Segurança WordPress: Melhores maneiras de proteger o site WordPress em 2022
Publicados: 2022-03-09A segurança do WordPress é uma grande preocupação para todos os proprietários de sites. Todos os dias, o Google coloca na lista negra mais de 10.000 sites por malware e, toda semana, coloca na lista negra 50.000 por phishing.
Se você se preocupa com a segurança do seu site, deve seguir as práticas recomendadas de segurança do WordPress.
Neste post, abordaremos todas as melhores maneiras de segurança do WordPress para ajudá-lo a proteger seu site contra hackers e malware.
Embora o software principal do WordPress seja bastante seguro e centenas de desenvolvedores o auditem regularmente, ainda há muito que você pode fazer para manter seu site seguro.
Você pode fazer várias coisas como proprietário de um site para melhorar a segurança do WordPress.
Existem algumas etapas acionáveis que você pode seguir para proteger seu site WordPress contra vulnerabilidades de segurança.
Vamos começar.
Por que a segurança do site WordPress é importante?
Um site WordPress hackeado pode prejudicar significativamente os ganhos e a reputação da sua empresa. Os hackers podem roubar senhas de informações de usuários, instalar softwares nocivos e até infectar seus usuários com malware.
Pior, você pode ser forçado a pagar ransomware a hackers para recuperar o acesso ao seu site.
O Google anunciou em março de 2016 que mais de 50 milhões de visitantes da Internet foram notificados de que um site visitado pode conter malware ou roubar informações.
Além disso, a cada dia, o Google coloca na lista negra cerca de 10.000 sites de malware e aproximadamente 50.000 sites de phishing.
Se você estiver executando um site comercial, deverá prestar atenção especial à segurança do WordPress.
Problemas de segurança mais comuns do WordPress
As vulnerabilidades de segurança mais comuns do WordPress acontecem antes ou logo após o seu site ser invadido. Um hacker visa obter acesso de administrador não autorizado ao seu site WordPress, seja através do frontend (seu painel do WordPress) ou do lado do servidor (inserindo scripts ou arquivos maliciosos).
A seguir estão os cinco principais problemas de segurança do WordPress que você deve estar ciente:
1. Ataques de Força Bruta
Os ataques de força bruta do WordPress referem-se ao processo de inserir repetidamente diferentes combinações de nome de usuário e senha até que uma combinação bem-sucedida seja encontrada. A abordagem de ataque de força bruta aproveita a maneira mais fácil de acessar seu site: sua página de login do WordPress.
O WordPress não limita as tentativas de login por padrão. Portanto, os bots podem usar o método de ataque de força bruta para atacar sua página de login do WordPress. Mesmo que um ataque de força bruta falhe, ele ainda pode causar estragos em seu servidor, sobrecarregando seu sistema e deixando seu site mais lento.
2. Script entre sites (XSS)
Os ataques de cross-site scripting (XSS) representam 54,4% de todas as vulnerabilidades de segurança do WordPress reveladas em 2021. A vulnerabilidade mais comum descoberta nos plugins do WordPress é o cross-site scripting.
O método básico de cross-site scripting é o seguinte: um invasor encontra uma maneira de convencer a vítima a carregar scripts javascript vulneráveis em suas páginas da web. Esses scripts são carregados sem o conhecimento do visitante e então explorados para roubar informações de seus navegadores. Um formulário sequestrado que parece estar em seu site é um exemplo de ataque de script entre sites. Se um usuário preencher o formulário, o XSS pegará suas informações.
3. Explorações de inclusão de arquivos
Após ataques de força bruta, a vulnerabilidade de segurança mais comum explorada pelos invasores são as fraquezas no código PHP do seu site WordPress.
As vulnerabilidades de inclusão de arquivos ocorrem quando um código vulnerável é usado para carregar arquivos externos, permitindo que invasores obtenham acesso ao seu site. Os ataques de inclusão de arquivos são uma das formas mais populares para um invasor obter acesso ao arquivo wp-config.php do seu site WordPress, que é um dos arquivos mais importantes em sua instalação do WordPress.
4. Injeções de SQL
Um banco de dados MySQL é usado para executar seu site WordPress. As injeções de SQL acontecem quando um invasor obtém acesso ao seu banco de dados do WordPress, bem como a todos os dados do seu site.
