Segurança do WordPress – 23 dicas para proteger seu site contra hackers

Tempo de leitura: 31 min

Escrito por Jadilson Barros
em dezembro 30, 2022

Segurança do WordPress

A segurança do WordPress é uma parte vital da execução de um site. Como qualquer outro ativo que você possui, você deseja manter seu site seguro e protegido contra hackers.

A segurança do WordPress é uma parte vital da execução de um site. Como qualquer outro ativo que você possui, você deseja manter seu site seguro e protegido contra hackers, invasores e qualquer pessoa que esteja tentando roubar ou causar danos.

Você não deixaria sua casa, carro ou escritório destrancado e disponível para todos, não é mesmo?! Proteja seu site WordPress com o mesmo (ou até mais) nível de segurança.

Infelizmente, muitos proprietários de sites negligenciam o pensamento de segurança do WordPress “Quem iria hackear meu site de pequenas empresas, afinal?!”, “Atacantes visam apenas grandes corporações.”, etc. Outros podem não ter a habilidade ou o tempo para lidar com a segurança por si próprios.

É somente quando alguém invade sua casa, rouba seu carro ou invade seu site WordPress que você começa a se preocupar. Mas então provavelmente é tarde demais; o dano está feito.

Continue lendo e aprenda 23 maneiras de fortalecer sua segurança no WordPress e proteger seu ativo digital mais valioso – seu site!

Por que a segurança do seu site é tão importante

Com mais de 90.978 ataques por minuto e mais de 102.623 sites hackeados todos os dias , fica bem claro o quanto a segurança do WordPress é importante.

Uma coisa é certa; os hackers não discriminam; eles estão segmentando sites grandes e pequenos. Qualquer pessoa com segurança inferior pode ser um alvo.

Recentemente, uma vulnerabilidade de plug-in não corrigida causou um ataque massivo coordenado em sites WordPress.  Os hackers usaram essa vulnerabilidade para injetar código em sites com o plug-in Yuzo Related Posts, que redirecionaria os visitantes para todos os tipos de sites maliciosos.

O serviço de automação e entrega de e-mail Mailgun estava entre os muitos sites que foram invadidos.

E mesmo as grandes empresas não estão imunes a ataques de hackers. Alguns anos atrás, uma das maiores agências de notícias do mundo, a Reuters, foi hackeada devido a uma versão desatualizada do WordPress.

Os hackers podem roubar informações do usuário, senhas, instalar software malicioso e até mesmo distribuir malware para seus usuários. Eles podem até sequestrar seu site, e a única maneira de recuperá-lo é desembolsar um alto resgate.

Os ataques podem causar um grande golpe em sua receita e causar um impacto duradouro em sua reputação. A American Economic Association estima que as empresas e os consumidores tenham custos de quase US$ 20 bilhões por ano devido ao spam .

A última coisa que você deseja que as pessoas vejam é uma mensagem de aviso de que visitar seu site pode prejudicá-las.

Vulnerabilidades mais comuns do WordPress – Como os hackers comprometem sites

Estas são as 10 vulnerabilidades mais comuns do WordPress que os hackers exploram para atacar sites:

  1. Ataques de força bruta – esse tipo de ataque explora senhas fracas e tem o potencial de obter acesso total ao seu site. Os hackers usam scripts automatizados para tentar constantemente fazer login, adivinhando o nome de usuário e a senha do administrador.
  2. Backdoors – Backdoors são vulnerabilidades que os hackers podem explorar para contornar a segurança para obter acesso ao seu site, infectá-lo e até mesmo comprometer outros sites no mesmo servidor.
  3. Cross-site scripting (XSS) – Os hackers usam esse método para injetar scripts maliciosos em um site sem que você saiba. Esse código pode ser usado para todos os tipos de atos nefastos, como roubar dados da sessão do visitante, reescrever HTML e até criar redirecionamentos.
  4. Redirecionamentos maliciosos – Essa técnica de hacking insidiosa pode redirecionar seus visitantes para outros sites com spam, malware ou sites de phishing.
  5. Phishing – O objetivo do phishing é roubar informações confidenciais dos usuários, como informações de login, dados de cartão de crédito ou até mesmo uma identidade inteira. Os hackers enganam os usuários fazendo-se passar por um site confiável conhecido e, em seguida, induzindo os usuários a fornecer suas informações.
  6. Malware – Este é um termo genérico para todos os tipos de scripts ou programas maliciosos que tentam infectar um site ou sistema. Inclui vírus, backdoors, rootkits, adware, spam e outros tipos de software intrusivo.
  7. Ataque DDoS (negação de serviço distribuída) – Este é um ataque coordenado por hack bots injetados em vários sites que enviam uma inundação de tráfego de entrada com a intenção de sobrecarregar os servidores do site, fazendo com que ele caia.
  8. Desfiguração do site – Os hackers usam a desfiguração para alterar a aparência visual de um site para torná-lo inutilizável e promover mensagens não relacionadas (geralmente políticas ou ativistas).
  9. Php.mailers . – Mailers são ferramentas que usam php. comandos para enviar e-mails de spam ou phishing diretamente do site infectado.

