri. Você deve saber que ambos realizam quase todas as funções de segurança que podem ter sido discutidas anteriormente na postagem e mais em alguns casos.

Portanto, a menos que você queira aprender sobre medidas de segurança individuais em detalhes, você pode pular para a última parte, onde discuto as funções de um plug-in de segurança e provedores de soluções de segurança como a Sucuri.

Mas se você for um usuário iniciante do WordPress, recomendo fortemente que leia toda a postagem para entender completamente o significado de cada medida de segurança diferente.

# 3. Proteja sua página de login

A página de login do WordPress é o principal alvo para ataques de força bruta. Sua página de login é definitivamente uma parte vulnerável do seu site, se você não adotar as medidas de segurança adequadas para impedir os invasores.

Discutirei a importância de manter uma página de login forte e segura com várias medidas de segurança que tornam seu site seguro e protegido contra ataques de força bruta.

Senhas fortes e nome de usuário incomum

Admin não é um bom nome de usuário. O WordPress anteriormente tinha admin como nome de usuário padrão da conta de administrador principal. Porém, hoje, ao instalar o WordPress, você pode escolher um nome de usuário diferente. Mas quando as pessoas geralmente começam a usar o WordPress, especialmente pela primeira vez, muitos continuam usando admin como nome de usuário. “Admin” é um nome de usuário extremamente previsível e torna muito mais fácil invadir seu site.

Você também pode experimentar o plugin Admin Renamer Extended, que pode alterar seu nome de usuário.

As senhas, escolhendo uma sequência de caracteres aleatória incomum, ajudará a criar a primeira linha de defesa contra as pessoas que pretendem prejudicar o seu site ou obter informações confidenciais armazenadas nos servidores do seu site.

Uma lista das 5 senhas mais comuns compilada por SpashData.

1. 123456
2. senha
3. 12345
4. 12345678
5. qwerty

Um jovem de treze anos altamente motivado pode adivinhar admin e 123456. Com senhas como a acima mencionada, seu site está um fracasso, especialmente se você receber um tráfego decente.

As melhores senhas são uma mistura de maiúsculas e minúsculas com pontuação e caracteres especiais. De preferência, use algo que não tenha nenhum significado e certifique-se de que tenha pelo menos mais de 10 caracteres. Nenhuma razão particular para 10 caracteres, mas lembre-se de que fica exponencialmente mais difícil quebrá-los se as senhas forem mais longas.

Se sua senha não faz sentido e não há nenhuma razão lógica ou sentimental por trás de sua senha, é obviamente muito mais difícil de adivinhar. Lembre-se de como Sherlock adivinha a senha do celular de Irene Addler - “I AM _ _ _ _ LOCKED”. Bem, mesmo Sherlock teria dificuldade em adivinhar uma senha que não pudesse ser descoberta!

Se você estiver tendo dificuldade em descobrir qual senha usar, experimente ferramentas como Strong Password Generator ou Secure Password Generator, ambas ferramentas on-line disponíveis gratuitamente para descobrir uma boa senha para o login de administrador do seu site.

Os plug-ins de segurança também impõem senhas fortes para o administrador e todos os usuários. Isso é importante, mesmo que seus usuários não tenham status de administrador e os privilégios que os acompanham, alguém com acesso a uma conta de editor comprometida no WordPress pode fazer um pouco de confusão.

Outra boa dica para sempre lembrar, mude suas senhas com freqüência. Se você tiver dificuldade em lembrar todas as suas senhas, use um gerenciador de senhas. Você pode tentar One Password, Last Pass, KeePass ou DashLane para armazenar todas as suas senhas com segurança.

No que diz respeito a nomes de usuário e senhas, quanto menos sentido e mais aleatórios forem, melhor será a segurança que podem oferecer ao seu site.

Limite o número de tentativas de login

Ataques de força bruta têm como alvo páginas de login de sites WordPress. Se você não sabe, a maioria dos ataques de força bruta envolvem tentar diferentes combinações alfanuméricas para quebrar a senha do site para um nome de usuário específico.

