Deseja proteger seu site WordPress contra hackers?
A segurança do WordPress não é apenas uma opção. É necessário proteger seu site contra riscos de segurança, como códigos maliciosos, malware, bots e muito mais.
Toda semana, o Google coloca mais de 10.000 sites na lista negra diariamente por malware e mais de 50.000 por phishing. Portanto, se você quer mesmo manter seu site seguro, está no lugar certo.
Neste guia de segurança do WordPress, mostraremos a você como proteger seu site WordPress contra a maioria dos problemas de segurança.
O WordPress pode ser seguro?
O WordPress pode ser um sistema de gerenciamento de conteúdo (CMS) seguro se você tomar as medidas necessárias para a segurança do site. A seguir, compartilharemos as precauções de segurança de site mais essenciais a serem tomadas e explicaremos por que isso é vital para o site da sua empresa.
- 1. Entenda por que a segurança do WordPress é importante
- 2. Mantenha os arquivos principais do WordPress atualizados
- 3. Excluir temas e plug-ins não utilizados
- 4. Use senhas e permissões fortes
- 5. Escolha uma empresa de hospedagem segura para WordPress
- 6. Instalar uma solução de backup do WordPress
- 7. Escolha o melhor plug-in de segurança do WordPress
- 8. Use um firewall de aplicativo da Web (WAF)
- 9. Mudança de HTTP para SSL/HTTPS
- 10. Limitar tentativas de login
- 11. Use a autenticação de dois fatores
- 12. Ocultar sua página de login do WordPress
- 13. Alterar seu nome de usuário padrão de administrador
- 14. Conceder acesso de administrador por IP
- 15. Desativar o XML-RPC no WordPress
- 16. Desativar edição de arquivos
- 17. Verificação de malware em seu site WordPress
Noções básicas de segurança do WordPress
Vamos começar entendendo por que manter seu site WordPress seguro é essencial para seu sucesso e como implementar algumas medidas básicas de segurança.
Primeiro, você pode se perguntar por que a segurança do WordPress é importante?
1. Entenda por que a segurança do WordPress é importante
Imagine acordar um dia e descobrir que seu site WordPress foi comprometido. Todo o trabalho de criação de um site profissional de negócios, blog ou site de comércio eletrônico é destruído por hackers incômodos.
Os hackers podem introduzir vulnerabilidades de segurança que não apenas prejudicam a receita e a reputação de sua empresa. Eles também podem roubar informações pessoais, como senhas e detalhes de cartão de crédito, e instalar software malicioso que envia malware aos seus usuários.
O pior é que você pode ser vítima de pagamento de ransomware para recuperar o acesso ao seu site.
Se o seu site for uma empresa e você quiser evitar esse pesadelo, precisará prestar mais atenção à segurança do WordPress. Isso começa com a simples prática de manter sua versão principal do WordPress atualizada.
2. Mantenha os arquivos principais do WordPress atualizados
Como o WordPress é de código aberto, ele é mantido e atualizado regularmente. Sua instalação padrão do WordPress instalará automaticamente as atualizações secundárias, mas você precisará atualizar manualmente o WordPress para a versão mais recente dos lançamentos principais.
Da mesma forma, o WordPress tem milhares de plug-ins e temas. Os desenvolvedores dessas ferramentas de terceiros também lançam atualizações regulares.
Além disso, as atualizações geralmente contêm patches de segurança que corrigem vulnerabilidades. Portanto, é fundamental atualizar seus plug-ins e temas do WordPress com frequência para garantir a estabilidade e a segurança do seu site.
3. Excluir temas e plug-ins não utilizados
Além de manter seus plug-ins e temas atualizados, você também deve excluir os que não usa mais.
Ter temas e plug-ins desnecessários é como deixar as portas de sua casa destrancadas. Isso oferece uma porta dos fundos para os hackers obterem acesso, portanto, livre-se de tudo o que não for necessário.
4. Use senhas e permissões fortes
Algumas das tentativas mais comuns de invasão do WordPress usam nomes de usuário e senhas roubados para obter acesso a um site. Para dificultar as tentativas de invasão, use senhas fortes exclusivas para seu site WordPress.