O WordPress continua sendo o principal alvo de ataques de hackers, com 90% de todos os sites infectados sendo executados no WordPress.

Outros estudos sugerem que mais de 73% dos sites WordPress são vulneráveis ​​a ataques.

Isso levanta uma questão muito razoável “O WordPress é seguro?”

WordPress é seguro

O WordPress como plataforma é muito seguro. É confiável para alimentar 33,4% de todos os sites da Internet . O WordPress tem uma equipe de segurança dedicada (cerca de 50 especialistas em segurança) trabalhando arduamente para corrigir qualquer vulnerabilidade existente e descobrir novas vulnerabilidades, muitas vezes lançando correções em menos de 40 minutos.

A segurança do WordPress também é reforçada por uma enorme comunidade de usuários que mantém um olhar atento para garantir que novas vulnerabilidades sejam descobertas e corrigidas o mais rápido possível.

Grande parte da má reputação em relação à segurança vem do fato de que os proprietários do site não seguem as práticas recomendadas de segurança e não tomam as medidas de segurança necessárias. As vulnerabilidades mais comuns do WordPress são causadas por:

  • Implantação imprópria
  • Problemas de configuração de segurança
  • Falta de conhecimento e/ou recursos de segurança
  • Manutenção geral ruim do site (ou seja, executando uma versão desatualizada)
  • Autenticação quebrada e gerenciamento de sessão

Embora o WordPress esteja tentando manter o núcleo atualizado e seguro, apenas cerca de 30% dos sites WordPress estão executando a versão mais recente (em abril de 2019).

Com isso dito, deixe-me mostrar como tornar seu site WordPress seguro com segurança hermética.

Como proteger seu site WordPress de hackers

Agora que você sabe por que a segurança do WordPress é tão importante, é hora de proteger seu site contra hackers. Embora os desenvolvedores do WordPress estejam constantemente trabalhando para corrigir possíveis exploits, você precisa fazer sua parte para manter seu site seguro.

Aqui estão 23 dicas práticas para fortalecer seu site WordPress com segurança impermeável.

1. Instale um plug-in de segurança do WordPress

A segurança é crucial para executar seu site sem problemas e sem problemas. Já que estamos falando de WordPress aqui, pode apostar que existe um plugin para cuidar da segurança do seu site. Na verdade, existem muitos deles.

Estes são os 5 principais plugins de segurança do WordPress a serem considerados:

Os plug-ins de segurança do WordPress vêm com uma tonelada de sinos e assobios para cobrir a maioria das suas necessidades de segurança:

  • Firewall WordPress
  • IP e lista negra de usuários
  • Verificação de malware
  • Gerador de senha forte
  • Autenticação de dois fatores
  • Registros de alteração de arquivo
  • Forçar senhas a expirar
  • Monitoramento de atividades suspeitas, etc.

Usar um plug-in de segurança do WordPress pode tirar muito peso de seus ombros, tornando a proteção do seu site muito mais fácil e menos demorada.

Mesmo que esses plug-ins possam atender a quase todas as suas necessidades de segurança do WordPress, recomendo a leitura de todas as etapas deste guia, para que você entenda todos os recursos e saiba como configurá-los corretamente.

E, claro, algumas medidas de segurança exigem mais do que apenas um plugin do WordPress.

2. Analise seu site em busca de malware

Se você estiver enfrentando uma queda repentina no tráfego, problemas estranhos de desempenho ou algum comportamento suspeito, verifique se há malware em seu site.

Mesmo que esteja tudo bem, é uma boa ideia executar uma verificação de malware de vez em quando.

Alguns hacks funcionam secretamente, nos bastidores, então os webmasters podem nem saber que algo está errado. Isso é até que o estrago esteja feito, como o Google retirando seu site dos resultados de pesquisa devido a problemas de segurança ou colocando-o na lista negra, seguido por uma grande perda de receita e reputação.

É por isso que é muito importante verificar seu site em busca de malware regularmente.

A maioria dos plug-ins de segurança executa varreduras de malware agendadas em segundo plano e monitora rotineiramente sinais de qualquer violação de segurança.

Para um pouco mais de segurança, você pode usar um verificador de malware on-line gratuito, como o Sucuri SiteCheck , para executar uma varredura em seu site em busca de malware e status de lista negra.