Agora, mesmo que você presuma que um ataque de força bruta não foi bem-sucedido, você precisa reconhecer o fato de que ele consome uma enorme quantidade de memória do servidor e poder de processamento. Isso quase certamente tornará seu site mais lento e engatinhará. Muitos hosts também oferecem proteção contra ataques de força bruta. Isso ocorre porque em um servidor compartilhado, seu site consumindo uma quantidade indevida de recursos pode afetar a todos.

Mas a técnica mais fácil para evitar ataques de força bruta é limitar o número de tentativas de login. Se alguém não puder atingir repetidamente seu servidor com várias combinações de nome de usuário e senha, um ataque de força bruta não funcionará.

Login Lockdown, Login Security Solution e Brute Force Login Protection visam impedir o acesso ao seu site por meio de tentativas de hack de força bruta. O Brute Protect foi adquirido pela equipe Automattic e agora faz parte do Jetpack e oferece proteção contra ataques de força bruta.

Quase todos os plug-ins de proteção de login têm uma interface semelhante.

Todos esses plug-ins funcionam basicamente rastreando endereços IP que repetidamente tentam e não conseguem fazer o login. Após várias tentativas de login malsucedidas, os IPs específicos são impedidos de acessar a página de login do seu site.

O Login Security Solution força uma autenticação de e-mail do WordPress e alteração de senha via e-mail, se determinar que o usuário atualmente logado é bastante suspeito.

O plug-in pode impor senhas fortes e exigir a troca frequente de senhas dos usuários. Além disso, as tentativas de hack são rastreadas por intervalos de IP que repetidamente tentam obter acesso ilegitimamente, são bloqueados por um longo período de tempo para dissuadi-los de tentar invadir seu site.

Autenticação de login em duas etapas

A autenticação de um login adiciona uma camada extra de segurança, além de uma senha forte, um nome de usuário incomum e um número limitado de tentativas de login malsucedidas.

O processo de autenticação de login em duas etapas torna seu site mais do que apenas duplamente seguro. O login em seu site WordPress requer um código de autenticação que só pode ser recebido por meio de uma mensagem móvel. Dado isso, é bastante improvável que seu celular seja roubado por um hacker durante a preparação, seu site permanecerá seguro contra força bruta e outras técnicas de hack que dependem de passar pela página de login do seu site.

O Google Authenticator é um plug-in útil que se baseia em um aplicativo instalado em seu Android / iPhone / Blackberry que fornece o código de autenticação necessário para fazer o login em seu site. Você pode habilitar este aplicativo para o nível de privilégio apenas de administrador ou empregá-lo em uma base de usuário por usuário.

Eu gosto muito do próximo plugin, ele pretende enviar as pessoas que tentam fazer o login sem o código de autenticação para um redirecionamento com uma URL personalizável. A página de login furtiva também bloqueia completamente os bots.

Se um usuário não cumprir a sequência de login completa, a tentativa de login será rejeitada. Outra técnica que pode ser usada para bloquear bots é usar captcha nas páginas de login, você pode usar Login No Captcha reCaptcha para evitar que os bots façam login.

Altere o URL da página de login do WordPress

Discutimos a limitação das tentativas de login, autenticação de logins e a importância de usar uma senha forte e um nome de usuário incomum.

Agora vamos ocultar ou alterar a página de login, este tipo de mods de segurança também é conhecido como segurança via obscuridade. Eu sei que isso parece um pouco exagero. Mas fique comigo aqui, porque esta etapa não é mais difícil do que as medidas de segurança sugeridas anteriormente para proteger sua página de login.

Ataques de força bruta são eficazes apenas se conseguirem encontrar a página de login. Deixar suas licenças de página de login inalteradas faria com que os hackers encontrassem suas páginas de login.