Isso vale para seu site WordPress, hospedagem, contas FTP, endereço de e-mail comercial e muito mais.
Embora seja tentador usar o nome do seu animal de estimação porque é fácil de lembrar, também é fácil de adivinhar.
A prática recomendada é usar uma senha com pelo menos 12 caracteres. Esses caracteres devem conter números, símbolos e letras maiúsculas e minúsculas.
Muitos usuários do WordPress evitam criar senhas complexas porque elas são difíceis de lembrar. A boa notícia é que você pode usar gerenciadores de senhas para gerar e armazenar senhas fortes com segurança.
Outra dica importante é manter sua conta de administrador do WordPress privada. Se você tiver uma equipe grande trabalhando no seu site ou vários autores do WordPress, poderá atribuir a eles funções e permissões de usuário específicas antes de adicionar suas novas contas de usuário.
5. Escolha uma empresa de hospedagem segura para WordPress
Outra etapa básica de segurança é garantir que você use uma hospedagem na Web de boa reputação. Os melhores provedores de hospedagem WordPress, como Bluehost, SiteGround e Hostinger, tomam cuidado extra para proteger seus servidores contra violações de segurança.
Uma boa empresa de hospedagem WordPress geralmente trabalha em segundo plano para proteger seu site usando as seguintes medidas:
- Monitoramento de atividades suspeitas
- Manutenção de ferramentas para evitar ataques DDOS em grande escala
- Manter atualizados o software, o hardware e as versões do PHP do servidor
- Implantar planos de recuperação de desastres e acidentes para incidentes graves
Muitos hosts oferecem planos de hospedagem compartilhada em que você compartilha os recursos do servidor da Web com outros clientes.
Como isso pode fazer com que os hackers usem sites vizinhos para atacar o seu, talvez seja melhor usar a hospedagem gerenciada do WordPress.
Os provedores de hospedagem gerenciada do WordPress, como o WPEngine, têm uma plataforma mais segura. Eles também oferecem backups automáticos, atualizações do WordPress e segurança avançada.
Etapas de segurança do WordPress sem código
Entendemos que melhorar a segurança do WordPress pode ser assustador, especialmente para novos proprietários de sites e iniciantes. Não se preocupe; as etapas abaixo não exigem nenhum conhecimento técnico.
Em poucos minutos, você estará no caminho certo para reforçar a segurança do WordPress sem escrever código.
6. Instalar uma solução de backup do WordPress
O backup do WordPress é uma de suas primeiras defesas contra hackers. Se algo terrível acontecer, eles permitem que você restaure seu site para o estado anterior.
Os melhores plug-ins de backup do WordPress têm versões gratuitas e pagas com funcionalidades adicionais, como banco de dados do WordPress e transferências de arquivos, pontos de recuperação e alertas por e-mail. Entretanto, o recurso mais importante a ser procurado é a capacidade de executar e salvar regularmente backups em um local remoto.
Procure soluções de backup com armazenamento externo em locais como Amazon, Dropbox ou armazenamento em nuvem privada. Além disso, opte por plug-ins que permitam fazer backups de acordo com sua programação, como backups uma vez por dia ou em tempo real.
Alguns plug-ins de backup populares com esses recursos incluem Duplicator, UpdraftPlus, BlogVault e Jetpack VaultPress Backups. Eles são fáceis de usar, confiáveis e não requerem codificação.
7. Escolha o melhor plug-in de segurança do WordPress
Depois de obter uma solução de backup, a próxima tarefa é configurar um sistema de monitoramento para rastrear a atividade em seu site. Essa atividade pode incluir tentativas de login com falha, monitoramento da integridade dos arquivos, verificação de malware e muito mais.
A maioria dessas tarefas de monitoramento é facilmente realizada pelo Sucuri Scanner, o melhor plug-in gratuito de segurança do WordPress. Depois de instalar e ativar o Sucuri, navegue até Sucuri Security " Settings no painel do WordPress e clique na guia Hardening.
Agora, passe por cada opção e clique no botão Apply Hardening (Aplicar proteção).