Certifique-se de que seu site esteja limpo e não esteja em nenhuma lista negra. Você pode facilmente realizar essas verificações de tempos em tempos para verificar o status do seu site e garantir que tudo esteja bem.

3. Invista em hospedagem segura

A segurança do lado do servidor também desempenha um papel fundamental para manter seu site protegido contra hackers e malware. É por isso que você precisa ter cuidado e escolher um provedor de hospedagem confiável que leve a segurança a sério.

Certifique-se de que sua empresa de hospedagem saiba uma ou duas coisas sobre a segurança do WordPress, tenha sistemas de proteção instalados e forneça suporte rápido e confiável caso o pior aconteça.

Um provedor de hospedagem sólido deve oferecer:

  • Backups
  • Firewalls no nível do servidor
  • Verificação de malware
  • Proteção DDoS
  • Sistema operacional, software e hardware mais recentes
  •  E atualizações principais gerenciadas do WordPress, entre outras coisas.

Outro recurso importante de segurança é manter cada conta e site WordPress isolados no servidor. Uma boa arquitetura de servidor pode protegê-lo contra a contaminação entre sites, que ocorre quando os hackers usam um site infectado em um servidor para se infiltrar e atacar outros sites vizinhos no mesmo servidor.

Servidores de hospedagem com configuração e gerenciamento de contas insatisfatórios, onde os usuários podem instalar e criar quantos sites quiserem, são um alvo principal para intrusos mal-intencionados.

Por outro lado, a hospedagem segura inclui um gerenciamento de contas bem organizado, no qual os sites ativos pertencem a um ambiente de produção especialmente protegido e todo o resto está no ambiente de teste.

Infelizmente, você não pode esperar esse nível de segurança de provedores de hospedagem compartilhada. Eles oferecem serviços por apenas alguns dólares, mas vêm com riscos de segurança iminentes.

Por outro lado, a hospedagem na nuvem oferece um ambiente muito mais seguro com todos os recursos de segurança listados acima, além de backups adicionais, atualizações e configurações de segurança.

Ao escolher um provedor para o site da sua empresa, invista em uma hospedagem segura agora e se preocupe menos no futuro.

4. Fortaleça seu site com credenciais fortes

Os ataques de força bruta estão entre as técnicas de hacking mais comuns. A principal razão para sua prevalência é que eles são muito fáceis de executar. Quase qualquer pessoa com um pouco de conhecimento técnico pode lançar um ataque de força bruta usando ferramentas de hacking relativamente simples.

Mas a outra razão pela qual é tão fácil realizar um ataque de força bruta é que muitos proprietários de sites usam credenciais de administrador fracas.

Estudos mostram que senhas como “123456”, “senha” e “qwerty” ainda estão entre as mais populares, mesmo em 2018, depois de todas essas violações de segurança.

A melhor (e óbvia) maneira de proteger seu site WordPress contra ataques de força bruta é ter credenciais fortes. Siga a estrutura CLU e crie uma senha que seja: Complexa, Longa e Única.

Crie uma senha que inclua letras (maiúsculas e minúsculas), números e outros símbolos especiais como $&#@%*. Evite usar seu nome, nome do animal de estimação, datas de nascimento ou quaisquer “palavras reais” para esse assunto.

Como sua senha de administrador do WordPress protege a entrada de todo o site da sua empresa, certifique-se de que ela seja longa com pelo menos 15 caracteres.

E, finalmente, certifique-se de que sua senha seja única e não a use para nenhuma outra conta (como Facebook, Twitter, Netflix, etc.). Dessa forma, se alguma de suas outras contas for comprometida, seu site WordPress permanecerá seguro.

Se criar uma senha forte for muito trabalhoso, você pode usar geradores online gratuitos ou serviços premium como LastPass, 1Password. ou DashLane.

Esses serviços também podem armazenar suas senhas fortes para que você não precise memorizá-las ou anotá-las em notas adesivas.

O núcleo do WordPress também vem com um gerador de senha forte que você pode acessar no gerenciamento de sua conta no painel do WP.

Eu recomendo tomar algumas medidas extras de segurança e alterar seu nome de usuário de administrador genérico para algo único e mais difícil de adivinhar.

E, finalmente, habilite o WordPress para forçar senhas fortes. Você pode obrigar seus usuários a usar senhas fortes do WordPress configurando o seguinte:

  • Comprimento mínimo da senha
  • Uso de letras maiúsculas e minúsculas nas senhas
  • Inclusão de números em senhas
  • Uso de caracteres especiais em senhas

Veremos ainda mais dicas de segurança que podem protegê-lo contra ataques de força bruta mais adiante neste artigo. Continue lendo se quiser tornar sua segurança do WordPress à prova de falhas.