Vamos tentar esconder a página de login deles. Você pode fazer isso alterando o URL da página de login com WPS Hide Login. O plugin realmente não muda nada, ele simplesmente intercepta solicitações de página e torna o diretório wp-admin e as páginas wp-login.php inacessíveis. Você precisará se lembrar da nova página de login conforme configurada durante a ativação do plug-in.

As opções alternativas para alterar o URL de sua página de login incluem dois outros plug-ins, Proteja seu administrador e Renomear wp-login.php.

SSL

Embora eu mencione SSL na proteção de sua página de login, SSL é um recurso extremamente importante e necessário de qualquer página na qual você lida com informações confidenciais. E isso inclui praticamente todas as páginas de muitos sites, visto que existem formulários de assinatura de blog em todas as páginas da web.

Se você ou seus visitantes / clientes compartilharem informações privadas confidenciais como endereços, detalhes de cartão de crédito ou até mesmo compartilharem seus IDs de e-mail com você. Então você deve a eles proteger suas informações.

SSL é uma camada extra de proteção (Secure Socket Layer) que transforma o http em https e no processo torna todas as informações compartilhadas muito mais seguras.

É assim que a página de edição de postagem em que trabalho, para Colorlib, fica com SSL. Observe o “https:” de cor verde na barra de URL?

SSL é basicamente algo que embaralha suas informações em algo que não pode ser lido como fazemos em texto simples. Portanto, quando as informações trafegam entre seus servidores e qualquer navegador, qualquer pessoa que obtiver acesso a elas não conseguirá entendê-las. Existe uma chave privada e uma chave pública. Uma vez que o SSL torna o fluxo de informações engraçado e ilegível, precisamos entendê-lo novamente no final do navegador. É aqui que entra a chave privada para tornar as coisas legíveis novamente. O mecanismo em jogo é muito semelhante a uma fechadura e uma chave matemáticas.

SiteGround, nosso host compartilhado recomendado fornece proteção SSL gratuitamente. Você também pode comprar um certificado SSL de uma autoridade de certificação. Se você executar plug-ins de segurança como o Wordfence, o SSL pode ser habilitado.

Eu recomendaria SSL para todo o site, muitos sites WordPress incluídos pela ColorLib usam SSL para todo o site. Se não for SSL para todo o site, você definitivamente deve forçar o SSL para páginas de login no mínimo.

Navegadores como o Chrome até mesmo bloqueiam o acesso a sites com certificados inválidos / expirados em SSLs.

Você pode ter que descobrir se o seu CDN entrega conteúdo facilmente por SSL e, às vezes, as redes de anúncios podem apresentar problemas ao servir por SSL. Adicionar SSL em todo o site pode apresentar dificuldades significativas, você deve ler este artigo muito perspicaz sobre as dificuldades de habilitar SSL em todo o site.

O Google dá a você um pequeno impulso (1%) em suas classificações de pesquisa, se você usar SSL em seus sites. Este fato, por si só, deve justificar o uso de SSL. Porque ? Bem, o Google entende, como a maioria dos profissionais de desenvolvimento web, a importância de garantir a segurança dos dados do seu leitor / visitante.

SSL também pode ser aplicado em sua tela de login pelo plugin de segurança Wordfence. Também se espera que os certificados de segurança sejam disponibilizados gratuitamente em 2015.

Leia mais sobre administração por SSL em WordPress.org.

# 4. Protegendo seu núcleo WP, banco de dados e usando permissões de arquivo corretas

Em muitas dessas medidas de segurança, estaremos modificando seu núcleo WP e você precisará estar familiarizado com como usar um cliente FTP para fazer alterações e carregá-lo. E como a maioria dessas dicas de segurança envolve a alteração ou modificação do núcleo do WP, isso pode corromper o seu site. Faça backup do núcleo do WordPress e de todo o seu conteúdo antes de prosseguir; um erro pode ser facilmente desfeito com um backup.

Chaves de segurança do WordPress

O WordPress usa cookies para identificar e verificar os usuários que estão logados para comentar e fazer alterações no painel WP.

