A segurança do WordPress é um tópico de grande importância para todos os proprietários de sites. Como todos os outros ativos que você possui, você deseja manter seu site seguro e protegido contra hackers, invasores e qualquer pessoa que esteja à espreita para roubar ou causar danos.

Você não deixaria sua casa, carro ou escritório destrancado e disponível para todos, deixaria?!. Proteja seu site WordPress com o mesmo (ou até maior) nível de segurança.

Infelizmente, muitos proprietários de sites negligenciam a segurança do WordPress pensando “Quem invadiria meu site de pequena empresa, afinal?!.”, “Os invasores só visam grandes corporações.” Etc… Outros podem não ter a habilidade ou tempo para lidar com a segurança por si próprios.

É apenas quando alguém invade sua casa, rouba seu carro ou invade seu site WordPress, que você começa a se preocupar. Mas então provavelmente é tarde demais; o dano está feito.

Continue lendo e aprenda 37 maneiras de como deixar o WordPress mais seguro e proteger seu ativo digital mais valioso – seu site!

O Google coloca cerca de 10.000 sites na lista negra todos os dias para malware e cerca de 50.000 para phishing todas as semanas.

Se você leva seu site a sério, preste atenção às práticas recomendadas de segurança do WordPress. Neste guia, compartilharei todas as principais dicas de como deixar o WordPress mais seguro para ajudá-lo a proteger seu site contra hackers e malware.

Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, há muito que pode ser feito para manter o seu site seguro.

Eu acredito que a segurança não se trata apenas de eliminação de riscos. É também uma questão de redução de risco. Como proprietário de um site, há muito que você pode fazer e verificar como deixar o WordPress mais seguro (mesmo se você não tiver experiência em tecnologia).

Aqui você vai encontrar uma série de táticas acionáveis que poderá seguir para proteger seu site contra vulnerabilidade de segurança e que depois de implementá-las, você estará no caminho certo para proteger o seu site do WordPress para sempre.

Para facilitar, criei uma tabela de conteúdo para ajudá-lo a navegar mais facilmente.

Índice

Por que Investir na Segurança do WordPress é Importante?

Vulnerabilidades Mais Comuns do WordPress – Como os Hackers Comprometem Sites

O WordPress é Seguro?

Como Deixar o WordPress Mais Seguro Contra Hackers

O Que Acontece Quando Você é Invadido

Práticas Recomendadas de Como Deixar o WordPress Mais Seguro na Linha de Base

• 1 – Proteja Seu Computador, Evite Ser Um Fator de Risco
• 2 – Construa Uma Base Segura Com Um Host Confiável
• 3 – Use Senhas Fortes Para Fechar Pontos de Entrada
• 4 – Aplique as Permissões Mínimas do Usuário, Reduza o Risco de Terceiros
• 5 – Livre-se do Nome de Usuário do Administrador Para Resolver Uma Lacuna Comum
• 6 – Obscure Sua Conta de Administrador: Poste Como Colaborador ou Editor
• 7 – Efetue Logout de Usuários Ociosos e Evite Erros de Terceiros
• 8 – Minimize os Riscos de Segurança Mantendo o WordPress e Seus Componentes Atualizados
• 9 – Use Apenas Temas e Plugins de Fontes Confiáveis Para Evitar Comprometer Seu Site
• 10 – Remova Plugins e Temas Desnecessários
• 11 – Use Um Serviço de Backup ou Plugin Para a Segurança do WordPress (Muito Necessário)
• 12 – Use Conexões Seguras de Servidor, Mantenha Seu Tráfego Protegido
• 13 – Compreenda e Proteja Contra Ataques DDoS

