15 truques de segurança do WordPress para proteger seu site WordPress

Tem havido tantas notícias sobre sites WordPress sendo hackeados ultimamente. E muitas pessoas começaram a questionar a segurança do WordPress devido aos ataques recentes.

Portanto, se você possui um site WordPress, deve agir de acordo com essas 15 técnicas de segurança do WordPress que ensinarei neste guia.

Antes de ir direto ao assunto, deixe-me avisá-lo com antecedência.

Enquanto você está aqui ocupado lendo este artigo, algum script kiddie pode estar tentando invadir seu site (WordPress ou não).

A sério?

sim.

“Por que alguns caras perderiam seu tempo comigo? Não é como se eu fosse um grande negócio.”

Bem, não quero aumentar suas preocupações, mas os hackers gostam de sites pequenos porque são um alvo fácil.

Por que a segurança do site é um grande alvoroço?

Ok, alguém está tentando invadir meu site, mas por que eu deveria me importar? Especialmente, desde que eu tenho um backup de tudo. Eu poderia simplesmente excluir o WordPress e reinstalá-lo.

Sua pergunta é válida. Mas, e se o hacker obteve acesso ao seu backup e host da web?

Além disso, existem outros riscos se um pirata de computador obtiver o controle do seu site, alguns deles são…

1. Os hackers podem roubar suas informações e as informações de seus visitantes e usá-las para fins ilegais.
2. Se você está apenas começando a receber visitantes, o tempo de inatividade afetará você a longo prazo.
3. As pessoas vão começar a questionar a qualidade do seu site.
4. Os invasores podem postar algo ofensivo ou ilegal em seu site, pelo qual você pode ter que enfrentar consequências (legais ou não).

Mas, por que alguém faria todo o esforço apenas para dar problemas a um pequeno site como o meu?

1. Um site pequeno é fácil de hackear.
2. Hackers testam suas ferramentas em pequenos sites para um projeto maior.
3. Eles podem usar seu host para enviar e-mails de spam.
4. Os invasores usam recursos de pequenos sites para atacar “grandes caras”. Seu servidor web pode fazer parte de uma botnet para ataques DDoS.
5. Os hackers podem usar seu site para espalhar malware. Milhares de sites pequenos são uma boa maneira de espalhar malware porque os proprietários de sites pequenos não podem pagar especialistas em segurança para verificar a segurança.
6. Os hackers podem usar seu site para aumentar o tráfego e a classificação do Google de seu próprio site postando backlinks.

Portanto, mesmo que você esteja começando a configurar um site, deve ter muito cuidado com a segurança. Não é apenas sobre você. Seu descuido pode afetar os outros também (ataque DDoS).

WordPress foi hackeado, você deve procurar outras plataformas?

Em primeiro lugar, nenhum sistema (site ou computador pessoal) é seguro. As pessoas até encontraram maneiras de invadir sistemas air-gap (computadores isolados).

Qualquer que seja a plataforma que você escolher, os hackers encontrarão um caminho para entrar nela.

A razão pela qual tantos sites WordPress são invadidos é porque o WordPress é muito popular. Cerca de 27% dos sites usam WordPress, e está crescendo. Assim, o WordPress se tornou uma mina de ouro para hackers e spammers.

Os cyberpunks atacam consistentemente o WordPress porque, se conseguirem encontrar uma vulnerabilidade, podem assumir o controle de 27% da Internet.

Outra razão pela qual os sites do WordPress são invadidos é porque é um ambiente aberto. Os usuários podem codificar e modificar os próprios sites. Eles podem adicionar plugins de terceiros.

Então, você deve encontrar outro CMS para o seu site?

Não.

O problema não é com o código principal do WordPress, são os plugins e temas que você instala. Mas então, como eu disse anteriormente, nenhum sistema é completamente seguro.

Se o próprio WordPress não fosse seguro, por que 27% da web o usaria?

Muitos voluntários têm um cuidado especial para manter o sistema central e o repositório do WordPress. Os temas e plugins que estão disponíveis no repositório do WordPress são testados exaustivamente quanto à segurança e confiabilidade.

Além disso, a equipe do WordPress aborda todos os problemas de segurança com muita habilidade. Eles lançam atualizações com patches de segurança constantemente. Então, você pode confiar no WordPress para o seu site.