Esses cookies contêm informações de login e seus detalhes de autenticação. A senha é hash, o que significa que uma fórmula matemática é aplicada para torná-la ilegível e não pode ser lida sem aplicar a matemática mais uma vez para torná-la legível.

Podemos adicionar uma camada extra de proteção em torno deste cookie com chaves de segurança WP. Trata-se de um conjunto de variáveis ​​aleatórias que melhoram a segurança das informações armazenadas em um cookie do usuário. Existem 4 chaves: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY.

Uma senha não criptografada como WordPress ou 12345 pode ser facilmente quebrada, se alguém puder reconstruir o cookie de autenticação. Mas criptografar com chaves de segurança WP torna isso muito mais difícil.

Como você adiciona chaves de segurança WP?

1. Abra o arquivo wp-config.php.
2. Pesquise “chaves e sais exclusivos de autenticação”.
3. Use uma ferramenta de geração automática de chaves online.
4. Copie as chaves da ferramenta online e substitua o conjunto de chaves existente, sobrescrevendo-o em wp-config.php.
5. Salve isso.
6. Você pode repetir o mesmo processo a cada mês ou assim.

Lembre-se de que sempre que você alterar as chaves de segurança, os usuários serão desconectados e terão que fazer login em suas contas novamente.

O iThemes Security fornece as ferramentas necessárias para fazer isso a partir do painel do WP. E eles também enviarão um lembrete todos os meses para alterar suas chaves de segurança.

Proteja com senha seus diretórios WP

Isso pode ser feito a partir do seu cPanel ou painel de qualquer host da web. No cPanel, abra Segurança> Diretórios de proteção por senha. Você encontrará uma lista de todas as pastas do seu site. Comece com uma pasta importante como wp-admin.

Você encontrará uma caixa de diálogo que pede para criar um usuário, fornecendo um nome de usuário e senha. Agora crie o novo usuário. Depois disso, se você precisar acessar a pasta wp-admin em seu site, o nome de usuário e a senha precisam ser inseridos para acessar o site.

Isso adiciona uma camada extra de proteção baseada em senha para as partes mais importantes do seu site.

Use FTP seguro (SFTP)

Um sistema de transferência de arquivos é necessário para transportar os dados do seu site para o seu host quando você adiciona novas alterações que gostaria de incorporar. Com um protocolo normal de transferência de arquivos ou FTP, as chances de alguém interceptar e encontrar vulnerabilidades para explorar seu site aumentam.

Você precisará do cliente certo para usar uma conexão SFTP para fazer upload de novos arquivos e código modificado. Você pode usar o FileZilla para ajudá-lo a começar.

Além disso, você precisará de alguns detalhes específicos sobre sua conta de hospedagem na web. Geralmente, cada host fornecerá informações específicas para ajudá-lo a configurar um protocolo de transferência de arquivos seguro. Você normalmente terá uma chave SSH que é gerada pelo host, esta chave deve ser adicionada ao seu cliente SFTP como o FileZilla e é simples configurar uma conexão segura para transferência de arquivos a partir daí.

Usando permissões de arquivo corretas

O acesso aos seus arquivos precisa ter as permissões corretas. É possível escrever no seu WordPress a partir do servidor web. O problema surge quando você compartilha esse ambiente com vários sites que também podem ter seus sites em um servidor compartilhado.

Geralmente, as pastas e arquivos do WordPress têm permissões específicas em diferentes hosts. Com o acesso shell, você pode executar os dois comandos a seguir para manter suas pastas e arquivos do WordPress seguros e acessíveis apenas ao usuário correto.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Porque ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

# 5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Tudo em um WP Segurança e Firewall

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

# 6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter ('auto_update_theme', '__return_true');

Se você não gosta de mexer no código, pode usar um plugin para se ajudar. Você tem outra opção na forma de plugin, quando se trata de garantir a atualização tranquila do seu WP e de todos os temas / plugins do seu site. As Atualizações Automáticas Avançadas permitem que você habilite as atualizações principais e as atualizações secundárias / de segurança individualmente. E o plug-in também fornece soluções de atualização automática para temas e plug-ins.