Essas configurações ajudam a bloquear áreas do seu site que os hackers costumam usar em seus ataques. A única opção que você precisará pagar para atualizar é o Web Application Firewall, que explicaremos na próxima etapa.
Outros plug-ins alternativos de segurança do WordPress incluem o WordFence e o iThemes Security.
8. Use um firewall de aplicativo da Web (WAF)
O uso de um firewall é uma maneira eficaz de bloquear o tráfego mal-intencionado antes que ele chegue ao seu site WordPress, e há vários tipos para escolher.
- Firewall de site em nível de DNS: Roteia o tráfego do site por meio de servidores proxy em nuvem, enviando apenas o tráfego genuíno para seu servidor da Web.
- Firewall no nível do aplicativo: Examina o tráfego quando ele chega ao seu servidor, mas antes de carregar os scripts do WordPress.
Como mencionado acima, o firewall da Sucuri é uma solução robusta para isso. A Sucuri ajudou o WPBeginner a bloquear 450.000 ataques em 3 meses, comprovando sua eficácia.
O plug-in também vem com limpeza de malware e garantia de remoção de lista negra, portanto, se você for hackeado enquanto estiver usando o plug-in, ele consertará seu site, sem perguntas. Considerando que a maioria dos especialistas em segurança cobra cerca de US$ 250 por hora, esse serviço é uma pechincha por apenas US$ 199 por ano.
Aumente a segurança do seu WordPress com o Sucuri Firewall hoje mesmo.
9. Mudança de HTTP para SSL/HTTPS
Se você ainda não o fez, adicionar a criptografia SSL ao seu site WordPress é uma próxima etapa crucial. O SSL, abreviação de Secure Sockets Layer, criptografa as transferências de dados entre o seu site e os navegadores dos visitantes. Basicamente, isso dificulta o roubo de informações pelos hackers.
Quando o SSL estiver ativado, seu site usará HTTPS em vez de HTTP. Haverá também um ícone de cadeado ao lado de seu endereço nos navegadores da Web.
Os preços dos certificados SSL variam de 80 a centenas de dólares por ano, o que faz com que muitos proprietários de sites os evitem. Entretanto, desde que a Let's Encrypt começou a oferecer certificados SSL gratuitos, muitas empresas de hospedagem os oferecem como parte de seus planos.
Se o seu host da Web não oferecer SSL, você poderá comprar um no domain.com. Eles têm a oferta de SSL mais confiável, com uma garantia de segurança de US$ 10.000 e o selo de segurança TrustLogo.
Dicas avançadas de segurança do WordPress
Depois de dominar as etapas de segurança acima, é hora de subir de nível. Sempre há mais coisas que você pode fazer para proteger seu site WordPress. Vamos explorar algumas medidas de segurança avançadas.
Observação: algumas das etapas abaixo podem exigir conhecimento de codificação.
10. Limitar tentativas de login
Para proteger ainda mais seu site contra a ameaça de ataques de força bruta, você pode limitar as tentativas de login no WordPress. Dessa forma, quando alguém digita a senha errada repetidamente, ele é bloqueado em seu site por um tempo.
Uma maneira de implementar esse recurso é usar o plug-in Limit Login Attempts Reloaded.
Ele permite que você especifique o número máximo de senhas incorretas permitidas antes de bloquear o usuário e envia um e-mail sempre que houver falha no login.
Para obter instruções completas sobre a configuração desse plug-in, consulte este guia sobre como limitar as tentativas de login no WordPress.
11. Use a autenticação de dois fatores
A autenticação de dois fatores torna o processo de login para usuários legítimos mais complicado e irritante e ajuda a manter os indesejáveis longe do seu site.
Como o nome indica, a autenticação de dois fatores exige que os usuários concluam duas etapas de segurança antes de poderem usar o site. A primeira etapa geralmente é o tradicional desafio de nome/senha. A segunda etapa envolve a inserção de um código de segurança enviado a eles por mensagem de texto ou outro dispositivo seguro.
Muitos plug-ins permitem que você configure a autenticação de dois fatores, como o plug-in gratuito WordPress Two Factor Authentication.