No entanto, você, como proprietário de um site, também deve ter um cuidado extra. Você deve sempre monitorar seu site regularmente.

Aqui estão 15 medidas de segurança do WordPress que você deve seguir para minimizar o risco de seu site ser invadido!

Dica profissional: Sempre faça backup de seus arquivos do WordPress, incluindo banco de dados, antes de fazer alterações em seus arquivos e instalar plugins de segurança.

Nota: Alguns dos links neste guia são links afiliados. Ganhamos uma certa comissão se você comprar serviços/produtos através dos links, sem nenhum custo extra para você. Dito isto, não recomendamos produtos que não valem a pena.

1. Use nome de usuário e senha exclusivos

Quando você instala o WordPress, o WordPress cria automaticamente um nome de usuário chamado “admin”. Eu acho que é um ótimo recurso porque me poupa da tediosa tarefa de digitar meu próprio nome de usuário. Posso me concentrar em outras coisas realmente importantes. Obrigado, WordPress!

Eu sei eu sei. Isso é uma desculpa estúpida. Mas, você alterou o nome de usuário “admin” padrão ao instalar o WordPress? Bem-vindo ao clube!

Quando os hackers tentam fazer login no seu painel de administração, eles primeiro tentam “admin” como o nome de usuário.

Qual é o problema do nome de usuário quando você tem uma senha forte?

Bem, eu sei que ter uma senha forte é uma coisa boa. Mas, se você ainda usa “admin” como seu nome de usuário, você está reduzindo o esforço do hacker pela metade. As permutações são reduzidas.

Os hackers podem tentar a combinação de senhas diferentes, pois já conhecem seu nome de usuário.

Mas, a chatice é que você não pode alterar nomes de usuário no WordPress!

Embora você possa instalar algum plugin para alterar o nome de usuário, não recomendo usar plugins para tarefas simples.

Portanto, basta criar um novo usuário com privilégio administrativo e excluir o antigo usuário administrador. Não se preocupe, o WordPress perguntará o que você quer fazer com as postagens que o usuário criou.

Ao criar um novo usuário, use um nome de usuário que não seja muito óbvio, como “meunome” ou “meusitename”.

Quanto à senha, a regra simples é que sua senha deve ser complexa , longa e única .

Complexo: Sua senha deve conter pelo menos 1 número, 1 letra maiúscula e 1 caractere especial.

Longa: Sua senha deve ter pelo menos 10 caracteres.

Exclusivo: Sua senha não deve conter palavras ou frases comuns. E você deve usar senhas diferentes para cada site.

Depois de aplicar as regras de senha acima, sua senha deve ficar assim: LTwYgrsewDhw@ertzK9#M!K%

Essa é uma senha forte. Mas o problema é que somos seres humanos, e isso é difícil de lembrar.

Portanto, utilize ferramentas como LastPass e KeePass. Eles são gratuitos e você pode usá-los em vários dispositivos.

Se você ainda acha que pode se safar com senhas simples porque é criativo, espero que isso mude de ideia.

2. Use autenticação de dois fatores

Agora você usou um nome de usuário exclusivo e uma senha forte para o painel de administração do WordPress.

Excelente!

Esse é um passo para uma melhor segurança do WordPress.

Mas, não importa o quão forte, as senhas podem ser quebradas! Os hackers usam ataques de força bruta (falaremos sobre isso mais tarde) para penetrar no seu site. Um forte ataque de força bruta pode quebrar qualquer senha.

É por isso que você deve começar a usar a autenticação de dois fatores em seu site. Vai aumentar a segurança.

A autenticação de dois fatores exige que você insira um código de segurança além de nome de usuário e senha para fazer login. Depois de ativar a autenticação de dois fatores, você receberá algum código (uso único) em seu smartphone. Você só poderá fazer login depois de inserir o código.

Eu sei, isso é um aborrecimento, mas, lembre-se, é melhor prevenir do que remediar. A menos que os gurus da segurança encontrem algumas opções de login de DNA, dois fatores são o melhor método de segurança disponível.

Infelizmente, o WordPress não possui configurações embutidas para adicionar autenticação de dois fatores. Você terá que usar um plugin chamado Google Authenticator.

Se você não está familiarizado com a verificação em duas etapas do Google, Evanto tuts+ tem ótimos tutoriais sobre como usar o autenticador de 2 fatores do Google com WordPress.