5. Atualize seu WP, temas e plugins

Você provavelmente notou que seus dispositivos são constantemente atualizados, incluindo seu computador, smartphone, aplicativos, etc. Essas atualizações vêm com aprimoramentos, novos recursos, correções de bugs, mas o mais importante, patches de segurança.

O mesmo vale para o seu site WordPress. Seu núcleo WordPress, plugins e temas recebem atualizações frequentes. Essas atualizações podem melhorar a aparência, melhorar a estabilidade e a funcionalidade e corrigir as vulnerabilidades de segurança do seu site.

Cerca de 74% das vulnerabilidades conhecidas estão no núcleo do WordPress . Felizmente, a maioria deles pertence a versões antigas do WordPress, como 3.X.

A equipe de segurança do WordPress faz um ótimo trabalho ao corrigir rapidamente esses problemas de segurança. Assim, manter seu WordPress atualizado pode mitigar uma grande quantidade de riscos de segurança.

Por padrão, o WordPress instala automaticamente pequenas atualizações, para que você obtenha patches urgentes em tempo hábil. Para lançamentos de versões principais, você precisa iniciar a atualização manualmente.

Mantenha seus plugins sob controle

O outro grande risco de segurança vem de plugins e temas. Eles são desenvolvidos por centenas de desenvolvedores terceirizados que também são responsáveis ​​por manter seu site seguro com atualizações.

Infelizmente, os plug-ins geralmente são carregados de vulnerabilidades de segurança, tornando-os um alvo principal para hackers.

De acordo com o Wordfence, quase 56% dos sites WordPress comprometidos foram atacados por meio de explorações de vulnerabilidades de plugins .

A etapa crítica para aumentar a segurança do WordPress é manter seu núcleo, plugins e temas atualizados.

Embora atualizar seus plugins e temas do WordPress possa ajudar a corrigir vulnerabilidades de segurança, você precisa ter cuidado. Algumas atualizações podem criar novos problemas, como bugs, conflitos de plug-in e podem até causar a quebra do seu site.

Aconselho você a testar cada atualização em um ambiente de teste antes de decidir executá-la em seu site WordPress ao vivo.

Além disso, evite obter seus plug-ins de sites obscuros com antecedentes suspeitos. Baixe apenas plugins e temas de fontes respeitáveis, como repositório WordPress, Themeforest, Themeisle, Code Canyon e similares.

Por último, mas não menos importante, sempre exclua plugins e temas não utilizados. Alguns deles podem ter vulnerabilidades não corrigidas que podem ser um risco de segurança potencial. Os plug-ins inativos também podem prejudicar o desempenho e a velocidade do seu site , por isso é bom manter o WordPress organizado e limpo.

Seguindo a lógica deste estudo do Wordfence, se você puder proteger seu site contra explorações de plug-ins e ataques de força bruta, estará protegido contra mais de 70% dos ataques. Mas para os outros 30%, leia o restante deste guia.

6. Backup, backup, backup

Não importa quantos passos você tome para garantir que seu site permaneça seguro, o mais importante é fazer backup do seu site WordPress.

Você sempre deve ter uma versão de backup do seu site pronta para restaurar caso o pior aconteça. Afinal, até sites do governo são invadidos e a única medida de segurança 100% eficaz são os backups.

O WordPress não vem com uma opção de backup integrada; no entanto, alguns provedores de hospedagem oferecem seus próprios backups automáticos.

Existem também outras opções de backup de terceiros; você pode usar plugins como BackupBuddy, BackUpWordPressVaultPress ou serviços em nuvem como Amazon, Dropbox ou Stash.

Você pode definir sua frequência de backup dependendo de como usa seu site e com que frequência faz alterações e atualizações. Por exemplo, você pode escolher backups diários, semanais e até em tempo real.

Certifique-se de sempre ter um backup, para que possa restaurar rapidamente seu site caso os hackers consigam invadir sua segurança.

7. Ative o firewall do WordPress

Outra medida crítica de segurança do WordPress é configurar um firewall de aplicativo da web (WAF). Seu WAF é a primeira linha de defesa que impede ataques mal-intencionados antes mesmo de chegarem ao seu site.

Os plug-ins de firewall do WordPress protegem seu site contra hackers, força bruta e ataques DDoS. Existem muitos plug-ins de firewall do WordPress que podem proteger seu site no DNS ou no nível do aplicativo, como:

  • Sucuri
  • Wordfence
  • SiteLock
  • Cloudflare

Os plug-ins de firewall funcionam roteando seu tráfego por meio de servidores proxy ou examinando o tráfego quando ele chega ao seu servidor, mas antes de carregar o WordPress.

O WAF adiciona outra camada de segurança ao seu site WordPress, o que é muito importante. Ainda assim, eles são ineficazes se um hacker já se infiltrou em seu site. É por isso que você ainda precisa tomar outras medidas de segurança para manter seu site seguro como um cofre.