Um invasor pode estabelecer uma nova conta de usuário no nível de administrador por meio de injeção de SQL, que pode ser usada para fazer login e obter controle total do seu site WordPress. As injeções de SQL também podem ser usadas para inserir novos dados, como links para sites maliciosos ou de spam, em seu banco de dados.
5. Malware
Malware é um código usado para obter acesso não autorizado a um site para coletar informações confidenciais. Um site WordPress hackeado normalmente indica que um malware foi colocado nos arquivos do seu site; portanto, verifique os arquivos alterados recentemente se suspeitar de malware em seu site.
Embora existam diferentes tipos de ataques de malware na internet, o WordPress não é vulnerável a todos eles. A seguir estão as quatro infecções de malware WordPress mais comuns:
- Portas dos fundos
- Downloads diretos
- Hacks farmacêuticos
- Redirecionamentos maliciosos
Cada uma dessas formas de malware pode ser prontamente identificada e removida desinstalando o arquivo malicioso manualmente, instalando uma nova versão do WordPress ou restaurando seu site WordPress de um backup anterior não infectado.
Guia de segurança do WordPress 2022
Implementar apenas uma ou duas medidas de segurança do WordPress não será suficiente para garantir a segurança do seu site WordPress. Aqui estão algumas das melhores maneiras de proteger sites WordPress em 2022.
1. Atualize a versão do WordPress regularmente
O WordPress fornece atualizações de software regularmente para aumentar a velocidade e a segurança. Essas atualizações também ajudam a manter seu site protegido contra ataques cibernéticos.
Um dos métodos mais simples para aumentar a segurança do WordPress é atualizar sua versão do WordPress. No entanto, mais da metade de todos os sites do WordPress estão usando uma versão mais antiga do software, tornando-os mais vulneráveis.
Para ver se você tem a versão mais recente do WordPress, vá para Dashboard -> Updates no painel do menu esquerdo da sua área de administração do WordPress. Se mostrar que sua versão está desatualizada, sugerimos que você a atualize o mais rápido possível.
2. Use uma senha forte
Um dos erros mais básicos que os usuários cometem é usar nomes de usuário fáceis de adivinhar, como “admin”, “administrador” ou “teste”. Como resultado, seu site fica mais vulnerável a ataques de força bruta. Além disso, os invasores usam esse método para direcionar sites do WordPress com senhas fracas.
Como resultado, recomendamos tornar seu nome de usuário e senha mais complicados e exclusivos.
Se precisar de ajuda para criar uma senha forte, use ferramentas online como LastPass e 1Password. Seus serviços de gerenciamento de senhas também podem ser usados para armazenar senhas fortes com segurança. Você não terá que lembrá-los dessa maneira.
Também é crucial verificar a rede antes de entrar para garantir a segurança do seu site. Se você estiver vinculado por engano a um Hotspot Honeypot , uma rede administrada por hackers, corre o risco de expor seus detalhes de login aos operadores.
Mesmo as redes públicas, como o WiFi das bibliotecas escolares , podem não ser tão seguras quanto parecem. Os hackers podem interceptar sua conexão e roubar dados não criptografados, como senhas de login.
Como resultado, sempre que você se conectar a uma rede pública, recomendamos o uso de uma VPN . Ele criptografa a conexão, dificultando a interceptação de dados e protegendo sua atividade online.
3. Invista em Hospedagem WordPress Segura
Seu serviço de hospedagem WordPress é o aspecto mais importante da segurança do seu site WordPress. Um ótimo serviço de hospedagem compartilhada, como Bluehost ou Siteground, fará de tudo para proteger seus servidores contra ameaças comuns.
Veja como um bom provedor de hospedagem na web protege seus sites e dados em segundo plano.
- Eles ficam de olho em sua rede para qualquer atividade suspeita.
- Todas as boas empresas de hospedagem possuem sistemas para evitar ataques DDOS em larga escala.
- Para evitar que hackers explorem uma falha de segurança conhecida em uma versão mais antiga, eles mantêm o software do servidor, as versões do PHP e o hardware atualizados.
- Eles têm planos de recuperação de desastres e acidentes prontos para serem implantados, permitindo que eles protejam seus dados no caso de um acidente grave.
Ao escolher um plano de hospedagem compartilhada, você estará compartilhando recursos do servidor com muitas outras pessoas. Isso aumenta o risco de contaminação entre sites, que ocorre quando um hacker usa um site próximo para atacar seu site.
