Dicas para proteger seu site WordPress contra vulnerabilidades

Você pode acabar neste artigo procurando por Como proteger o site WordPress contra explorações? ou

Como prevenir pelo site WordPress contra hacks e malware?

Ou Dicas protegem seu site WordPress contra todas as explorações.

Claro que este é o artigo certo e fala sobre todos os tipos de técnicas, ferramentas e plugins para ajudá-lo a proteger seu site WordPress.

De acordo com a W3Techs, o WordPress alimenta mais de 58% de todos os sites que usam CMS, o que representa 24,9% de todos os sites do mundo.

Portanto, com o aumento no uso do WordPress e com a crescente popularidade de quão fácil é configurar e usar, houve um aumento no uso de mais e mais temas do WordPress, bem como plugins.

Mas como é fácil, há também um piloto que vem junto. Torna-se bastante fácil para os hackers invadi-lo se usado em todas as suas configurações padrão.

Daí a necessidade de entender a segurança e proteger seu site com WordPress, porque ninguém gosta de ter seu site invadido.

É óbvio que quando você pesquisa no Google esta palavra-chave: “prevenir o hack do WordPress” aparece com 8 milhões ou mais resultados que desesperadamente pessoas como desenvolvedores e usuários iniciantes querem conhecer técnicas e ferramentas de prevenção de hacks para seu site WordPress.

Aqui está uma lista de dicas e ferramentas, bem como técnicas que nós, como desenvolvedores de temas do WordPress, poderíamos pensar.

É claro que este artigo pode levar a uma discussão e mais contribuições e mais adições podem ser feitas com o passar do tempo.

Vamos começar com as técnicas mais simples e depois passar para as mais complexas:

Dicas mais simples para segurança:

1. Hospedagem : Sua hospedagem desempenha um papel crucial e importante na segurança do seu site WordPress. Muitas vezes, é o host ruim que faz com que você seja hackeado.

Se você tiver uma ótima hospedagem, muitas coisas podem ser resolvidas rapidamente e a maior parte de sua frustração pode ser reduzida. Por exemplo: Os backups são fáceis.

Ataques de força bruta e spam e injeção de SQL são frequentemente verificados e evitados. Por isso, falaremos sobre os hosts mais recomendados e suas ferramentas.

uma. Hospedagem Compartilhada : A maioria das pessoas quer apenas iniciar seu site e, portanto, não quer gastar muito na primeira vez e, portanto, seleciona a hospedagem compartilhada como sua plataforma.

Existem milhares de empresas de hospedagem que fornecem hospedagem compartilhada e não podemos adicionar todas elas aqui, mas estamos incluindo apenas 4 hospedagem compartilhada que testamos pessoalmente e podemos recomendar.

No entanto, pode haver um serviço ainda melhor ou semelhante. Informe-nos:

eu. Bluehost : Bluehost tem sido constantemente referido pelo WordPress.org em sua página de hospedagem: https://wordpress.org/hosting/ É um bom ponto de partida para hospedagem compartilhada caso você precise de um site WordPress, pois possui hospedagem premium WordPress para hospedagem compartilhada futura e simples com instalação de 1 clique.

Como é uma hospedagem compartilhada que custa de 3 a 4 dólares por mês, você não pode reclamar muito da falta de recursos ou serviços.

No entanto tem uma ferramenta automatizada para backup conhecida como assistente de backup que vem junto com o cpanel que você pode usar. Assim, os backups podem garantir que você esteja seguro e, se seu site for invadido, você poderá restaurar o backup.

ii. A Small Orange : Estamos hospedados pessoalmente nesta hospedagem e a maioria dos recursos presentes no Bluehost estão presentes aqui. Mas acima de tudo o que mais gostamos e podemos dizer que é ainda melhor que o host acima é o suporte.

Os tickets de suporte são respondidos dentro de 5-6 horas e sempre podemos conversar com alguém no chat ao vivo em poucos minutos.

O suporte é o que faz com que este host se destaque do resto, porque há muitas respostas e ajuda que eles podem fornecer gratuitamente. Tudo que você precisa fazer é pedir a eles. Exemplo: instalação do cache do servidor NGINX, Backups e como usá-lo etc.

iii. SiteGround : Outra hospedagem compartilhada popular do WordPress, eles também fornecem boas ferramentas para você fazer backup do seu site. Rest cpanel e recursos padrão estão presentes. O chat também é proativo e os tickets de suporte são respondidos com frequência.

4. Godaddy : Godaddy é o maior registrador de domínios e, portanto, muitos também o preferem para sua hospedagem. Overtime Godaddy também fez várias mudanças para torná-lo uma hospedagem confiável para WordPress.