Técnicas Avançadas de Como Deixar o WordPress Mais Seguro

• 14 – Fortaleça a Área Administrativa e Evite Ataques de Força Bruta
  • a) Altere o Admin Padrão e o URL de Login
  • b) Limite as Tentativas de Login
  • c) Adicionar Perguntas de Segurança à Tela de Login do WordPress
  • d) Autenticação de Dois Fatores
  • e) Proteja o wp-admin Com Senha
• 15 – Mantenha Seus Arquivos Protegidos: Desative o Tema do WordPress e o Editor de Plugins
• 16 – Verifique e Altere os Níveis de Permissão de Arquivo Para Proteger os Dados em Seu Servidor
• 17 – Monitore Seus Arquivos
• 18 – Bloquei Todos os Hotlinking
• 19 – Impedir Spam
• 20 – Use HTTPS e SSL, Criptografe o Tráfego Do Site
• 21 – Desative o XML-RPC e Feche Outro Ponto de Entrada
• 22 – Use a Versão Mais Recente do PHP Para Aproveitar as Atualizações de Segurança
• 23 – Endureça wp-config.php, Protegendo um de Seus Arquivos Mais Vitais
  • a) Mova-o Para Um Diretório Acessível Não www
  • b) Altere Suas Chaves de Segurança do WordPress
  • c) Verifique as Permissões do Arquivo
• 24 – Uma Verificação de Integridade de Arquivo do WordPress Alerta Você Quando Seu Site Foi Comprometido
• 25 – Encontre Links Fracos Com Antecedência Com o Registro de Atividades

Medidas Técnicas de Como Deixar o WordPress Mais Seguro

• 26 – Use .htaccess Para Bloquear Ainda Mais o Seu Site
  • a) Proteja Seus Arquivos .htaccess e wp-config.php
  • b) Limitar o Acesso wp-login.php ao Seu Próprio IP
  • c) Desativar Indexação e Navegação de Diretório
  • d) Desative a Execução de PHP Nos Diretórios do WordPress Para Manter os Hackers Longe
• 27 – Proibir HTML Não Filtrado
• 28 – Desative o Relatório de Erros e Mantenha as Informações Confidenciais Seguras
• 29 – Remova o Número da Sua Versão do WordPress Para Interromper as Vulnerabilidades de Transmissão
• 30 – Cabeçalhos de Segurança HTTP Corrigem Pontos Fracos do Navegador
  • a) Ataques de Script Entre Sites Por Evento
  • b) Impedir o Clickjacking do Iframe
  • c) Ativar X-XSS-Protection e X-Content-Type-Options
  • d) Aplicar HTTPS
  • e) Configurar Cookie Com HTTPOnly e Sinalizador Seguro
• 31 – Use Um Firewall e Interrompa os Ataques Antes Mesmo Que Eles Comecem
• 32 – Alterar o Prefixo do Banco de Dados do WordPress
• 33 – Senha Protegida Pelo Administrador do WordPress e Página de Login
• 34 – Verificando o WordPress em Busca de Malware e Vulnerabilidades
• 35 – Consertando um Site WordPress hackeado
• 36 – Monitore a Segurança do Seu Site
• 37 – Facilite o Fardo Instalando o Melhor Plugin de Segurança Para WordPress

Considerações Finais Sobre Como Deixar o WorPress Mais Seguro

Preparado? Vamos Começar.

Por que Investir na Segurança do WordPress é Importante?

Com mais de 90.978 ataques a cada minuto e mais de 102.623 sites hackeados todos os dias, é bastante claro de como deixar o WordPress mais seguro é importante.

Uma coisa é certa; os hackers não discriminam; eles têm como alvo sites grandes e pequenos. Qualquer pessoa com segurança abaixo da média pode ser um alvo.

Recentemente, uma vulnerabilidade de plugin sem patch causou um ataque coordenado massivo em sites WordPress. Os hackers usaram esta vulnerabilidade para injetar código em sites como o plugin Yuzo Related posts, que redirecionaria os visitantes para todos os tipos de sites maliciosos.

O serviço de entrega e automação de email Mailgun estava entre os muitos sites que foram hackeados.

E mesmo as grandes empresas não estão imunes a ataques de hackers. Há alguns anos, uma das maiores agências de notícias do mundo, a Reuters, foi hackeada devido a uma versão desatualizada do WordPress.

