Maneiras de proteger seu blog WordPress

O WordPress tem a reputação de não ser seguro. A maioria dos proprietários de sites acredita que a natureza de código aberto da plataforma a torna vulnerável a todos os ataques e violações de segurança existentes. No entanto, isso está longe de ser o caso. A maioria das violações de segurança do WordPress vem de erro humano. Portanto, você pode proteger qualquer site WordPress se apenas tomar as mesmas precauções que faria com qualquer plataforma. Embora nenhuma plataforma seja perfeita, você pode proteger seu blog WordPress se seguir algumas precauções.

Protegendo a página de login para evitar ataques de força bruta

A página de login do WordPress é o recurso mais atacado da plataforma. É a porta para o back-end de administração do seu site. Por causa disso, os hackers tentam forçar o caminho através dele. Embora você deva usar uma página de login personalizada, se precisar usar o que o WordPress oferece, poderá proteger seu blog das seguintes maneiras.

Adicionar um recurso de bloqueio e banir usuários

Os plug-ins de bloqueio impedem ataques de força bruta bloqueando o site após detectar tentativas repetitivas de login com falha. Você então receberia um aviso para esses logins não autorizados. Embora a maioria dos plug-ins de segurança ofereça esse recurso, você também deseja um que permita banir o endereço IP do invasor.

Usar autenticação de dois fatores

A autenticação de dois fatores (2FA) também é uma medida de segurança muito eficaz. Ele usa login usando dois componentes diferentes. Você, como proprietário do site, decide quais são esses componentes. Você tem a opção de usar uma senha e uma pergunta secreta, código, caracteres ou aplicativos móveis de autenticação, como o aplicativo Google Authenticator.

Faça IDs de e-mail em vez de nomes de usuário

Os endereços de e-mail são únicos, tornando-os difíceis de prever. O WordPress requer um endereço de e-mail exclusivo para cada conta. Portanto, faz sentido usá-lo também como identificador de conta.

Renomeie seu URL de login

Se você não puder adicionar um plug-in à sua instalação, sempre poderá alterar o endereço da web da página de login. É um recurso simples que tornará seu site imediatamente 99% mais seguro.

Senhas seguras

Alterar e usar senhas fortes são sempre boas dicas para qualquer site, WordPress ou outro. Na verdade, você deve usar essa prática com todas as suas contas, e não apenas com seu próprio site. Alterar sua senha regularmente faz sentido.

Desconectar usuários inativos

Quando os usuários deixam seu site aberto em suas telas, eles representam uma ameaça à segurança. Qualquer um pode parar e alterar as informações. Eles podem até alterar a conta do usuário ou sequestrar todo o site. Você pode eliminar essa ameaça simplesmente desconectando-os automaticamente após um limite de tempo definido.

Protegendo o painel de administração do WordPress

Embora a página de login seja a mais atacada, os hackers realmente querem seu painel de administração. Assim, você deve torná-lo a parte mais protegida do seu site.

Proteja o diretório Wp-Admin

Portanto, a maioria dos seus esforços de segurança do WordPress deve envolver o diretório “/wp-admin”. Para começar, você deve ter a pasta protegida por senha. Você pode ter que enviar duas senhas para acessar o painel, mas esse é um pequeno preço a pagar pela segurança adicional.

Usar criptografia SSL

SSL (Secure Socket Layer) é sempre uma boa jogada. Também é um requisito de SEO se você deseja que o Google e outros principais mecanismos de pesquisa listem seu site. Você deve obter um certificado SSL para o seu blog o mais rápido possível. Também é uma ótima maneira de proteger sua área de administração.

Restringir o uso da sua conta de usuário

Você só precisa de quantas contas de usuário precisar. Você nunca quer dar acesso a várias pessoas ao seu painel de administração. Esse privilégio só deve ir para quem realmente precisa dele para manter seu blog. Mesmo assim, você ainda deseja restringir o acesso de alguma forma.

Faça IDs de e-mail em vez de nomes de usuário Use um nome de usuário de administrador diferente

Assim como a página de login, todos conhecem a conta padrão de 'admin' do WordPress. As pessoas só precisam adivinhar sua senha e elas estão no seu site. Você pode parar isso alterando o nome de usuário da conta de administrador.