Para soluções de atualização multisite, se precisar de ajuda para lidar com atualizações com plug-ins e temas do WordPress, você pode experimentar o Easy Updates Manager. Há também um serviço premium oferecido pelo WP Updates que fornece soluções de atualização automática para plug-ins e temas premium.

Usar plug-ins como ManageWP ou um host WP gerenciado como WPEngine também ajudará a resolver problemas com a atualização de seu WordPress e do software de terceiros que você usa em seu site.

Atualizar o núcleo do WordPress automaticamente se torna problemático quando as coisas começam a quebrar. Isso pode acontecer devido a um código personalizado que é apagado durante uma atualização ou a problemas de compatibilidade que surgem com software de terceiros (plug-ins e temas). Esse é um motivo que pode fazer você parar, talvez habilitar pequenas atualizações seja uma ideia melhor.

Se você tiver problemas com as atualizações automáticas do WordPress, recomendo que experimente o Background Update Tester. O plug-in verifica e explica quaisquer problemas de compatibilidade.

Sempre execute um backup antes de atualizar. Sempre! Isso protege seu site contra coisas terrivelmente erradas, caso em que você acaba bagunçando seu site. Uma boa prática a ser seguida, para se proteger contra atualizações automáticas que causam estragos por meio de problemas de compatibilidade com plug-ins, temas e, às vezes, código personalizado em seu núcleo WP.

# 7. Mais algumas coisas sobre a segurança WP - Firewalls, registros de auditoria e scanners de malware

Não falei sobre firewalls para WordPress. Um bom firewall realiza muitas coisas e atenua as formas mais comuns de ataque aos seus sites.

• Mitigar os efeitos de um ataque DDoS.
• Ataques de força bruta são interrompidos imediatamente.
• Proteja-se contra vulnerabilidades de software.
• Interrompe ataques de injeção de código, como ataques SQL ou XSS.
• Corrigir e defender contra vulnerabilidades de dia zero.

Apenas para ilustrar, aqui está um instantâneo do que o firewall Sucuri faz para um site WordPress.

Firewall não é o termo que a Sucuri usa para descrever seu sistema de proteção, eles se referem a ele como CloudProxy, que é uma combinação de um firewall de aplicativo da web e um sistema de detecção de intrusão. Todo o tráfego malicioso é filtrado e a atividade anômala é monitorada.

Os firewalls tradicionalmente foram desenvolvidos para monitorar conexões, no entanto, o CloudProxy da Sucuri não apenas manterá os bandidos afastados, mas também criará patches virtuais contra vulnerabilidades. Assim que uma solicitação de um visitante passa pelo firewall, ela chega ao sistema de prevenção e detecção de intrusões, onde o sistema analisa as solicitações para possíveis padrões de ataque.

Acho que o recurso de patch virtual para protegê-lo contra vulnerabilidades é um ativo altamente eficaz e inestimável para qualquer site com muita personalização (significa que muitas coisas podem dar errado quando ocorrem problemas de compatibilidade). É sempre melhor aplicar a atualização do WordPress em uma área de teste e verificar se o seu site funciona bem. E se isso acontecer, você pode colocar a versão atualizada do seu site no ar. Mas, nesse ínterim, seu site está realmente em perigo. A proteção contra exploits de dia zero só é possível por meio de atualizações para corrigir vulnerabilidades; no entanto, esse não precisa ser o caso ao usar o Sucuri CloudProxy.

Além disso, eles também mantêm registros de todas as atividades em seu site e procuram por possíveis sinais de dano.

Pense no firewall como uma última medida, é a parede que um hacker precisa violar para acessar o conteúdo confidencial do seu site. Em grande parte, as boas práticas são projetadas para que você não precise usar tanto o firewall.