Os hackers podem roubar informações do usuário, senhas, instalar software malicioso e até mesmo distribuir malware para seus usuários. Eles podem até sequestrar seu site, e a única maneira de recuperá-lo é pagando um resgate pesado.

Os ataques podem desferir um grande golpe em sua receita e causar um impacto duradouro em sua reputação. A American Economic Association estima que empresas e consumidores enfrentam custos de quase $ 20 milhões por ano devido ao spam.

A última coisa que você deseja que as pessoas vejam é uma mensagem de aviso de que visitar seu site pode prejudicá-los.

O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares que existem, e por um bom motivo. É simples de usar, existem milhares de temas e plugins disponíveis para ele, e com ele você pode criar qualquer tipo de site. Não é de se admirar que o WordPress esteja presente em mais de 40% de todos os sites na Internet.

Mas, sua popularidade tem um custo. O WordPress costuma ser o alvo de hackers. De acordo com a Sucuri, em 2019, 94% de todos os pedidos de limpeza de sites vêm de proprietários de sites WordPress, um aumento de 4% em relação a 2018.

Um site WordPress hackeado pode causar sérios danos à receita e à reputação de sua empresa. Os hackers podem roubar informações do usuário, senhas, instalar software malicioso e até mesmo distribuir malware para seus usuários

Pior, você pode acabar pagando ransomware para hackers apenas para recuperar o acesso ao seu site.

Em março de 2016, o Google relatou que mais de 50 milhões de usuários de sites foram alertados sobre um site que estão visitando pode conter malware ou roubar informações.

Além disso, o Google coloca na lista negra cerca de 20.000 sites para malware e cerca de 50.000 para phishing a cada semana.

Se o seu site é um negócio, você precisa prestar atenção extra e verificar sempre como deixar o WordPress mais seguro.

Da mesma forma que é responsabilidade do proprietário da empresa proteger o prédio da loja física, como proprietário de uma empresa online, é sua responsabilidade proteger o site da empresa.

[voltar ao topo ↑]

Vulnerabilidades Mais Comuns do WordPress – Como os Hackers Comprometem Sites

Estas são as 10 vulnerabilidades mais comuns do WordPress que os hackers exploram para atacar sites:

1. Ataques de força bruta – esse tipo de ataque explora senhas fracas e tem o potencial de obter acesso total ao seu site. Os hackers usam scripts automatizados para tentar fazer login constantemente, adivinhando o nome de usuário e a senha do administrador;
2. Backdoors – backdoors são vulnerabilidades que os hackers podem explorar para contornar a segurança e obter acesso ao seu site, infectá-lo e até mesmo comprometer outros sites no mesmo servidor;
3. Scripts entre sites (XSS) – os hackers usam esse método para injetar scripts maliciosos em um site, mesmo sem você saber. Este código pode ser usado para todos os tipos de atos nefastos, como roubar dados de sessão do visitante, reescrever HTML e até mesmo criar redirecionamentos;
4. Redirecionamentos maliciosos – Esta técnica de hacking insidiosa pode redirecionar seus visitantes a outros sites como sites de spam, malware ou phishing;
5. Phishing – O objetivo do phishing é roubar informações confidenciais dos usuários, como informações de login, dados de cartão de crédito ou até mesmo uma identidade inteira. Os hackers enganam os usuários fingindo ser um conhecido site confiável e, em seguida, induzindo os usuários a fornecerem suas informações;
6. Malware – este é um termo genérico para todos os tipos de scripts ou programas maliciosos e tentam infectar um site ou sistema. Inclui vírus, backdoors, rootkits, adware, software de spam e outros tipos de software intrusivo;
7. Ataque DDoS (negação de serviço distribuída) – Este é um ataque coordenado por hack bots injetados em vários sites que enviam uma enxurrada de tráfego de entrada com a intenção de sobrecarregar os servidores do site, causando sua queda;
8. Desfiguração do site – os hackers usam a desfiguração para alterar a aparência visual de um site para torná-lo inutilizável e promover mensagens não relacionadas (geralmente politicas ou ativistas);
9. Php.mailers – Mailers são ferramentas que usam php. comandos para enviar spam ou emails de phishing diretamente do site infectado;

O WordPress continua a ser o principal alvo de ataque de hackers, com 90% de todos os sites infectados sendo executados no WordPress.