8. Oculte sua URL de login do WordPress

Ocultar sua URL de login do WordPress é um truque de segurança simples, porém eficaz, para protegê-lo de ataques de força bruta.

Alterar sua página de login funciona relativamente bem porque os hackers de força bruta usam bots configurados para atacar um site com uma configuração típica. Esses bots visam sua página de login e, se não conseguirem encontrar sua página (porque você alterou o URL), é provável que os bots saiam do seu site.

Por padrão, a URL de login do seu site WordPress é domain.com/wp-admin . Você pode ocultar sua página de login simplesmente alterando o URL. Você pode fazer isso com um plugin gratuito como o WPS Hide Login .

Esse tipo de tática é chamado de “segurança por obscuridade” e pode protegê-lo de hackers menos experientes. No entanto, de forma alguma pode ser uma medida de segurança contra hackers mais avançados.

Ainda assim, é uma tática de segurança que vale a pena e levará apenas alguns minutos para configurar.

9. Limite as tentativas de login

Outra maneira proativa de proteger seu site contra invasores de força bruta é limitar as tentativas de login com falha.

Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem; no entanto, isso deixa seu site vulnerável a ataques de força bruta. Os hackers podem segmentar seu site tentando adivinhar sua combinação de nome de usuário/senha milhões de vezes até que eles invadam.

Você precisa colocar uma proteção que limite o número de vezes que alguém pode tentar fazer login com credenciais incorretas.

Isso é semelhante ao que os cartões bancários fazem; se você digitar um PIN errado em um caixa eletrônico algumas vezes, seu cartão será bloqueado. No caso do WordPress, o endereço IP de onde vêm as tentativas de login com falha será bloqueado em vez de todo o site.

Você pode limitar as tentativas de login por meio de plug-ins como Cerber Security ou Login Lockdown ou plug-ins de segurança completos como iThemes .

Basta definir o número máximo de tentativas de login com falha permitidas antes que um nome de usuário ou IP seja bloqueado. Um bloqueio desativa temporariamente o invasor de fazer tentativas de login.

Se um usuário for bloqueado três vezes, ele será banido até mesmo de visualizar seu site.

10. Use a autenticação de dois fatores

A autenticação de dois fatores está se tornando uma medida de segurança cada vez mais popular para manter as contas online seguras. Este tipo de proteção envolve um processo de duas etapas, onde a primeira etapa é inserir seu nome de usuário/senha e a segunda etapa é verificar seu login usando um código que é entregue em seu telefone, e-mail etc.

Você pode ativar a autenticação de dois fatores usando plug-ins como DUO Two-Factor Authentication ou Google Authenticator.

É um método simples, mas muito eficaz para evitar invasões, pois é quase impossível que os hackers tenham suas credenciais e seu telefone ao mesmo tempo.

Isso o torna uma medida de segurança confiável que o Google e outras grandes empresas de tecnologia usam para manter as contas de seus usuários seguras.

Você pode até adicionar uma pergunta de segurança à sua tela de login usando um plug-in WP Security Question.

11. Proteja com senha suas páginas de login e administração

Para maior tranquilidade, você pode adicionar outra camada de segurança que manteria sua página de administração segura com uma senha. Essa medida exige que os usuários insiram outro conjunto de nome de usuário/senha antes mesmo de acessar a página de login.

Restringir o acesso ao seu login, admin e outras páginas críticas é uma maneira infalível de proteger seu site contra bots, bem como alguns ataques DDoS.

Esta é a proteção no nível do servidor, então você terá que criar um arquivo .htpasswds e editar seu .htaccess .

Lembre-se de que essa medida de segurança é bastante técnica. Também pode ser muito chato ter que digitar seu nome de usuário/senha toda vez que você deseja acessar suas páginas de administração. Então, use este método a seu próprio critério.

12. Saia automaticamente de usuários inativos

Usuários inativos que ainda estão logados em seu back-end do WordPress podem representar um risco de segurança. Os hackers podem sequestrar suas sessões, modificar credenciais e fazer alterações em arquivos críticos.

É por isso que uma prática recomendada de segurança é desconectar usuários ociosos automaticamente. Os usuários terão que fazer login novamente após ficarem inativos por um determinado período de tempo, garantindo maior proteção contra hackers.

Você pode ativar o logout automático com um plug-in como o Logout inativo.

Basta definir suas configurações de tempo limite, redirecionar e adicionar uma mensagem de logout. Agora seu site WordPress está muito mais seguro.

13. Criptografe sua conexão com um certificado SSL

A criptografia SSL protege a conexão entre seu site e os navegadores dos visitantes. Isso significa que todos os dados que passam são criptografados e privados, impedindo que hackers roubem informações como senhas e detalhes de cartão de crédito.