Usar um provedor de hospedagem WordPress gerenciado garante que seu site seja mais seguro. As empresas de hospedagem gerenciada do WordPress incluem backups automatizados, atualizações automáticas do WordPress e configurações de segurança mais aprimoradas para proteger seu site.
4. Faça backup do WordPress regularmente
Os backups são sua primeira linha de segurança no caso de um ataque ao WordPress.
Os backups permitem que você recupere facilmente seu site WordPress se algo der errado.
Existem muitos plugins de backup WordPress gratuitos e premium disponíveis que você pode usar. A coisa mais importante a ser lembrada sobre backups é que você deve salvar regularmente backups completos do site em um local remoto (não em sua conta de hospedagem).
Recomendamos usar um provedor de nuvem como Amazon, Dropbox ou nuvens privadas como Stash para armazená-lo.
Dependendo da frequência com que você atualiza seu site, a configuração ideal pode ser uma vez por dia ou backups em tempo real.
Felizmente, plugins como o UpdraftPlus tornam isso simples. É também um plugin obrigatório para sites WordPress. UpdraftPlus é confiável e, mais importante, simples de usar (sem necessidade de codificação).
5. Use os plug-ins de segurança do WordPress
Ataques de malware em sites WordPress são bastante comuns. Se você não monitorar manualmente o código-fonte do seu site, talvez nem esteja ciente de que seu código está infectado.
Infelizmente, você precisará saber como codificar para descobrir isso. No entanto, existe um método melhor e mais simples. Os plugins de segurança do WordPress destinam-se a detectar e remover códigos e vírus prejudiciais do seu site.
A melhor parte é que eles operam 24 horas por dia e você não terá que fazer nada. Sucuri e Wordfence são dois dos plugins de segurança WordPress mais populares.
6. Habilite o Firewall de Aplicativo da Web (WAF)
A melhor maneira de proteger seu site e se sentir seguro com a segurança do WordPress é usar um firewall de aplicativo da Web (WAF).
Um firewall de site bloqueia todo o tráfego prejudicial antes que ele chegue ao seu site.
DNS Level Website Firewall – Esses firewalls filtram o tráfego do seu site por meio de servidores proxy na nuvem. Como resultado, eles só podem entregar tráfego genuíno ao seu servidor web.
Firewall no nível do aplicativo – Esses plug-ins de firewall inspecionam o tráfego assim que ele chega ao seu servidor, mas antes que a maioria dos scripts do WordPress seja carregada. Em termos de minimizar a carga do servidor, esta solução não é tão eficaz quanto o firewall de nível DNS.
Para isso, você pode usar o Sucuri como o melhor firewall de aplicação web para WordPress.
A melhor característica do firewall da Sucuri é que ele inclui uma limpeza de malware e garantia de remoção de lista negra. Basicamente, se o seu site for invadido enquanto eles o monitoram, eles garantem que irão corrigi-lo.
7. Instale o Certificado SSL
SSL é um protocolo de transferência de dados que criptografa os dados enviados entre um site e seus visitantes, dificultando o roubo de informações confidenciais por hackers.
Os certificados SSL também melhoram a otimização do mecanismo de pesquisa (SEO) de um site, o que o ajuda a atrair mais visitantes.
Sites com um certificado SSL usarão HTTPS em vez de HTTP, tornando-os simples de identificar.
Começar a usar SSL para todos os seus sites WordPress agora é mais fácil do que nunca. Muitas empresas de hospedagem agora fornecem um certificado SSL gratuito para o seu site WordPress.
8. Altere o nome de usuário padrão “admin”
O nome de usuário padrão no WordPress é admin, e muitos proprietários de sites nunca se preocupam em alterá-lo.
Como resultado, quando os hackers iniciam um ataque contra o seu site, o primeiro nome de usuário que eles tentam é admin. Se esse nome for conhecido, tudo o que eles precisam fazer agora é adivinhar apenas a senha.
Como resultado, você deve evitar usar esse nome de usuário para o seu site WordPress.
9. Limite as tentativas de login
O WordPress permite que os usuários tentem um número infinito de vezes para fazer login no site. No entanto, este é um bom sinal para os hackers entrarem com força bruta no sistema, tentando várias combinações de senhas até encontrarem a correta.
Para evitar esses ataques no site, é fundamental definir uma restrição para tentativas de login com falha. Limitar tentativas malsucedidas também pode ajudar na detecção de qualquer atividade suspeita em seu site.