Outros estudos sugerem que mais de 73% dos sites WordPress são vulneráveis a ataques.

Isso levanta uma questão muito razoável “O WordPress é seguro?”

[voltar ao topo ↑]

O WordPress é Seguro?

As questões acima pode sugerir que o WordPress não seja uma boa escolha para começar e é inerentemente inseguro. No entanto, isso está longe de ser verdade.

O WordPress como plataforma é muito seguro. É confiável para alimentar 33,4% de todos os sites da internet. O WordPress é auditado regularmente por uma equipe de segurança de especialistas do setor (cerca de 50 especialistas em segurança) trabalhando duro para consertar qualquer vulnerabilidade existente e descobrir novas vulnerabilidades, muitas vezes implementando correções em menos de 40 minutos.

A segurança do WordPress também é reforçada por uma enorme comunidade de usuários que mantém um olhar atento para garantir como deixar o WordPress mais seguro verificando novas vulnerabilidades e corrigindo-as o mais rápido possível.

No entanto, nada que esteja conectado à Internet pode ser 100% seguro e há muitos fatores que determinam se um site pode ser comprometido ou não. A maioria das tentativas de hacking bem-sucedidas na verdade se resumem a erro humano, pois não seguem as práticas recomendadas de segurança e não tomam as medidas de segurança necessárias de como deixar o WordPress mais seguro, que é algo que espero minimizar com esse artigo. As vulnerabilidades mais comuns do WordPress são causadas por:

• Implantação imprópria;
• Problemas de configuração de segurança;
• Falta de conhecimento e / ou recursos de segurança;
• Má manutenção geral do site (ou seja, executando uma versão desatualizada);
• Autenticação quebrada e gerenciamento de sessão.

Mesmo que o WordPress esteja tentando manter o núcleo atualizado e seguro, apenas cerca de 30% dos sites do WordPress estão executando a versão mais recente (em abril de 2019).

Além disso, como já mencionei, apenas o tamanho da base de usuários do WordPress torna o CMS um foco para hackers porque a probabilidade de eles encontrarem vítimas é maior.

Dito Isso, deixe-me mostrar como deixar o WordPress mais seguro com segurança hermética.

[voltar ao topo ↑]

Como Deixar o WordPress Mais Seguro Contra Hackers

Agora que você sabe por que a segurança do WordPress é tão importante, é hora de proteger seu site de hackers. Embora os desenvolvedores do WordPress estejam constantemente trabalhando para corrigir quaisquer exploits em potencial, você precisa fazer a sua parte para manter seu site seguro.

Aqui estão 37 dicas acionáveis de como deixar o WordPress mais seguro com segurança impermeável.

[voltar ao topo ↑]

O Que Acontece Quando Você é Invadido

Perda de receita e reputação, informações roubadas, malware instalado em seu site que pode infectar visitantes, ransomware que bloqueia seu site até que você pague o hacker – nada disso parece atraente, certo? No entanto, isso, é exatamente o que você arrisca se não levar a sério os problemas de como deixar o WordPress mais seguro.

Além disso, o Google pode até mesmo colocar você na lista negra para esses tipos de ofensas. Imagine perder todos os seus esforços de SEO de uma só vez. Assustador, certo?

Resumindo, se o seu site é de alguma forma importante para o seu negócio, como deixar o WordPress mais seguro deve ser uma alta prioridade.

[voltar ao topo ↑]

Práticas Recomendadas de Como Deixar o WordPress Mais Seguro na Linha de Base

Para evitar que seu site sofra qualquer uma das falhas descritas acima, a seguir, dicas sobre como deixar o WordPress mais seguro. Começaremos com as medidas de segurança do WordPress absolutamente obrigatórias e mínimas que todos devem tomar e, em seguida, passaremos para procedimentos mais avançados e técnicos. Se você apenas seguir as dicas da primeira parte, seu site já estará mais seguro do que 99% dos sites que estão por aí.