Com um certificado SSL, seu site usará HTTPS e fornecerá aquele ícone de cadeado familiar que significa que seu site está usando uma conexão segura.

Foi originalmente usado para sites de comércio eletrônico que precisavam de uma maneira de proteger as transações. No entanto, nos últimos anos, o HTTPS se expandiu para se tornar um padrão da indústria para segurança.

Ter um HTTPS e SSL oferece várias vantagens, como:

  • Segurança – HTTPS aumenta a segurança para você e seus visitantes
  • SEO – O Google passou a favorecer sites que possuem conexão segura
  • Confiança e credibilidade – Conexões seguras aumentam sua credibilidade, o que pode levar a mais conversões e vendas
  • Sem avisos do Chrome – o Google Chrome começou a marcar o site sem HTTPS como “não seguro” , o que pode deixar uma impressão negativa em seus visitantes

Certifique-se de que seu provedor de hospedagem pode conectá-lo com um certificado SSL para que seu site possa aproveitar todos os benefícios de uma conexão segura.

14. Gerencie seu arquivo WordPress e permissões de servidor

As permissões, neste contexto, controlam quem pode ler, escrever, modificar e acessar diferentes arquivos e diretórios em sua instalação do WordPress.

Você deseja proteger seus arquivos vitais de hackers que podem modificá-los e causar estragos em seu site. Ao mesmo tempo, permissões muito rígidas podem impedir que seu site funcione corretamente.

Você pode usar o iThemes para verificar as permissões de arquivos e diretórios críticos em seu site.

O iThemes também fornece sugestões para suas permissões para solidificar sua segurança.

Você precisa garantir que apenas as partes autorizadas tenham permissão para acessar arquivos e diretórios vitais. Defina as permissões de diretório para “755” e arquivos para “644” para proteger todo o seu sistema de arquivos – diretórios, subdiretórios, bem como arquivos individuais.

Para gerenciar suas permissões de arquivos, use o Gerenciador de Arquivos no painel de controle de sua hospedagem ou através de um terminal (conectado com SSH) usando o comando “chmod” .

Gerenciar suas permissões é um pouco técnico, portanto, se você não se sentir confortável fazendo isso sozinho, entre em contato com desenvolvedores WordPress experientes para obter ajuda.

Se você decidir fazer isso sozinho, confira o WordPress Codex para obter instruções mais detalhadas sobre como gerenciar suas permissões.

15. Esconda sua versão do WordPress

Ocultar sua versão do WordPress é uma medida de segurança pequena, mas importante. Quando os invasores em potencial conhecem sua versão exata do WP, eles podem adaptar um ataque para atingir uma vulnerabilidade conhecida dessa versão (especialmente para versões mais antigas do WP).

Sua versão do WordPress é mostrada à vista de todos que sabem como visualizar o código-fonte do seu site (dica: clique com o botão direito do mouse no Chrome e abra “ver código-fonte da página”).

Ocultar suas versões é outra tática de “segurança através da obscuridade”. Você pode ocultar sua versão do WordPress usando uma string de código que você adiciona ao seu arquivo functions.php .

Função wp_version_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wp_version_remove_version’);

AVISO: Lembre-se de que alterações no código-fonte podem causar a quebra do site se você não fizer isso corretamente!

A alternativa é usar um plug-in premium como o Perfmatters para ocultar sua versão do WP com uma simples alternância.

16. Gerencie suas permissões de usuário do WordPress

Se você for como muitos proprietários de sites, terá várias pessoas trabalhando em seu site. Alguns são responsáveis ​​por administrar seu site como administradores e desenvolvedores, enquanto outros contribuem para seu site com conteúdo como autores e editores.

Pode parecer óbvio, mas ainda vale a pena mencionar, você não deseja distribuir permissões de usuário de nível superior à toa. Você precisa atribuir funções e permissões apropriadamente a cada usuário.

Por exemplo, blogueiros convidados que escrevem artigos em seu site não devem ter permissões de usuário para editar seu HTML. Além disso, eles não precisam de acesso ao seu tema, plugins, etc. Alguém mexendo no seu código ou fazendo alterações na sua página pode quebrar o seu site (tela branca da morte).

Por outro lado, os desenvolvedores e administradores que mantêm seu site precisam de acesso em todo o site para adicionar plugins e temas, fazer atualizações, etc.

Uma boa maneira de gerenciar as permissões do usuário é seguir estas três etapas:

  • Dê a cada usuário apenas o nível de acesso necessário
  • Limite o número de usuários com permissões de nível superior
  • Use plug-ins para personalizar as funções do usuário (ou seja, Editor de função do usuário )

17. Desativar hotlinking

Os problemas de hotlinking surgem quando alguém publica uma imagem do seu site por meio do URL da imagem. Isso resulta em problemas de desempenho e custo porque o outro site está monopolizando os recursos do servidor para mostrar a imagem em seu próprio site.