A maioria dos usuários requer apenas uma única tentativa ou algumas tentativas com falha; portanto, endereços IP suspeitos que atingem o limite de tentativas devem ser evitados.
Usar um plugin é um método de limitar as tentativas de login e, assim, aumentar a segurança do WordPress. Você pode usar o plugin Login lockDown WordPress para isso.
10. Desative a edição de arquivos
O WordPress possui um editor de código integrado que permite alterar seus arquivos de tema e plugin diretamente da área de administração do WordPress. Esse recurso pode ser um problema de segurança em mãos erradas, e é por isso que recomendamos desativá-lo.
Você pode fazer isso inserindo o seguinte código em seu arquivo wp-config.php . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
11. Ative a autenticação de dois fatores
O método de autenticação de dois fatores exige que os usuários façam login usando um processo de autenticação de duas etapas.
A primeira etapa é inserir seu nome de usuário e senha e a segunda é autenticar usando um dispositivo ou aplicativo diferente.
A maioria das principais plataformas online, como Google, Facebook e Twitter, permitem ativá-lo para suas contas. Você pode facilmente incluir o mesmo recurso em seu site WordPress.
Você pode usar os plugins Google Authenticator ou Two Factor Authentication WordPress para isso.
12. Altere o prefixo padrão do banco de dados WordPress
O banco de dados do WordPress contém e mantém todas as informações necessárias para o funcionamento do seu site.
Como resultado, os hackers geralmente usam ataques de injeção de SQL para atingir o banco de dados. Esse método injeta malware no banco de dados, permitindo que invasores ignorem a segurança do WordPress e obtenham o conteúdo do banco de dados.
A injeção de SQL é usada em cerca de metade de todos os ataques cibernéticos, tornando-se uma das ameaças mais críticas.
Os hackers executam esse hack porque muitos usuários não conseguem alterar o prefixo de banco de dados padrão wp_ . É por isso que recomendamos alterá-lo.
13. Desative a indexação e navegação do diretório
Os hackers podem usar a navegação de diretório para ver se você tem algum arquivo com vulnerabilidades conhecidas e, em seguida, explorar esses arquivos para obter acesso.
A navegação no diretório também pode ser usada pelo usuário para examinar seus arquivos, copiar imagens, descobrir sua estrutura de diretórios e obter outras informações.
Como resultado, é altamente recomendável que você desative a indexação e a navegação do diretório.
Você deve se conectar ao seu site através de FTP ou do gerenciador de arquivos no cPanel. Em seguida, no diretório raiz do seu site, procure o arquivo .htaccess .
Em seguida, na parte inferior do arquivo .htaccess , adicione a seguinte linha:
Options -Indexes
Não se esqueça de salvar e enviar o arquivo .htaccess de volta ao seu site.
14. Desabilitar XML-RPC
O XML-RPC é ativado por padrão no WordPress 3.5, pois ajuda na conexão do seu site WordPress com aplicativos da web e móveis.
Devido à sua natureza poderosa, o XML-RPC pode aumentar consideravelmente os ataques de força bruta.
Por exemplo, se um hacker quisesse experimentar 100 senhas diferentes em seu site, ele teria que fazer 100 tentativas de login distintas, que o plug-in de bloqueio de login capturaria e rejeitaria.
No entanto, com XML-RPC, um hacker pode usar a função system.multicall para tentar milhares de senhas diferentes com apenas 20 ou 50 solicitações.
15. Desconectar usuários inativos automaticamente
Muitas pessoas esquecem de sair do site e suas sessões continuam a ser executadas.
Como resultado, outra pessoa que usa o mesmo dispositivo poderá acessar suas contas de usuário e talvez fazer uso indevido de informações pessoais. Isto é especialmente para aquelas pessoas que usam computadores públicos em lugares como cibercafés ou bibliotecas.
Portanto, é fundamental configurar seu site WordPress de forma que os usuários inativos sejam imediatamente desconectados.
A maioria dos sites bancários usa essa estratégia para impedir que usuários indesejados acessem seus sites, garantindo que as informações de seus clientes sejam mantidas seguras.
Um dos métodos mais simples para desconectar automaticamente contas de usuários inativos é usar um plug-in de segurança do WordPress como Logout inativo. Além de encerrar usuários inativos, este plugin pode enviar uma mensagem personalizada para notificar usuários inativos de que a sessão do site está prestes a expirar.
16. Altere o URL da página de login do WordPress
Para dar um passo adiante para proteger seu site WordPress contra ataques de força bruta, considere alterar o URL da página de login.
