Dicas de proteção para WordPress. 12 dicas para proteger seu site
Publicados: 2019-07-11O WordPress é um dos CMS mais populares do mundo. Mais de 18,9% de todos os sites da Internet estão usando, e o número de instalações ultrapassou 76,5 milhões. Infelizmente, essa popularidade tem suas desvantagens. De acordo com o relatório da Sucuri (segurança e proteção de sites), o WordPress é o CMS mais hackeável do mundo. No entanto, se você seguir as melhores práticas neste assunto e implementar algumas técnicas deste guia, perceberá que a proteção do WordPress pode ser facilmente reforçada através de alguns passos simples.
O que você vai precisar
Antes de começarmos, verifique o seguinte:
- Acesso ao painel de controle do WordPress;
- Acesso à sua conta de hospedagem (opcional).
Contente
Passo 1. Manter a versão atual do WordPress;
Etapa 2. Usando credenciais de login não padrão;
Etapa 3. Habilitando a autenticação em duas etapas;
Etapa 4. Desativando relatórios de erros do PHP;
Passo 5. Não use templates nulled para WordPress;
Etapa 6. Verificando o WordPress em busca de malware;
Passo 7. Transferindo seu site para uma hospedagem mais segura;
Etapa 8. Fazer backup de seus dados com a maior frequência possível;
Passo 9. Desativando a opção de edição de arquivos;
Etapa 10. Excluindo modelos e plug-ins não utilizados;
Passo 11. Usando .htaccess para melhorar a segurança do WordPress;
Etapa 12. Alterando os prefixos padrão do banco de dados WordPress para evitar injeção de SQL Conclusão
Passo 1. Mantendo a versão atual do WordPress
Este será o primeiro e mais importante passo para melhorar a segurança do WordPress. Se você precisa de um site limpo e sem malware, você precisa ter certeza de que a versão do seu WordPress está atualizada. Este conselho pode parecer simples, mas apenas 22% de todas as instalações do WordPress estão na versão mais recente.
O WordPress implementou o recurso de atualização automática na versão 3.7, mas funciona apenas para pequenas atualizações de segurança. Enquanto grandes atualizações de chave devem ser instaladas manualmente.
Caso você não saiba como atualizar o WordPress, confira isso.
Etapa 2. Usando credenciais de login não padrão
Você usa “admin” como o nome do administrador no WordPress? Se a resposta for “sim”, você reduz seriamente a segurança do WordPress e facilita a invasão do seu painel de controle. É altamente recomendável que você altere o nome de usuário do administrador para outra coisa (consulte este tutorial se não tiver certeza de como fazer isso) ou crie uma nova conta de administrador com dados diferentes.
Siga estas etapas se preferir a segunda opção:
- Faça login no painel de controle do WordPress;
- Encontre a seção “Usuários” e clique no botão “Adicionar novo”;
- Crie um novo usuário e atribua direitos de administrador;
- Faça login no WordPress com seus novos dados;
- Retorne à seção Usuários e exclua a conta de administrador padrão.
Uma boa senha desempenha um papel fundamental na segurança do WordPress. É muito mais difícil decifrar uma senha composta por números, letras maiúsculas e minúsculas e símbolos especiais. Ferramentas como LastPass e 1Password podem ajudá-lo a criar e gerenciar senhas complexas. Além disso, se você precisar fazer login no painel de controle do WordPress ao se conectar a uma rede insegura (por exemplo, cafeterias, bibliotecas públicas etc.), não se esqueça de usar uma VPN segura que proteja suas informações de login.
Etapa 3. Habilitando a autenticação em duas etapas
A autenticação em duas etapas adiciona uma camada adicional de segurança à sua página de autorização. Depois que o nome de usuário for confirmado, ele adiciona outra etapa que você precisa concluir para autenticar com êxito. Você provavelmente já está usando isso para acessar seu e-mail, banco online e outras contas que contêm informações confidenciais. Por que não usá-lo no WordPress também?
Embora isso possa parecer complicado, habilitar a autenticação em duas etapas no WordPress é muito fácil. Tudo o que você precisa fazer é instalar um aplicativo para autenticação em duas etapas e configurá-lo para o seu WordPress. Você pode encontrar informações mais detalhadas sobre como habilitar a autenticação em duas etapas no WordPress aqui.