3. Verifique o usuário como um ser humano

Hackers usam botnets para atacar sistemas com força bruta. E, uma maneira de realmente causar problemas aos hackers é usar um formulário reCAPTCHA.

Geralmente, os botnets não podem validar o reCAPTCHA, portanto, os hackers precisam tentar manualmente inserir nomes de usuário e senhas. Isso, meu amigo, é uma dor de cabeça... você sabe onde.

Mas, o antigo reCAPTCHA, que usa texto distorcido, não é eficiente. Todos nós já estivemos lá quando você tem que adivinhar algumas cartas.

Para tornar a experiência do reCAPTCHA mais amigável e repelente de bots, o Google introduziu o novo “No CAPTCHA reCAPTCHA”. O novo reCAPTCHA invisível pode até detectar um humano automaticamente.

Você pode adicionar o reCAPTCHA em seu login, comentário e/ou formulário de registro do WordPress manualmente ou usando um plug-in No CAPTCHA reCAPTCHA.

Mas, primeiro, você precisa obter sua chave reCAPTCHA do Google. Depois de obter as chaves, insira-as em seus códigos, se estiver fazendo isso manualmente, ou nas configurações do plug-in, se usar um plug-in.

4. Atualize o WordPress

Você deve sempre atualizar o WordPress. As atualizações do WordPress não são apenas para adicionar recursos. As atualizações são lançadas, mais importante, para corrigir bugs e falhas de segurança.

Mas e se eu tiver problemas de compatibilidade com meus temas e plugins depois de atualizar o WordPress? Bem, geralmente, bons temas e plugins lançam atualizações assim que o núcleo do WordPress é atualizado.

Se os plugins ou temas que você usa não foram atualizados, é hora de encontrar alternativas para eles.

A maioria dos sites que são invadidos usa WordPress ou plugins ou temas desatualizados. As versões desatualizadas dos Plugins podem colocar seu site em risco.

Portanto, atualize seus temas e plugins o mais rápido possível! Se não houver atualizações disponíveis, altere-as. Você pode encontrar muitos temas e plugins atualizados no repositório do WordPress.

Você também pode experimentar nossos temas WordPress. Nós os atualizamos regularmente para que você não precise se preocupar com problemas de segurança dos temas.

Como atualizar o WordPress

Atualizar o WordPress é fácil. O WordPress exibe automaticamente notificações no Dashboard se houver atualizações para o sistema principal, temas ou plugins.

Vá para Painel> Atualizações e clique nos botões de atualização.

Você também pode ativar as atualizações automáticas para que seu WordPress principal, plugins e temas se atualizem automaticamente para versões menores. Você receberá uma notificação por e-mail quando seu site for atualizado automaticamente.

5. Desative a edição de arquivos

Você pode personalizar facilmente seu site com o editor de código embutido no WordPress.

No entanto, imagine que os hackers de alguma forma conseguiram fazer login no seu site. Agora, eles também podem editar facilmente seu site usando o editor. Portanto, é uma prática segura desabilitar a edição do WordPress por meio do editor.

Para desativar o editor, faça backup do seu WordPress primeiro. Em seguida, localize o arquivo wp-config.php no back-end do seu site. Você pode encontrar wp-config.php na pasta raiz do seu site junto com outras pastas como wp-admin e wp-content .

Você pode usar o cliente FTP para se conectar ao back-end do site. Ou, se você tiver acesso ao cPanel, poderá usar o gerenciador de arquivos disponível no cPanel.

Agora, adicione a seguinte linha de código no arquivo wp-config.php e salve o arquivo

Depois que o arquivo for atualizado, você não poderá editar os modelos de tema usando o painel do WordPress. Você ainda pode modificar os temas usando o FTP ou o Gerenciador de Arquivos do cPanel.

6. Limite as tentativas de login

Quando você instala o WordPress, o WordPress pergunta se você deseja instalar o plug-in de limite de tentativas de login ou não.

Limitar as tentativas de login é uma ótima maneira de proteger seu site contra ataques de força bruta.

Os hackers tentarão fazer login no seu site com diferentes combinações de login. No entanto, se você ativar o limite de tentativas de login, estará permitindo que os usuários tentem fazer login apenas por um determinado número de vezes, após o qual o usuário será bloqueado.