A URL de login padrão para todos os sites do WordPress é yourdomain.com/wp-admin . Os hackers podem direcionar facilmente sua página de login se você usar o URL de login padrão.
Plugins como WPS Hide Login e Change wp-admin Login habilitam configurações personalizadas de URL de login.
17. Oculte a versão do WordPress
Ocultar sua versão do WordPress traz à tona o tópico da segurança do WordPress através da obscuridade mais uma vez. Quanto menos pessoas souberem sobre a configuração do seu site WordPress, melhor. Se os hackers perceberem que você tem uma instalação desatualizada do WordPress, isso pode ser uma indicação de boas-vindas.
A versão do WordPress é mostrada no cabeçalho do código-fonte do seu site por padrão. Novamente, recomendamos manter sua instalação do WordPress sempre atualizada, para que você não precise se preocupar com isso.
Você pode usar o seguinte código para remover a versão do WordPress. Basta adicioná-lo ao arquivo functions.php do seu tema WordPress. function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');
18. Atualização para a versão mais recente do PHP
Atualizar para a versão mais recente do PHP é uma das coisas mais importantes que você pode fazer para manter seu site WordPress seguro.
Quando uma atualização estiver pronta, o WordPress informará através do seu painel. Em seguida, ele irá redirecioná-lo para sua conta de hospedagem, onde você poderá atualizar para a versão mais recente do PHP.
Se você não sabe como atualizar sua conta de hospedagem, entre em contato com seu desenvolvedor web.
19. Execute verificações de segurança regulares
Se você usar um plug-in de segurança do WordPress, ele verificará seu site em busca de malware e sinais de violações de segurança regularmente.
No entanto, se você observar uma grande diminuição no tráfego do site ou nas classificações de pesquisa, deverá realizar uma verificação manualmente. Você pode usar seu plugin de segurança do WordPress ou usar algumas ferramentas online como Sucuri SiteCheck ou IsItWP Security Scanner para isso.
A execução dessas ferramentas de varredura online é simples. Basta inserir os URLs do seu site e seus rastreadores passarão pelo seu site procurando vírus conhecidos e códigos nocivos.
Lembre-se de que a maioria dos scanners de segurança do WordPress só pode verificar seu site. Eles não conseguem remover malware ou limpar um site WordPress hackeado.
20. Remova plugins e temas do WordPress não utilizados
Ter plugins e temas não utilizados em seu site pode ser perigoso, especialmente se eles não foram atualizados.
Os hackers podem usar plugins e temas desatualizados para acessar seu site, aumentando o risco de ataques cibernéticos.
21. Use o tema WordPress seguro
Temas WordPress nulos são cópias ilegais dos temas premium originais. Na maioria das vezes, esses temas são vendidos a um preço mais baixo para atrair usuários. No entanto, às vezes eles têm vários problemas de segurança.
Como os temas nulos são lançados ilegalmente, seus usuários não recebem ajuda do desenvolvedor. Isso significa que se o seu site tiver algum problema, você terá que descobrir como resolvê-lo e proteger seu site WordPress por conta própria.
Para evitar se tornar um alvo de hackers, sugerimos usar um tema WordPress do repositório oficial ou de um desenvolvedor respeitável. Como alternativa, você pode procurar temas de terceiros em mercados de temas oficiais como o ThemeForest, que possui centenas de temas premium do WordPress.
Segurança do site WordPress: pensamento final
O WordPress é um sistema de gerenciamento de conteúdo popular e robusto que simplifica a criação de um site para qualquer pessoa. No entanto, por ser amplamente utilizado, tornou-se um alvo popular para hackers.
Felizmente, existem várias etapas que você pode seguir para proteger seu site WordPress. No entanto, lembre-se de que você não precisa fazer tudo listado acima. Se você seguir as melhores práticas básicas, estará muito à frente da concorrência.
Depois disso, faça o que puder e se sinta capaz de fazer. A segurança é um esforço contínuo, não um evento único. Você sempre pode fazer mais, mas começar é o essencial.
Isso é tudo; esperamos que nosso post tenha ajudado você a aprender as melhores dicas de segurança do WordPress para proteger seu site WordPress. Se você gostou deste post, você também pode querer ler:
- Melhores plugins de segurança do WordPress para proteger seu site
- Dicas de SEO do WordPress para melhorar seus rankings de SEO
- Como acelerar um site WordPress em 2022