O software de varredura de malware ou sites como o Sucuri SiteCheck podem varrer seus sites em busca de vulnerabilidades e possíveis falhas de segurança. Os plug-ins de segurança também possuem um software de varredura de malware para rastrear quaisquer alterações que pareçam anormais e sejam fontes de problemas de segurança em potencial.

Eu também mencionei o WP Security Audit Log anteriormente, ao afirmar que é um plugin necessário para rastrear todas as mudanças em seu site. Eu gostaria de reiterar esse ponto, é um plugin extremamente útil não apenas para rastrear mudanças efetuadas por temas e plug-ins, mas também ações de outros usuários. É muito importante que você use o WP Security Audit Log ou execute algum outro plugin de registro de dados para controlar todas as alterações.

A extração de madeira também é um recurso importante do sistema de proteção da Sucuri. Apesar de suas tentativas exageradas de garantir a segurança, às vezes coisas ruins acontecem e sites são hackeados. Quando isso acontece, seu sistema de registro é muito útil para ajudar a desenterrar sites de uma vala.

Firewalls, scanners de malware e logs de auditoria são muito úteis contra ameaças que não podem ser previstas e exploits de dia zero. Eles não substituem as boas práticas de segurança do WordPress.

# 8. Escondendo sua versão do WordPress - é necessário?

Eu li em alguns sites que ocultar sua versão do WordPress aumentará sua segurança contra hackers mal-intencionados. O problema é que existe uma suposição de que o conhecimento das vulnerabilidades associadas a um determinado WordPress torna mais provável que alguém as explore. Isto não é necessariamente verdade. Geralmente, as pessoas que roubam informações de sites usam ferramentas automatizadas para fazer a varredura de sites em busca de vulnerabilidades conhecidas. E se a sua versão do WordPress for vulnerável, eles saberão disso. Não é como se os hackers verificassem um site por vez e os classificassem pela versão do WordPress.

Conforme declarado anteriormente, atualize seu WordPress, temas e plug-ins o mais rápido possível. Os hackers não fazem distinção entre sites que exibem a versão do WordPress e sites que não exibem.

No caso improvável de um hacker visitar manualmente todos os sites e verificar a versão do WordPress e, em seguida, tentar encontrar vulnerabilidades, pode ser útil ocultar sua versão do WordPress.

Use o plug-in para remover versão para remover sua versão do WordPress. Se isso não funcionar para você, você precisará fazer algumas pequenas modificações e esta postagem do blog deve ajudá-lo.

# 9. Backup - Última linha de segurança de sites

Você deve estar sempre preparado para a eventualidade de seu site WordPress, apesar de todas as suas medidas de segurança, ser comprometido. Se isso acontecer, você precisa intervir e consertar as coisas. Agora, existem várias maneiras de realizar a recuperação do site. Backups com restaurações de um clique são uma solução fácil para um site comprometido, supondo que a brecha de segurança ou vulnerabilidade já tenha sido corrigida.

Os backups automáticos são uma parte necessária e essencial do arsenal de segurança de todo site WordPress. Pense nos plug-ins de segurança como sua espada e no backup como seu escudo. Se seu ataque falhar, seu escudo, neste caso, os backups, torna-se sua última linha de defesa.

Lembre-se, estou supondo que é apenas o seu WordPress que está comprometido, e não o seu servidor, que é um saco de worms completamente diferente. Mas a maioria dos provedores de serviços de hospedagem tem uma forte equipe de segurança protegendo seus servidores contra elementos maliciosos constantemente e especialmente durante ataques globais. Eu escrevi um post algumas semanas atrás, sobre os diferentes provedores de serviços de hospedagem compartilhada, se você estiver interessado.

Backups- se você decidir que deseja um plugin grátis sem pagar um centavo por serviços de backup, então eu diria que você pode começar com Updraft Plus, que é um plugin freemium.

Com este plugin, você pode fazer backup e salvar uma cópia do seu site no armazenamento fornecido por vários serviços diferentes. Inclui Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP e SFTP e Email. Você também deve observar que o plug-in gratuito só permite o backup em qualquer local. Você precisará de um complemento premium se desejar utilizar o plug-in para salvar seu site em vários lugares.