Etapa 4. Desativando relatórios de erros do PHP
Os relatórios de erros do PHP podem ser bastante úteis se você estiver desenvolvendo um site e quiser ter certeza de que tudo está funcionando corretamente. No entanto, mostrar erros para todos é uma omissão séria na segurança do WordPress.
Você deve corrigir isso o mais rápido possível. Não se preocupe, você não precisa ser um programador para desabilitar os relatórios de erros do PHP no WordPress. A maioria dos provedores de serviços de hospedagem oferece essa opção no painel de controle. Se não, simplesmente adicione as seguintes linhas ao seu arquivo wp-config.php. Você pode usar o cliente FTP ou o Gerenciador de Arquivos para editar o arquivo wp-config.php.
relatório_erro(0);
@ini_set('display_errors', 0);
Etapa 5. Não use modelos nulos para WordPress
Lembre-se, “o único queijo grátis está na ratoeira”. O mesmo se aplica a templates e plugins nulos.
Existem milhares de plugins e templates nulled em toda a Internet. Os usuários podem baixá-los gratuitamente, usando diferentes compartilhamentos de arquivos ou arquivos torrent. Eles não sabem que a maioria deles está infectada com malware ou links para métodos de otimização de mecanismos de busca negros.
Pare de usar plugins e modelos nulos. Isso não é apenas antiético, mas também prejudica a segurança do seu WordPress. Eventualmente, você pagará mais a um desenvolvedor para limpar seu site.
Etapa 6. Verificando o WordPress em busca de malware
Hackers costumam usar buracos em templates ou plugins para infectar o WordPress. Portanto, é importante verificar seu blog com mais frequência. Existem muitos plugins bem escritos disponíveis para esta finalidade. WordFence se destaca da multidão. Ele oferece um guia de uso e a capacidade de testar automaticamente, juntamente com várias outras configurações diferentes. Você pode até recuperar arquivos modificados/infectados em apenas alguns cliques. Está disponível gratuitamente. Esses fatos devem ser suficientes para você instalá-lo agora.
Outros plugins populares para melhorar a segurança do WordPress:
- Segurança à prova de balas . Ao contrário do WordFence, sobre o qual falamos anteriormente, o BulletProof não verifica seus arquivos, mas fornece um firewall, proteção de banco de dados, etc. Um recurso diferenciado é a capacidade de configurar e instalar o plug-in em apenas alguns cliques.
- Sucuri Segurança . Este plugin protege você contra ataques DDOS, tem uma lista negra, verifica seu site em busca de malware e controla seu firewall. Se encontrar alguma coisa, você será notificado por e-mail. Google, Norton, McAfee – este plugin inclui todas as listas negras desses programas.
Passo 7. Transferindo seu site para uma hospedagem mais segura
Esse conselho pode parecer estranho, mas as estatísticas mostram que mais de 40% dos sites WordPress foram invadidos por causa de falhas de segurança em suas contas de hospedagem. Essas estatísticas devem incentivá-lo a migrar o WordPress para uma hospedagem mais segura. Alguns fatos importantes a serem lembrados ao escolher uma nova hospedagem:
- Se for hospedagem compartilhada, certifique-se de que sua conta esteja isolada de outros usuários e não haja risco de infecção de outros sites no servidor.
- A hospedagem possui um recurso de backup automático;
- O servidor possui um firewall de terceiros e uma ferramenta de verificação.
Etapa 8. Faça backup de seus dados com a maior frequência possível
Mesmo os maiores sites são invadidos todos os dias, apesar de seus proprietários gastarem milhares para melhorar a segurança do WordPress.
Mesmo que você siga as práticas recomendadas nessa área e tenha aplicado as dicas deste artigo, ainda será necessário fazer backups regulares do seu site.
Existem várias maneiras de criar um backup, por exemplo, você pode baixar manualmente os arquivos do site e exportar o banco de dados, ou usar as ferramentas oferecidas pela sua empresa de hospedagem. Outra maneira é usar plugins do WordPress. Os mais populares deles são:
- VaultPress;
- BackUpWordPress;
- BackupGuard.
Você pode até automatizar o processo de criação e armazenamento de backups do WordPress no Dropbox.