Nesse caso, eles não estão apenas roubando sua imagem, mas também sua largura de banda. Com o hotlinking ativado, a imagem permanece no seu servidor e todo o tráfego que chega ao outro site usa os recursos do seu servidor.

Os raspadores de conteúdo exploram fortemente essa técnica, que pode acumular uma grande conta de largura de banda.

Você pode verificar se alguém está linkando suas imagens usando os operadores de pesquisa do Google:

Inurl: https://jadilsonbarros.stablewplite.com -site: https://jadilsonbarros.stablewplite.com

Use este comando para procurar todas as imagens do seu site que não contenham seu próprio URL.

Vimos esse problema apenas alguns meses depois que nosso site redesenhado entrou no ar. Portanto, o caminho seguro a seguir é desativar completamente o hotlinking de imagem.

Você pode desativar o hotlinking por:

  • Editando seu arquivo .htaccess
  • Configurando seu CDN

Alguns plug-ins WAF (firewalls) também podem fornecer proteção, pelo menos quando se trata de impedir que outras pessoas criem links diretos para suas imagens.

18. Proteja-se contra DDoS

Os ataques DDoS são diferentes dos ataques de hackers e malware. Eles não prejudicam seu site nem roubam suas informações; em vez disso, eles temporariamente tiram seu site do ar.

Ainda assim, os ataques DDoS podem causar perda de receita, bem como custos potenciais para recuperar seu sistema. Devido à forma como funcionam, o termo ciberterrorismo é frequentemente associado a ataques DDoS.

Os invasores usam sites sequestrados (botnet) e outros programas para enviar quantidades anormais de tráfego para sobrecarregar seu servidor e causar falhas. Quando um servidor está sobrecarregado, o tráfego legítimo não pode mais ser aceito e seu site fica inacessível.

Os invasores DDoS usam máquinas localizadas em todo o mundo para gerar tráfego, e é por isso que é muito mais difícil rastrear e impedir esses ataques.

A única maneira de se proteger de ataques DDoS é usar o WAF (web application firewall) para analisar a largura de banda que está sendo usada e bloquear totalmente os ataques DDoS.

19. Desativar XML-RPC

Embora o XML-RPC possa ser útil se o seu sistema WordPress precisar se conectar à Web e a aplicativos móveis, ele também representa um grande risco à segurança. Quase abre portas para atacantes de força bruta.

Normalmente, se um hacker quisesse tentar 1.000 senhas diferentes em seu site, ele teria que fazer 1.000 tentativas de login separadas. Isso acionaria plug-ins de segurança de login e o invasor seria bloqueado.

Com o XML-RPC ativado, um hacker pode usar algo chamado “ função system.multicall ” para sondar milhares de combinações de senha com apenas 20 ou 50 solicitações. Isso permite que os hackers passem despercebidos onde a maioria dos plugins de segurança não consegue encontrá-los.

Plugins de segurança WordPress de qualidade, como iThemes, podem bloquear tentativas de login XML-RPC para manter seu site protegido contra esses tipos de ataques de força bruta.

Você pode até desabilitar completamente o XML-RPC usando o arquivo .htaccess.

Use a  ferramenta de validação XML-RPC para verificar se esse recurso está em execução no seu site.

20. Use a versão mais recente do PHP

Manter a versão do PHP atualizada é vital para sua segurança, tanto quanto o núcleo do WordPress, plugins e temas. Cada versão do PHP geralmente vem com suporte de dois anos que corrige quaisquer vulnerabilidades de segurança.

A partir de agora, as versões 7.0 e anteriores não são mais suportadas e podem apresentar riscos de segurança em potencial.
Infelizmente, muitos sites WordPress ficam para trás com mais de 31,9% ainda usando PHP v5.6 .

Certifique-se de que seu site seja alimentado pela última versão estável do PHP para garantir a segurança máxima.

Às vezes leva tempo para os desenvolvedores testarem e garantirem a compatibilidade com seu código, então você pode usar qualquer uma das versões do PHP que ainda possuem suporte de segurança (atualmente 7.2 e 7.3, faltando apenas alguns meses para a versão 7.1).

Executar seu site na versão mais recente do PHP pode oferecer um aumento significativo de segurança e desempenho. Verifique com seu provedor de hospedagem qual versão está alimentando seu site WordPress.

21. Limite o acesso a partes vitais do seu site

Os hackers geralmente visam arquivos vitais em seu site WordPress com malware. Isso inclui seus arquivos index.php , functions.php e wp-config.php .