Ele também começou a oferecer hospedagem Cpanel WordPress padrão, que permite backups e outras ferramentas fáceis de usar.

b. Hospedagem gerenciada do WordPress : Para quem tem pouco orçamento e deseja que a hospedagem gerencie sua segurança para eles.

Essas 2 empresas de hospedagem dentre as muitas que achamos confiáveis, mais baratas do que o resto e muitas vezes ajudando você a proteger seu site, além de informar quais plugins são bons e quais não são bons.

Eles também têm backups noturnos, o que significa que você está tranquilo com eles. Portanto, sempre que ocorre um hack, o que é raro, pois eles o gerenciam, eles podem restaurar o backup rapidamente:

eu. WP Engine : WP Engine permite que você conheça a lista de plugins que eles recomendam para a maioria. Portanto, os plugins vulneráveis ​​são mantidos à distância.

ii. FlyWheel : O Flywheel diz para você não instalar nenhum plug-in de segurança, pois eles lidam com a segurança, o que significa que você não precisa fazer nada depois de instalar com eles e eles cuidam do resto.

2. Backups : Backups podem ser feitos pelo gerenciador de arquivos cpanel ou via ftp (para arquivos) e download do banco de dados usando phpMyAdmin usando o cpanel ou o acesso ao banco de dados do host.

Existem centenas de tutoriais por aí sobre como você pode fazer backup do seu site WordPress manualmente. No entanto, você deve considerar a leitura dos Procedimentos de Backup do Codex, pois eles são seguros e foram bem escritos: http://codex.wordpress.org/WordPress_Backups.

Existem vários plugins também. Vamos falar sobre eles em breve, pois a maioria deles que mencionamos aqui está funcionando bem e tem boas críticas de outras pessoas:

uma. BackUpWordPress
b. BackUpBuddy (versão paga deste plugin também presente)
c. VaultPress
d. Backup e restauração do Dropbox
e. Backup e restauração do Amazon S3

3. Atualize a versão do WordPress : Na maioria das vezes, devido ao uso de uma versão mais antiga do WordPress, seu site corre o risco de ser invadido. O WordPress reconhece muitas falhas e parâmetros de segurança em suas versões anteriores e conforme relatado por colegas colaboradores que são atualizados de tempos em tempos.

Portanto, usar a versão mais recente do WordPress deve reduzir o risco de ser invadido ou anexado por malware.

4. Atualizando plugins e temas do WordPress: Geralmente, da mesma forma, autores de temas e autores de plugins lançam atualizações e recursos. Na maioria das vezes, são atualizações de recursos.

Mas, de tempos em tempos, esses autores também reconhecem falhas de segurança e, portanto, é uma boa prática continuar usando os plugins e temas atualizados também.

5. Altere o nome de usuário e a senha padrão: O nome de usuário padrão e a senha padrão são usados ​​como uma série simples de números ou manter o administrador, desde que você esteja no servidor local ou em um site de teste.

Mas para sites de negócios é importante que você altere o nome de usuário e a senha padrão.

Agora, com as versões mais recentes do WordPress, é possível escolher um nome de usuário seguro e gera uma senha segura, mas para usuários com versões mais antigas do WordPress, você pode acessar seu perfil para alterar sua senha.

No entanto, para alterar o nome de usuário, use o phpMyAdmin caso você se sinta confortável em alterá-lo ou use qualquer um dos plugins abaixo:
uma. Renomeador de administrador estendido
b. Alterador de nome de usuário

6. Autenticação em 2 etapas para ataques de força bruta : A autenticação em 2 etapas é essencial caso seu site receba muitos ataques de força bruta e tenha um alto tráfego ou informações confidenciais.

A autenticação em 2 etapas protege a área de login do seu site WordPress e a torna muito complexa para ataques de força bruta. Os plugins que podem ser usados ​​para autenticação em 2 etapas são:
uma. Clave
b. Duo
c. Autêntico
d. Autenticador do Google
e. Rublon

Essas etapas simples devem fazer com que o usuário se sinta tranquilo em termos de pelo menos backups oportunos e pelo menos apresentar seu site com o mínimo de segurança.

As próximas etapas que discutiremos são etapas mais complexas para proteger ainda mais seu site WordPress.

Etapas complexas:

1. Etapas listadas no Hardening WordPress pelo Codex : http://codex.wordpress.org/Hardening_WordPress
A maioria dessas etapas é para desenvolvedores ou para pessoas que usam o WordPress há bastante tempo e entendem como o wp-config funciona.

Ter usado gerenciador de arquivos ou ftp e pode implementar alterações no htaccess, wp-config etc.