Etapa 9. Desativando a opção de edição de arquivos
Como você provavelmente sabe, o WordPress possui um editor embutido que permite editar arquivos PHP. Esse recurso é tão útil quanto provavelmente prejudicial. Se os hackers tiverem acesso ao seu painel de controle, a primeira coisa que notará é o Editor de Arquivos. Alguns usuários do WordPress preferem desabilitar esse recurso completamente. Ele pode ser desabilitado editando o arquivo wp-config.php adicionando o seguinte código a ele:
define( 'DISALLOW_FILE_EDIT', true );
Isso é tudo que você precisa para desativar esse recurso no WordPress.
IMPORTANTE. Caso você queira habilitar este recurso novamente, use o cliente FTP ou Gerenciador de Arquivos para sua hospedagem e remova este código do arquivo wp-config.php.
Etapa 10. Excluindo modelos e plug-ins não utilizados
Limpe seu site no WordPress e remova todos os modelos e plug-ins não utilizados. Os hackers costumam usar modelos e plug-ins desabilitados e desatualizados (mesmo plug-ins oficiais do WordPress) para acessar seu painel de controle ou baixar conteúdo malicioso para seu servidor. Ao remover plugins e modelos que você parou de usar (e talvez tenha esquecido de atualizar) há muito tempo, você reduz os riscos e torna seu site WordPress mais seguro.
Etapa 11. Usando .htaccess para melhorar a segurança do WordPress
.htaccess é um arquivo necessário para o correto funcionamento dos links do WordPress. Sem as entradas corretas no arquivo .htaccess, você obterá muitos 404s.
Poucos usuários sabem que .htaccess pode ser usado para melhorar a proteção do WordPress. Por exemplo, você pode bloquear o acesso ou desabilitar a execução do PHP em pastas específicas.
IMPORTANTE. Antes de fazer qualquer alteração no arquivo, faça backup do arquivo .htaccess antigo. Para fazer isso, você pode usar o cliente FTP ou o Gerenciador de Arquivos.
Desativando o acesso à parte administrativa do WordPress
O código abaixo permitirá que você acesse a parte administrativa do WordPress apenas a partir de determinados IPs.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Controle de acesso de administrador do WordPress”
Tipo de autenticação básico
ordem negar, permitir.
negar de todos
permitir de xx.xx.xx.xx.xxx
permitir de xx.xx.xx.xx.xxx
Observe que “xx.xx.xx.xx.xxx” é seu endereço IP. Você pode usar este site para verificar seu endereço IP atual. Se você usar mais de uma conexão para gerenciar o site no WordPress, certifique-se de ter escrito outros endereços IP (adicione quantos endereços precisar). Não é recomendado usar este código se você tiver um endereço IP dinâmico.
Desabilitando a execução do PHP em pastas específicas
Os hackers gostam de fazer upload de scripts de backdoor para a pasta de download do WordPress. Por padrão, esta pasta é usada apenas para armazenar arquivos de mídia. Portanto, ele não deve conter nenhum arquivo PHP. Você pode facilmente desabilitar a execução do PHP criando um novo arquivo .htaccess em /wp-content/uploads/ com estas regras:
negar de todos
Proteção do arquivo wp-config.php
O arquivo wp-config.php contém o kernel de configuração do WordPress e os detalhes do banco de dados MySQL. Portanto, é o arquivo mais importante no WordPress. Portanto, muitas vezes se torna o principal alvo dos hackers do WordPress. No entanto, você pode protegê-lo facilmente usando as seguintes regras .htaccess:
ordem permitir, negar.
negar de todos
Etapa 12. Alterando os prefixos padrão do banco de dados WordPress para evitar injeção de SQL
O banco de dados do WordPress contém e armazena todas as principais informações necessárias para o funcionamento do seu site. Como resultado, torna-se outro alvo para hackers e spammers que executam código automatizado para a implementação do código SQL. Durante a instalação do WordPress, muitas pessoas não se preocupam em alterar o prefixo padrão do banco de dados wp_. De acordo com o WordFence, 1 em cada 5 hacks do WordPress está conectado com a implementação do código SQL. Como wp_ é um dos valores padrão, os hackers começam com ele primeiro. Nesta fase, considerarei brevemente proteger um site no WordPress de tais ataques.