Se você esqueceu de marcar esta opção durante a instalação do WordPress, não se preocupe. Você pode encontrar o plugin no repositório do WordPress.

Vá para Plugins> Adicionar novo no menu do painel do WordPress. Procure por “Loginizer” e instale e ative o plugin.

Depois de ativar o plugin, vá para Loginizer Security> Brute Force no menu de administração do WordPress para configurar a proteção de login.

7. Proteção contra ataques de força bruta

Os hackers usam ataques de força bruta para obter acesso ao painel de administração ou às contas de FTP do seu site. Basicamente, um ataque de força bruta é um método de tentativa e erro. É como tentar diferentes combinações de teclas para abrir uma fechadura. Os invasores podem usar botnets para automatizar os ataques.

Para proteger seu site de se tornar alvo de ataques de força bruta, siga as instruções 1, 2, 3 e 6.

Você também pode alterar o URL de login padrão (www.mywebsite.com/wp-admin/) para que os hackers tenham dificuldade em encontrar o formulário de login em primeiro lugar.

Você pode criar um URL de login personalizado usando um plugin chamado All In One WordPress Security & Firewall. Depois de instalar o plug-in, vá para a seção Brute Force para habilitar o URL de login personalizado. Este plugin tem tantos recursos que você nem precisará de outros plugins de segurança do WordPress se instalar este.

8. Proteção contra ataques DDoS

Com tantos dispositivos habilitados para Internet, a frequência de ataques DDoS tem aumentado.

DDoS é um método de sobrecarregar um site/serviço com tráfego falso com a intenção de derrubar o serviço. Os hackers usam sistemas infectados (que possuem malware) para realizar ataques DDoS. Em 2016, hackers amassaram o DYN colocando muitos sites famosos como Twitter, Amazon, Reddit e Netflix offline.

Portanto, você deve estar sempre pronto para enfrentar ataques DDoS.

Seguindo as medidas de segurança mencionadas acima (1, 2, 3, 4, 6 e 7), você já está preparado para ataques DDoS.

Além disso, eu também recomendaria o uso de serviços em nuvem como CloudFlare ou MaxCDN. Eles podem ajudá-lo a mitigar ataques DDoS.

Da mesma forma, o armazenamento em cache do seu site também pode ajudá-lo a proteger seu site da sobrecarga de tráfego. Você pode armazenar em cache seu site usando plugins como o WP Super Cache.

9. Verifique se há malware e remova-os

Já que você está lendo minhas dicas de segurança com tanto cuidado (eu realmente espero que você esteja), deixe-me dizer algo mais assustador, se você ainda não entrou em pânico!

Hackers são sorrateiros! Eles podem já ter colocado algum malware em seus arquivos da web.

Portanto, você precisa verificar seu servidor web em busca de arquivos maliciosos o mais rápido possível! E, removê-los.

Como fazer isso?

Plug-in um plug-in de segurança. O Sucuri Security é o melhor plugin gratuito para detectar e remover malware no WordPress.

Se você não gosta de adicionar plugins ou quer fazer uma varredura completa do lado do servidor, assine o Sucuri. Este serviço custa-lhe.

Se você não pode pagar a Sucuri (eu sei que é caro), há uma rodovia. Porque eu tenho pregado para você sobre todas essas coisas tecnológicas, acho que você merece um presente.

Veja como verificar e remover malware do seu site gratuitamente!

Primeiro, baixe a pasta public_html do seu servidor usando um cliente FTP de sua escolha. Em seguida, verifique a pasta baixada usando um software antivírus (Norton, Kaspersky ou outro) em seu computador. Verifique se o programa antivírus está atualizado.

Depois disso, substitua o antigo arquivo public_html pelo recém-limpo usando FTP. Tão fácil quanto isso!

10. Bom host

O host da Web desempenha um papel importante, muito importante, na segurança do site.

Um bom host oferece suporte e ferramentas para lidar com ataques DDoS, ataques de força bruta e malware. Portanto, eu recomendo a hospedagem SiteGround porque eles mantêm a segurança em alta prioridade.

Geralmente, um plano de hospedagem compartilhada é mais vulnerável porque o servidor é compartilhado com outros sites. Os hackers podem usar outros sites no mesmo servidor para atacar seu site em hospedagem compartilhada. Este conceito é chamado de contaminação cruzada.