Essas etapas certamente agem como um ponto de partida para proteger seu site. No entanto, alguns dos poucos plugins de segurança que discutiremos a seguir colocarão uma cobertura líquida de segurança em seu site WordPress e, portanto, você também deve verificar os seguintes:

2. Plugins que ajudarão na detecção de malware e na detecção de alteração de arquivos :

uma. Sucuri Site Scan : O Sucuri Site Scan tem algumas abas. Na primeira guia estão as configurações gerais sobre quando ser notificado para alertas como login, ataques de força bruta, registro de novos usuários, alertas para tentativas de login com falha, instalação de plugins etc.

Portanto, se você tem muitos usuários em seu site e muitos administradores ou editores que podem instalar o plug-in, esses recursos são úteis e essenciais.

A segunda é a verificação de malware, que informa sobre qualquer tipo de malware ou códigos maliciosos presentes em qualquer diretório de plugin ou tema.

Ele também verifica arquivos de erro, arquivos modificados, se houver. A verificação deve ser reduzida se o tráfego do seu site for baixo e você estiver hospedado em uma hospedagem compartilhada, pois a verificação também ocupa muita memória RAM da hospedagem.

A terceira parte é o fortalecimento da segurança, como remover a versão do WordPress (como as versões inferiores são mais propensas a hackers, os hackers verificam a versão e sabem em qual versão que tipo de vulnerabilidades de segurança estão presentes).

Portanto, a remoção da versão do WordPress, o diretório de uploads onde a mídia é armazenada precisa ser protegido e protegido, restringindo o acesso ao conteúdo wp, readme.html a ser protegido, a conta de administrador padrão a ser removida e alterada, o prefixo de banco de dados padrão a ser alterado Proteção do Firewall Sucuri .

Não testamos isso, mas aparece usando o Cloudproxy Firewall, que afirma que deve ajudá-lo a proteger seu site contra DDOS, Força Bruta e injeções de SQL. Se você usou esse recurso, informe-nos, pois não temos provas de que esse firewall realmente ajude.

b. Antivirus : Outro plugin que achamos útil é o Antivirus. Ele detecta arquivos de tema do WordPress e arquivos de banco de dados para segurança e exploração.

O único contra deste plugin de segurança é que ele usará wp-cron e se você configurar uma verificação diária e caso sua hospedagem compartilhada não seja tão poderosa e seu site seja maior em tamanho.

Em termos de páginas, postagens e banco de dados, esse plugin pode consumir muitos recursos, pois verifica os arquivos e as tabelas do banco de dados.

c. Anti-Malware and Brute Force Security da ELI : Anti-malware and Brute Force Security, como o nome sugere, faz um ótimo trabalho nesse sentido.

Caso você se inscreva no plugin em gotmls.net, você recebe todas as atualizações de ameaças conhecidas. Ele também verifica se há scripts no htaccess, verifica se há explorações de timethumb e avisa, verifica se há scripts de backdoor e pede para não usá-lo e verifica se há vulnerabilidades no seu login.

Assim, este plugin faz a tarefa de anti-malware. Verifica todos os arquivos originais do WordPress também. Você pode usá-lo e verificar quaisquer problemas em seu site existente e corrigi-los.

d. Verificador de autenticidade do tema : Bem, na maioria dos casos, tentamos escanear os plugins e a segurança geral do painel do WordPress, como login, arquivos do WordPress etc.

Mas os temas do WordPress e sua segurança também são importantes porque pode haver scripts desnecessários ou códigos maliciosos ofuscados que podem ser facilmente hackeados.

Portanto, este plugin serve como uma boa ferramenta para verificar e verificar seu tema e, uma vez que você saiba quais arquivos são indesejados ou qual código é problemático, pode encaminhá-lo ao autor do tema original para remoção ou alteração de código.

Para práticas mais seguras ou se houver muitas vulnerabilidades, use um tema mais seguro. Na maioria dos casos, para verificações de temas, ele se sai melhor que o Antivírus.

3. Plugins de segurança que protegerão seu site WordPress

uma. All in One WP Security and Firewall : Este cuida do seguinte, que resume a maior parte da segurança que você pode ter em seu site:
eu. Segurança de login do usuário
ii. Segurança da conta do usuário
iii. Segurança do registro do usuário
4. Segurança de arquivos do sistema
v. Configuração de firewall
vi. Recurso de lista negra
vii. Segurança do banco de dados
viii. Backups
ix. Firewall e Força Bruta

b. Segurança WordFence

c. Melhor segurança WP (agora iThemes Security)

d. Segurança à prova de balas

4. Outros mantidos fora desta lista, mas podem ser úteis :

uma. Acunetix WP Security : Recentemente, muitas críticas negativas surgiram para este plugin no WordPress.org, portanto, não poderíamos recomendá-lo a você.

b. 6Scan Security : Muitos clientes reclamaram sobre o site ficar em branco após a instalação deste plugin e, portanto, não poderíamos recomendá-lo a você.

c. Explorar Scanner

d. Verificador de malware da Web Quttera