Monitore seus arquivos

Por fim, você deve sempre monitorar seus arquivos quanto a alterações não autorizadas por meio de plugins como o Wordfence.

Proteja o banco de dados

Se eles não puderem entrar pela porta da frente, os hackers tentarão a porta dos fundos. Os dados do seu site estão em um banco de dados. Proteja-o o máximo possível.

Alterar o prefixo da tabela

Para rastrear as informações do seu site, o WordPress atribui um prefixo a todas as tabelas de banco de dados que ele cria. Você deve mudar isso para algo único. O prefixo padrão torna seu site vulnerável a ataques de injeção de SQL.

Backups regulares

Você nunca pode proteger seu blog perfeitamente, mas pode garantir que sempre poderá restaurá-lo ao normal. Você só precisa de backups externos regulares.

Senhas fortes de banco de dados

Assim como com suas contas de usuário, você deseja uma senha forte para sua conta de banco de dados.

Registros de monitoramento e auditoria

WordPress e MySQL registram tudo. Se você precisar ver o que aconteceu com seu site, poderá ver esses arquivos de log. Dessa forma, você saberá o que mudou e quem fez as alterações.

Proteja seu servidor

Sua solução de hospedagem de sites pode oferecer infraestrutura de rede segura, mas você nunca deve ouvi-los totalmente; será importante verificar a segurança de seus dados de usuário e a maneira como eles acessam seus arquivos privados. Sempre certifique-se de que seu site seja o mais seguro possível.

Seguro Wp-config.php

Este arquivo contém as configurações padrão do seu site e as informações do banco de dados. Assim, é o arquivo mais importante no diretório raiz do seu site. Portanto, você deseja tornar impossível acessá-lo.

Não permitir edição de arquivo

Qualquer pessoa com acesso ao seu painel do WordPress pode alterar seus arquivos do WordPress, incluindo seus plugins e temas. Você pode parar isso configurando o “define('DISALLOW_FILE_EDIT', true);” sinalizador no arquivo wp-config.

Use o acesso FTP seguro

Você só deve usar SFTP ou SSH para fazer upload de arquivos para seu site. O FTP seguro garante que suas transferências de arquivos sejam sempre seguras. Se o seu host fornece se já, isso é ótimo. No entanto, você pode fazer isso manualmente, conforme necessário.

Permissões de diretório seguro

Permissões erradas levam a violações. Portanto, você deseja reescrevê-los para o que é necessário para o funcionamento do seu site. Normalmente, você deseja definir suas permissões de diretório para “755” e seus arquivos para “644”.

Desativar listagem de diretórios

Na maioria dos servidores web, se um diretório não tiver um index.html ou outra página “default” registrada, o servidor produzirá uma lista completa de diretórios se alguém acessar o diretório. Você deve desativá-lo manualmente no arquivo .htaccess do seu site.

Bloquear Hotlinks

Hotlinking permite copiar e postar imagens e mídia de um site para outro. Embora possibilite o compartilhamento, também rouba a largura de banda do servidor original. Você pode aumentar o desempenho do site e reduzir suas taxas de hospedagem apenas bloqueando esse recurso em seu site.

Proteja-se contra ataques DDoS

Os ataques DDoS são o ataque relacionado ao servidor mais comum em qualquer site. Os invasores usam vários programas e sistemas para sobrecarregar seu servidor. Embora mantenha seus arquivos protegidos, pode travar seu site se não for resolvido.

Outras maneiras de proteger seu blog WordPress

Estas são apenas algumas das maneiras de proteger seu blog ou site WordPress. À medida que surgem novas ameaças, o grupo de desenvolvimento do WordPress e os desenvolvedores de todo o mundo enfrentam o desafio de garantir seus dados e páginas. Você só precisa manter sua instalação, temas e plugins do WordPress atualizados com seus últimos lançamentos. Outras maneiras incluem o uso de hospedagem gerenciada do WordPress, ocultando seus números de versão e mantendo-se informado sobre quaisquer desenvolvimentos de segurança na comunidade do WordPress. A comunidade oferece a chance de você fazer perguntas e obter respostas que você não pode obter em uma simples postagem no blog. Com este conselho, você pode ter certeza de que seu site é o mais seguro e seguro possível.