Muitas vezes, é considerado melhor obter hospedagem dedicada ou hospedagem VPS, mas eles são caros. Como iniciante, você pode não ter o orçamento para isso.

Isso significa que você se arrisca? Não. Até mesmo a hospedagem compartilhada pode ser protegida.

Uma boa empresa de hospedagem como SiteGround instala firewalls como ModSecurity, mesmo em planos de hospedagem compartilhada. Além disso, eles limitam o número de sites em um servidor e verificam os servidores em busca de malware regularmente.

Da mesma forma, se o seu host pode fornecer a você o Sucuri Security, é um ponto positivo.

11. Escolha plugins e temas com sabedoria

Bem, escolha plugins e temas com sabedoria. Isso é tudo que você precisa saber sobre esse assunto.

A opção de instalar plugins e temas de terceiros é o que torna o WordPress vulnerável a hackers.

Plugins e temas do WordPress disponíveis no repositório do WordPress são seguros. Mas se você precisar adicionar alguns plugins ou temas manualmente, sempre verifique se há malware, usando um software antivírus, antes de carregá-los em seu WordPress.

Além disso, antes de instalar plugins ou temas, verifique as revisões e a data da última atualização.

12. Remova temas e plugins desnecessários/desatualizados

Sempre mantenha seu WordPress limpo.

Se você não estiver usando nenhum plugin ou tema e eles estiverem desatualizados, remova-os. Eles podem estar convidando hackers.

Da mesma forma, vá para o back-end do WordPress e verifique se você tem algum arquivo desnecessário comparando-o com os arquivos padrão do WordPress.

Ou você pode simplesmente fazer uma nova instalação do WordPress.

Primeiro, faça backup de seus bancos de dados e do WordPress. Em seguida, remova o WordPress. E instale um novo WordPress atualizado.

Certifique-se de informar seus visitantes durante a manutenção exibindo uma página de manutenção.

13. Proteja .htaccess e wp-content.php

Somente o Todo-Poderoso sabe o que os hackers podem fazer se acessarem seu arquivo .htaccess ou wp-content.php.

Portanto, você deve sempre ocultar os arquivos .htaccess e wp-content.php. Mesmo que você não saiba codificar, você pode facilmente proteger .htaccess e wp-content.php inserindo alguns códigos no arquivo .htaccess.

Por favor, mantenha um backup do arquivo .htaccess antes de fazer alterações nele.

Localize o arquivo .htaccess na raiz do seu site e adicione as seguintes linhas de código a ele.

Código para ocultar wp-config.php

Código para ocultar o arquivo .htaccess

14. Ocultar informações confidenciais

Certifique-se de remover (ou pelo menos renomear) o arquivo readme.html depois de instalar o WordPress. O arquivo Leiame informará aos hackers qual versão do WordPress você está usando.

Além disso, se você criou um arquivo phpinfo.php ou i.php, recomendo excluí-lo ou renomeá-lo. Este arquivo contém todas as informações sobre seu servidor.

Além disso, desative a indexação de diretório. Os invasores podem ver a estrutura de suas pastas e arquivos com a navegação no diretório. Você não precisa ser tech-savvy para fazê-lo. Basta ir ao arquivo .htaccess e adicionar o seguinte código no final do arquivo.

15. Fique à frente e atualizado

Os hackers estão sempre um passo à frente de todos os especialistas em segurança. Na verdade, um especialista em segurança nem saberia sobre uma falha de segurança até que alguém invada um sistema.

Portanto, mantenha-se sempre informado e atualizado sobre notícias e problemas de segurança. Siga empresas de segurança no Twitter ou Facebook, ou até mesmo assine seus boletins informativos.

Kerbsonsecurity é um ótimo blog para se manter atualizado sobre questões de segurança.

Conclusão

Torne o jogo de adivinhação difícil para os hackers!

Você não pode impedir os hackers de hackear. Tudo o que você pode fazer é se preparar para os ataques.

Os mocinhos estão trabalhando duro para proteger o WordPress de hackers, mas erros acontecem.

Sempre mantenha um backup do seu site, para o caso de hackers assumirem o controle do seu site. Mantenha o backup em local(is) seguro(s) (em vários locais, se possível).

Por fim, siga todas as 15 dicas acima mencionadas para proteger um site WordPress. E mantenha-se, temas, plugins e WordPress atualizados!

Que a força esteja com você.