Este plugin, como a maioria dos provedores de backup do WordPress, salva tudo, incluindo seu conteúdo, temas e configurações de plug-ins e também pode executar um backup de banco de dados do WordPress separado de seus backups normais.

Se você gostaria de usar um serviço de backup WordPress premium, recomendo que você dê uma olhada no BackUp Buddy, VaultPress ou BlogVault (já trabalhei com eles no passado e eles têm um serviço incrível).

Mantenha mais de uma cópia do seu site disponível e sempre tenha uma em uma unidade física que não dependa de uma conexão com a Internet. Os backups são uma boa ideia, mesmo do ponto de vista não relacionado à segurança. Quando você experimenta temas e plug-ins, quando atualiza temas, plug-ins ou seu WordPress, sempre existe a possibilidade de surgir um problema de compatibilidade e quebrar seu site.

E, de acordo com minha experiência com backups automáticos, você precisa continuar excluindo cópias de backups de maneira consistente com a frequência com que você adiciona novos conteúdos e faz cópias de backup.

Quando se trata de meu PC, sempre prefiro soluções de backup que ofereçam backups incrementais / diferenciais em vez de backups completos, mas você também observa que, com a reconstituição anterior, a restauração leva mais tempo. O mesmo é definitivamente aplicável a um sistema de backup WordPress. Embora, a menos que seu provedor de backup cobre mais com restrições estritas sobre os limites de armazenamento de dados, você não deve se preocupar com isso.

Conclusão

Eu não posso evitar, esta citação da série Harry Potter parece tão apropriada.

"Vigilância constante!" - Olho-Tonto-Moody

Moody é um apanhador de bruxos das trevas na série, se você está se perguntando.

Como já mencionei antes, não existe prova total de segurança na web. Você pode tomar várias medidas de segurança e ainda assim ter seu site hackeado. Mas garantir que seu site seja executado em SSL, que suas páginas de login sejam protegidas, suas senhas e nomes de usuário sejam incrivelmente desconhecidos, seu site esteja totalmente atualizado e protegido contra ameaças conhecidas e com backup completo diariamente, melhora muito as chances a seu favor .

Se você deseja um hack / exploit completo do WordPress gratuito, seguir todas as medidas de segurança mencionadas acima irá garantir que seu site tenha uma segurança hermética. Mas, mesmo assim, você não pode se proteger contra exploits de dia zero ou um hacker inteligente decidido a invadir seu site, embora este seja um evento muito improvável.

Pense desta maneira. Se meu site for hackeado, quanto negócio e receita eu perderei? Colocarei em risco as informações do meu cliente? Isso me tornará responsável por ações judiciais? Quando chegar ao ponto em que você vê que os custos de ter seu site hackeado são razoavelmente altos, eu sugiro que você use um serviço de hospedagem WordPress gerenciado ou um web bouncer realmente grande na forma de serviços de segurança da Sucuri.

Seu site não precisa necessariamente ser popular para se tornar um alvo. E nunca se tornará um site de alto tráfego, se for continuamente vítima de hacks e ataques.

Como eu disse anteriormente sobre hospedagem. Se você está razoavelmente certo de sua capacidade de criar um site de geração de receita que arcará com os custos dos melhores serviços de hospedagem / segurança, escolha os melhores. Se você puder pagar pelos melhores serviços de hospedagem / segurança na web, valerá a pena no longo prazo, supondo que você não seja um desenvolvedor web de profissão.

Se você não pode pagar pela hospedagem na web mais bem gerenciada ou pela segurança de alto nível, coloque em prática as medidas de segurança mencionadas acima. Provavelmente, seu site estará seguro.

Se você tiver alguma ideia adicional sobre a segurança do WordPress ou tiver ideias diferentes sobre como proteger seu site WordPress, adoraria ouvir suas ideias nos comentários abaixo. Saúde