De acordo com a Sucuri, existem algumas razões principais pelas quais esses arquivos são alvos populares entre os invasores:

  • Eles são carregados a cada acesso ao site
  • Estes são arquivos principais não substituídos durante as atualizações do WordPress
  • Eles são frequentemente ignorados pelos sistemas de monitoramento de integridade, pois seu valor geralmente muda

Esses tipos de ataques são muito perigosos, pois as verificações regulares de malware não detectam as infecções contidas nesses arquivos.

Para proteger seus arquivos principais do WordPress, considere fazer o seguinte:

  • Esconda seu arquivo wp-config.php
  • Não permitir a edição de arquivo usando o arquivo wp-config.php
  • Altere o prefixo do seu banco de dados (wp_)
  • Proteja seus arquivos com regras .htpaccess
  • Restringir o acesso a arquivos PHP
  • Proteja seu diretório /wp-includes/
  • Desativar navegação no diretório
  • Impedir a enumeração de nome de usuário

Você pode acessar o WordPress Codex para obter mais detalhes sobre como manter seus arquivos seguros. No entanto, esse tipo de segurança envolve muito conhecimento técnico, portanto, seja cauteloso ou entre em contato com seu desenvolvedor.

22. Evite spam

O spam tornou-se uma praga moderna para todos na Internet. No entanto, além de ser irritante, também pode levar a ataques de força bruta e DDoS, bem como vulnerabilidades XSS.

Vários tipos de spam podem comprometer você e seus usuários. Para fortalecer seu site WordPress e garantir a segurança máxima, você precisa evitar:

  • Spam de comentários – o tipo mais comum de spam que aparece na seção de comentários do seu site. Os comentários de spam geralmente estão repletos de links para sites cheios de malware, vírus ou golpes.
  • Splogs – é a abreviação de blogs de spam. Os spammers podem se registrar em um site em uma rede multisite para sugar largura de banda e recursos para postar spam ou links de afiliados para itens questionáveis.
  • Trackbacks – é quando outro site cria um link para sua postagem em uma das postagens deles e aparece como um comentário em seu site.
  • Pingbacks – os pingbacks são essencialmente iguais aos trackbacks, exceto que o processo é automatizado.

O spam pode prejudicar seu site de várias maneiras, desde lentidão de desempenho até phishing e injeções de SQL.

É essencial manter seu site livre de spam. Você pode proteger seu site com plug-ins anti-spam dedicados, como o Akismet , bem como ferramentas de segurança completas, como o Wordfence.

23. Monitore a segurança do seu site

Finalmente, depois de ter todas as medidas de segurança em vigor, você precisa monitorar constantemente a segurança do seu site. Você pode ativar o registro de segurança do WordPress usando o plug-in iThemes para manter o controle sobre as atividades relacionadas à sua segurança.

O log de segurança pode rastrear atividades como:

  • Ataques de força bruta
  • Bloqueios
  • Gerenciamento de versões (atualizações)
  • Registro de usuário, etc.

Outra forma de monitorar sua segurança é verificando problemas de segurança e ações manuais no Google Search Console .

Esses problemas podem ter um grande impacto negativo no seu SEO, portanto, fique de olho neste relatório do GSC.

Conclusão

Quando você pensa na segurança do WordPress, sempre pense em ter várias camadas de segurança. Não há uma medida de segurança infalível que possa protegê-lo de todos os ataques de hackers, malware, exploits, etc.

Embora os plug-ins de segurança WordPress de qualidade forneçam extensas camadas de segurança, a proteção do seu site também depende do seu servidor/hospedagem, bem como de algumas configurações técnicas.

Se toda essa questão de segurança for demais para você lidar ou se seu site já estiver comprometido, não hesite em entrar em contato com uma equipe de desenvolvimento da Web forte . É melhor ficar seguro do que arrepender-se.

Contrate alguém que possa fortalecer o WordPress e bloquear seu site com backups, firewalls e outras medidas de segurança, para sua tranquilidade.

E não se esqueça de deixar um comentário se achar que perdemos alguma dica de segurança importante ou se estiver tendo um problema de segurança específico.

Agora é a hora de colocar a mão na massa e começar a fazer renda extra como afiliado, trabalhando nas horas vagas ou fazendo disso a sua principal fonte de renda. Clique neste link e assista ao novo curso GRÁTIS em vídeo: Como ser afiliado e vender na Internet, onde você vai saber como sair do seu emprego atual e trabalhar em casa, sem precisar investir, sem precisar aparecer ou até trabalhar apenas nas suas horas vagas.    

 

Avalie este post

Você vai gostar também:

Para enviar seu comentário, preencha os campos abaixo:

Deixe um comentário


*


*


Seja o primeiro a comentar!