A lista de verificação de segurança - 4 coisas a considerar antes de lançar seu site WordPress

Quer você crie seu próprio site usando nossos melhores temas profissionais do WordPress ou peça a outra pessoa para fazer isso por você, a segurança do seu site deve sempre permanecer no topo da sua lista de prioridades.

Mas, como muitos proprietários de sites estão dolorosamente cientes, há mais para manter um site em funcionamento do que adicionar conteúdo, processar pedidos e executar o plano de marketing.

As violações de segurança podem variar de irritantes, como mensagens de e-mail de SPAM por meio de formulários de contato, a custosos, como nos casos em que seu site está offline e não consegue gerar receita.

No extremo mais extremo do espectro, uma violação de segurança pode até levar a resultados perigosos, expondo informações e comprometendo ainda mais a segurança online de seus visitantes.

Felizmente, manter um site seguro e protegido não precisa ser caro ou demorado. Dezenas de milhares de outros proprietários de sites fazem da segurança de seus sites a principal prioridade e, no mercado livre, isso significa uma série de plugins e serviços para escolher.

Eles se combinam para manter seu site online e manter a confiança do visitante, não importa o que os maus atores possam enviar em sua direção. Este artigo descreve especialmente a lista de verificação de segurança antes de lançar um site.

Aqui estão quatro considerações importantes a serem feitas antes de colocar seu site no ar. Eles também se aplicam mesmo se você já estiver online, pois são fáceis de implantar em sites existentes – e quando se trata de segurança do site, é sempre melhor tarde do que nunca!

A lista de verificação de segurança – 4 coisas a considerar antes de criar um site WordPress

1. Comece com um plug-in de segurança multifuncional

Como mencionado na introdução, em um momento em que há um plugin WordPress para tudo, a segurança do site nunca iria perder.

De acordo com a Security Week, 18,5 milhões de sites estão infectados com malware a qualquer momento. A mesma fonte continua dizendo que o site médio é atacado 44 vezes todos os dias.

Isso foi em 2018, e com uma média de meio milhão de novos sites sendo lançados diariamente, os números são impossíveis de ignorar.

Novos proprietários de sites podem cometer o erro de presumir que seu site não interessa a um possível invasor. No entanto, vale a pena considerar que ninguém quer administrar um site que ninguém visita.

Quer você adicione sua URL a materiais impressos, otimize seu conteúdo para mecanismos de busca ou grite sobre o lançamento nas redes sociais, o objetivo geralmente é atrair a atenção do seu público-alvo. Infelizmente, ao fazer isso, é inevitável que seu site também seja exposto a bots.

Na maioria das vezes, as violações de segurança do site raramente são manuais. Aqueles dispostos a investir tempo e esforço para entrar no back-end de um site quando normalmente não deveriam identificar alvos específicos.

Em vez disso, a maior parte das violações, especialmente em sites menores e mais novos, vem de bots e scripts. Eles usam os mesmos mecanismos de pesquisa que os usuários e geralmente executam os mesmos padrões de ataque relativamente básicos com os quais tiveram sucesso no passado.

O bom dos padrões é que eles são fáceis de identificar quando alguém sabe o que está procurando. Os desenvolvedores por trás de plugins de segurança populares são as pessoas perfeitas para o trabalho e analisam essas tentativas para garantir uma proteção robusta.

Wordfence, iThemes Security e Sucuri são escolhas imensamente populares, e cada uma possui opções gratuitas e pagas.

É claro que a atualização paga geralmente vale a pena, mas se você estiver com orçamento limitado ou quiser esperar para ver o desempenho de um site antes de investir mais, as versões gratuitas são infinitamente melhores do que nada.

2. Verifique se você instalou a criptografia SSL no site

Uma das coisas mais importantes da lista de verificação de segurança é a criptografia SSL. Alguns proprietários de sites podem achar que instalar a criptografia SSL é um desafio técnico. No entanto, os hosts da Web agora facilitam ao máximo a configuração dessa funcionalidade em um site WordPress.

Alguns hosts tornam isso possível com apenas um clique e garantem que seu certificado permaneça válido para sempre. Na pior das hipóteses, é necessário apenas seguir algumas instruções e copiar e colar algumas chaves de segurança. O mais importante de tudo, vale a pena fazer.

Conforme abordado em mais detalhes pela Kaspersky , um certificado SSL garante que as conexões entre sites e visitantes sejam protegidas.

Antes considerado essencial apenas para aqueles que processam transações financeiras em seus sites, o SSL agora é praticamente um padrão por si só e resulta em proteção HTTPS em todas as comunicações.

De fato, se um site afirma em seu código ter um certificado, mas parece haver erros em sua legitimidade, navegadores como o Google Chrome exibirão um aviso de página inteira, aconselhando um visitante em potencial a voltar atrás.