Depois de instalar e ativar o plug-in, clique no link Two Factor Auth em seu administrador do WordPress, que revela um código de configuração único.
Em seguida, instale e abra um aplicativo autenticador em seu telefone, como o Google Authenticator, e clique no ícone de adição para adicionar um novo código.
A partir daí, você pode digitalizar o código QR na página de configuração do plug-in para concluir a configuração.
Na próxima vez que você fizer login no site do WordPress, ele solicitará o código de autenticação de dois fatores depois de digitar sua senha.
12. Ocultar sua página de login do WordPress
Quase todos os hackers sabem que uma página de administração do WordPress é normalmente acessada adicionando /wp-admin após o nome do domínio. Por exemplo, se o seu nome de domínio for xyz.com, sua página de administração provavelmente será acessada pelo seguinte URL: http://xyz.com/wp-admin.
Eles também sabem que o nome da página de login é wp-login.php.
Felizmente, você pode mudar isso. Plug-ins, como o WPS Hide Login, permitem que você personalize o URL de login.
Será muito mais difícil para os hackers invadirem seu sistema se eles não conseguirem encontrar sua página de login. Você também pode seguir este guia sobre como alterar o URL de login do WordPress.
13. Alterar seu nome de usuário padrão de administrador
Da mesma forma, sua instalação do WordPress pode dar às contas de administrador o nome de usuário "admin". É melhor alterar esse nome o mais rápido possível, pois os hackers estão familiarizados com ele e podem tentar uma invasão de "força bruta" (tentar várias senhas repetidamente) com esse nome de usuário.
Muitos provedores de hospedagem estão cientes desse potencial de ataque e, como resultado, evitam criar a conta de administrador com o nome "admin". No entanto, ainda vale a pena verificar para aumentar sua segurança.
14. Conceder acesso de administrador por IP
Se você for a única pessoa autorizada a executar tarefas administrativas em seu site WordPress, também poderá restringir o acesso administrativo por endereço IP.
Seu endereço IP é um quarteto de números que o identifica on-line. Pense nele como seu endereço digital.
Com isso em mente, você pode dizer ao WordPress para permitir que as pessoas acessem o administrador somente se tiverem um endereço IP específico. Isso significa que os hackers que tentarem acessar seu site de qualquer outro IP não terão êxito.
Para implementar esse recurso de segurança, acesse whatismyip.com para descobrir seu endereço IP. Em seguida, você precisará modificar o arquivo .htaccess no diretório de administração do provedor de hospedagem para fazer a alteração de segurança.
Se não souber como fazer isso, ligue para a linha de suporte técnico da sua empresa de hospedagem e peça a um técnico que faça isso para você.
Especificamente, você desejará que algo parecido com isto seja adicionado ao arquivo:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>
Substitua o "xxx.xxx.xxx.xxx" pelo endereço IP que você viu no whatismyip.com. Depois que isso for feito e o arquivo for salvo, somente as pessoas com esse IP específico poderão acessar o administrador do WordPress.
Observação: Seu provedor de serviços de Internet (ISP) às vezes altera seu endereço IP. Se isso acontecer, você ficará sem acesso ao seu site. A solução é ligar para o suporte técnico e pedir a um técnico que atualize o endereço IP adequadamente. Faça isso por sua própria conta e risco.
15. Desativar o XML-RPC no WordPress
O ML-RPC é um recurso introduzido no WordPress 3.5 que ajuda a conectar seu site WordPress com aplicativos da Web e móveis. No entanto, devido ao seu grau de eficiência, ele também pode ampliar os ataques de força bruta.
Por exemplo, anteriormente, se um hacker quisesse tentar 500 senhas diferentes, ele teria que fazer 500 tentativas de login, que os plug-ins de limite de tentativas de login normalmente capturariam. Entretanto, com o XML-RPC, os hackers podem usar a função system.multicall para tentar milhares de senhas com menos solicitações.
Consequentemente, se você não estiver usando o XML-RPC, é melhor desativá-lo. Para obter instruções completas, consulte este guia sobre como desativar o XML-RPC no WordPress.