Alterando a tabela de prefixos de um site WordPress existente
IMPORTANTE. Segurança primeiro! Antes de começar, certifique-se de ter um backup do seu banco de dados MySQL.
Parte um. Alterando o prefixo em wp-config.php
Encontre seu arquivo wp-config.php usando o cliente FTP ou o Gerenciador de Arquivos e encontre a linha com $table_prefix.
Você pode adicionar números, letras ou sublinhados adicionais. Depois disso, salve suas alterações e vá para a próxima etapa. Neste guia, usarei wp_1secure1_ como o novo prefixo de tabela.
Enquanto estiver no arquivo wp-config.php, encontre o nome do banco de dados para saber qual alterar. Procure na seção define('DB_NAME'.
Parte dois. Atualizando todas as tabelas do banco de dados
Agora você precisa atualizar todos os registros em seu banco de dados. Isso pode ser feito usando phpMyAdmin.
Encontre o banco de dados definido na primeira parte e faça login nele.
Por padrão, a instalação do WordPress possui 12 tabelas e cada uma delas deve ser atualizada. No entanto, isso pode ser feito mais rapidamente usando a partição SQL no phpMyAdmin.
Alterar cada tabela manualmente levará muito tempo, portanto, use consultas SQL para acelerar o processo. A sintaxe a seguir permitirá que você atualize todas as tabelas em seu banco de dados:
RENOMEAR tabela `wp_commentmeta` PARA `wp_1secure1_commentmeta`;
RENOMEAR tabela `wp_comments` PARA `wp_1secure1_comments`;
RENOMEAR tabela `wp_links` PARA `wp_1secure1_links`;
RENOMEAR tabela `wp_options` PARA `wp_1secure1_options`;
RENOMEAR tabela `wp_postmeta` PARA `wp_1secure1_postmeta`;
RENOMEAR tabela `wp_posts` PARA `wp_1secure1_posts`;
RENOMEAR tabela `wp_terms` PARA `wp_1secure1_terms`;
RENOMEAR tabela `wp_termmeta` PARA `wp_1secure1_termmeta`;
RENOMEAR tabela `wp_term_relationships` PARA `wp_1secure1_term_relationships`;
RENOMEAR tabela `wp_term_taxonomy` PARA `wp_1secure1_term_taxonomy`;
RENOMEAR tabela `wp_usermeta` PARA `wp_1secure1_usermeta`;
RENOMEAR tabela `wp_users` PARA `wp_1secure1_users`;
Alguns modelos ou plugins do WordPress podem adicionar tabelas adicionais ao banco de dados. Se você tiver mais de 12 tabelas em seu banco de dados MySQL, adicione as tabelas restantes manualmente à sua consulta SQL e execute-a.
Parte TRÊS. Verificando opções e tabelas de metadados personalizadas
Dependendo do número de plugins instalados, alguns valores em seu banco de dados devem ser atualizados manualmente. Você pode fazer isso executando consultas SQL separadas para as opções e tabelas de metadados.
Para a tabela de opções, use:
SELECT * FROM `wp_1secure1_options` ONDE `option_name` LIKE `%wp_%`
Para a tabela de metadados:
SELECT * FROM `wp_1secure1_usermeta` ONDE `meta_key` LIKE `%wp_%`
Quando você receber os resultados da consulta, basta atualizar todos os valores de wp_ para seu prefixo recém-configurado. Na tabela de metadados do usuário, você precisa editar o campo meta_key, enquanto na tabela de opções, você precisa alterar o valor option_name.
Protegendo novas instalações do WordPress
Se você planeja instalar novos sites WordPress, não precisa fazer tudo de novo. Você pode alterar facilmente os prefixos das tabelas do WordPress durante o processo de instalação.
Parabéns! Você melhorou com sucesso a segurança do seu banco de dados.
Conclusão
Embora o WordPress seja o CMS mais hackeável do mundo, não é tão difícil melhorar sua proteção. Neste guia, dei 12 dicas a seguir para manter o WordPress seguro.
Biografia do autor : Roy é um entusiasta de tecnologia, um pai amoroso de gêmeos, um programa em uma empresa de software personalizado, editor-chefe do leitor ganancioso TheHomeDweller.com e um jardineiro.