É claro que muitos usuários também utilizarão uma VPN para proteger suas comunicações com um site, mas isso não é desculpa para renunciar à proteção HTTPS.

Embora haja uma clara diferença entre HTTPS e uma VPN, o primeiro depende do proprietário do site para implementar, enquanto o último é uma camada de proteção adicional por parte do visitante.

A legislação on-line está evoluindo rapidamente e a privacidade on-line tem sido um tema quente há vários anos. Ao possuir um site, um indivíduo tem a responsabilidade de fazer o que puder para manter as informações do usuário seguras.

Isso não precisa ser caro ou tecnicamente intensivo, mas um proprietário de site responsável deve, pelo menos, garantir que tomou precauções razoáveis ​​para proteger os dados.

A integração SSL é uma etapa crítica para isso. Essa precaução também é considerada um fator de classificação pelo Google, e adicionar um pode resultar em um pequeno aumento no desempenho de pesquisa.

3. Proteja a página de login

A menos que haja falhas mais graves na forma como um site foi projetado, ou um ataque mais focado esteja em andamento, como um DDOS (Distributed Denial-of-Service), a maioria dos possíveis invasores exige acesso à área de administração de back-end de um WordPress instalação para causar danos graves.

Um pequeno aborrecimento do WordPress é que a página de login padrão é geralmente a mesma em todos os sites, com '/wp-admin/' anexado ao domínio primário.

Esses bots e scripts que mencionamos anteriormente estão condicionados a tentar acessar esta página como padrão. Uma solução rápida para reduzir sua potência é simplesmente movê-lo.

Você tem a vantagem de poder marcá-lo como favorito, anotá-lo ou alterá-lo com a frequência que preferir. Se alterado para um local aleatório, um ataque automatizado teria tanta dificuldade em encontrar a página quanto descobrir a senha.

Muitos dos plugins de segurança mencionados anteriormente permitem que os usuários alterem sua página de login padrão com apenas alguns cliques. Também é possível codificar manualmente a mudança usando CSS e plugins independentes como o LoginPress.

Ao dar este passo, também faz sentido verificar suas credenciais. Antes de um site entrar no ar, é tentador tornar o procedimento de login o mais simples e direto possível.

No entanto, quando um site se abre para o mundo, é igualmente atraente tornar a vida mais difícil para possíveis invasores.

Certifique-se de usar uma senha forte para todas as contas com privilégios de login – e potencialmente salve-as com um gerenciador de senhas como LastPass ou RoboForm . Tente evitar nomes de login óbvios também – 'admin', 'editor' e o nome do site devem ser evitados.

Lembre-se, o nome anexado às postagens não precisa ser o mesmo que o nome usado para fazer login, portanto, não se preocupe em torná-lo visível publicamente.

4. Organize Backups Regulares

Se proteger um site WordPress fosse um trabalho rápido, fácil e infalível, ninguém se incomodaria em realizar as dezenas de milhões de ataques automatizados que ocorrem todos os dias.

Mas, infelizmente, às vezes há falhas de segurança, enquanto esses scripts são particularmente sortudos em outros. Portanto, faz sentido manter backups regulares do seu site e, o mais importante, mantê-los em outro lugar que não seja o servidor.

Os backups também combatem um dos elementos mais frequentemente negligenciados da proteção de um site – o erro do usuário. Mesmo os proprietários de sites mais experientes erram, e um simples clique errado pode facilmente comprometer as defesas robustas.

Criar o hábito de backups regulares também minimiza os danos em casos além da segurança. Sites inativos e irrecuperáveis ​​são raros e pouco preocupantes, mas quando uma alteração de código específica pode derrubar um site grande, muitas vezes pode ser mais fácil reverter as alterações do que levar tempo para identificar o problema.

Isso pode significar perder alguns dias de coleta e publicação de dados, mas geralmente é um preço pequeno a pagar em troca de um site sem compromissos.

Sem surpresa, os plugins costumam ser a melhor solução aqui mais uma vez. O backup do Updraft Plus é inquestionavelmente o mais popular.

Embora haja definitivamente uma curva de aprendizado para tirar o máximo proveito dele, o plug-in se compara bem às suas contrapartes de segurança ao oferecer versões gratuitas e pagas, com o primeiro fazendo um excelente trabalho em novos sites.

Além disso, ele pode ser configurado para fazer backup de sites inteiros e depois enviá-los por e-mail ou armazená-los em uma das várias contas de armazenamento em nuvem.

No geral, um ótimo site WordPress não apenas chama a atenção e incorpora conteúdo incrível, mas coloca a segurança deles e de seus visitantes no topo da lista de prioridades.

O artigo é sobre a lista de verificação de segurança antes de lançar seu novo site. Com tantos plugins por aí que são tão fáceis de usar e configurar quanto os nossos, até mesmo os novatos virtuais do WordPress podem criar um site seguro e pronto para ser lançado.