16. Desativar edição de arquivos
O WordPress tem um editor de código integrado que permite editar arquivos de temas e plug-ins do WordPress na área de administração do WordPress. Nas mãos erradas, esse recurso pode colocar em risco a segurança do seu site, e é por isso que é melhor desativá-lo.
Você pode fazer isso facilmente adicionando o seguinte código ao seu arquivo wp-config.php.
<Files *.php>
deny from all
</Files>
Como alternativa, você pode desativar a edição de arquivos usando o recurso Hardening no plug-in gratuito da Sucuri mencionado anteriormente.
17. Verificação de malware em seu site WordPress
É provável que você já tenha um software antivírus em seu computador que verifica o disco rígido em busca de possíveis ameaças. Se você tiver um plug-in de segurança do WordPress instalado, ele verificará rotineiramente seu site em busca de violações de segurança e malware.
No entanto, uma queda repentina no tráfego do seu site ou nas classificações dos mecanismos de pesquisa pode indicar que algo está errado, e você deve executar uma verificação manual. Para isso, você pode usar seu plug-in de segurança do WordPress ou um scanner de malware e segurança.
A execução de um scanner on-line é simples. Basta inserir os URLs do seu site e o scanner rastreará seu site em busca de malware e códigos mal-intencionados.
Embora esses scanners possam fazer uma varredura em seu site, eles não podem remover o malware ou limpar um site invadido.
Próximas etapas
Esperamos que este guia sobre como proteger seu site WordPress contra hackers tenha sido útil. Seu site WordPress é tão suscetível a invasões quanto qualquer outro site na Web, mas você pode reduzir o risco de um ataque seguindo as melhores práticas de segurança do WordPress.
Para ler mais, confira os seguintes tutoriais e guias:
- Melhores plugins multisite para WordPress
- Como proteger um site WordPress com senha
- Melhores plug-ins de duplicação do WordPress
- Como aceitar pagamentos seguros do Stripe no WordPress
Obrigado pela leitura! Gostaríamos muito de ouvir sua opinião, portanto, fique à vontade para deixar um comentário com perguntas e feedback.
Você também pode nos seguir no YouTube, no X (antigo Twitter) e no Facebook para obter mais conteúdo útil para expandir seus negócios.
Olá, amigo, minha pergunta é a seguinte: por favor, diga como proteger o blog/site do Wordpress contra hackers? Isso é responsabilidade dos provedores de hospedagem ou minha. Por favor, informe alguns plugins para o Wordpress.
A melhor maneira de proteger seu site WordPress não é usar um plug-in, mas negar o acesso a determinados diretórios por meio do arquivo htaccess e do arquivo robots.txt. Escolha também um provedor de hospedagem seguro.
As dicas que você adicionou são muito úteis. Mas para proteger o WordPress, você precisa dar mais ênfase à segurança da sua área de login. Você precisa prestar mais atenção no fortalecimento da área de login do administrador.
Belo artigo!
A segurança do site é fundamental.
1. Escolha o melhor provedor de hospedagem.
2. seu site WordPress deve ter um nome de usuário e uma senha fortes, mantenha o painel de administração protegido.
3. use somente os plugins mais bem avaliados.
4. monitore seu site periodicamente. Faça backups regulares do site e limpe os plug-ins não utilizados.
5. Atualize as versões do WordPress de seu site.
Gostaria de saber se você já pensou em mudar o layout da página do seu blog?
Muito bem explicado por que mais usuários do WP devem proteger seus sites e ir além dos plug-ins de segurança, embora muitos sejam excelentes. Parece que a invasão de sites está se tornando mais um esporte, portanto, proteger nossos sites e os dados dos clientes é fundamental.
O uso de um serviço de VPN e de um servidor proxy também pode ajudar a proteger seu site ou blog do Wordpress contra invasões.
Que informações relevantes você compartilhou. Eu sigo o mesmo procedimento para manter meu site seguro. Também uso o Ace Vpn para manter meus dados seguros e protegidos enquanto navego, especialmente ao pagar alguém on-line.