[voltar ao topo ↑]

1 – Proteja Seu Computador, Evite Ser Um Fator de Risco

Você deve estar se perguntando, o que seu computador tem a ver com o seu site? Fácil: se seu computador estiver infectado com um vírus ou outro malware e você acessar seu site ou enviar arquivos para ele, esses arquivos também podem infectar seu site. Para evitar isso, certifique-se de:

• Evite usar redes wi-fi públicas para acessar seu site ou usar uma VPN;
• Instale um software antivírus e um firewall e mantenha-os atualizados;
• Execute verificações de vírus e malware regularmente em seu sistema operacional;
• Atualize seu sistema operacional e outro software importante (como o navegador da web).

[voltar ao topo ↑]

2 – Construa Uma Base Segura Com Um Host Confiável

Sua empresa de hospedagem é geralmente a primeira parede que os hackers têm que romper para acessar seu site. Por esse motivo, o primeiro passo de como deixar o WordPress mais seguro é investir em uma empresa de hospedagem que implemente as medidas de segurança adequadas. Isso inclui suporte para a versão mais recente de PHP, MySQL e Apache, bem como firewall e monitoramento de segurança 24 horas por dia, 7 dias por semana. Além disso, observe que eles oferecem conexões SFTP ou SSH em vez do FTP menos seguro.

Um bom provedor de hospedagem compartilhada como Bluehost ou Hostgator toma medidas extras para proteger seus servidores contra ameaças comuns.

Veja como uma boa empresa de hospedagem na web funciona em segundo plano para proteger seus sites e dados:

• Eles monitoram continuamente sua rede em busca de atividades suspeitas;
• Todas as boas empresas de hospedagem possuem ferramentas para prevenir ataques DDOS em grande escala;
• Eles mantém seu software de servidor, versões de php e hardware atualizados para evitar que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga;
• Eles estão prontos para implantar planos de recuperação de desastres e acidentes que lhes permitem proteger seus dados em caso de acidente grave.

Em um plano de hospedagem compartilhada, você compartilha os recursos do servidor com muitos outros clientes, onde um hacker pode usar um site vizinho para atacar seu site.

Usar um serviço de hospedagem WordPress gerenciado fornece uma plataforma mais segura para o seu site. Empresas de hospedagem gerenciada do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site.

Eu uso e recomento a hostgator como provedor hospedagem WordPress gerenciado preferencial. Eles também são os mais populares do setor (veja aqui neste link um desconto especial para novos clientes hostgator)

Além disso, escolha uma empresa de hospedagem que execute backups diários e varreduras regulares de malware (como a Hostgator, por exemplo). Você pode até encontrar empresas de hospedagem que empregam várias medidas de prevenção de DDoS. Além disso, verifique o que sua empresa de hospedagem oferece em termos de ajuda para recuperar sites comprometidos. Em caso de dúvida, sempre pergunte ao seu host quais procedimentos de segurança eles implementaram.

[voltar ao topo ↑]

3 – Use Senhas Fortes Para Fechar Pontos de Entrada

As senhas são um dos pontos fracos de todo site. Felizmente, eles também são algo sobre o qual você tem controle. As tentativas de hacking mais comuns do WordPress usam senhas roubadas. Você pode tornar isso difícil usando senhas mais fortes, exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas de FTP, banco de dados, conta de hospedagem do WordPress, sua conta de usuário, seus endereços de email personalizados que usam o nome de domínio do seu site e tudo mais que estiver conectado.

Uma das razões pelas quais é tão fácil realizar um ataque de força bruta é que muitos proprietários de sites usam credenciais de administrador fracas. Estudos mostram que senhas como “123456”, “senha” e “qwerty” ainda estão entre as mais populares, mesmo em 2018 depois de todas essas violações de segurança.

A melhor (e óbvia) maneira de como deixar o WordPress mais seguro de ataques de força bruta é credenciais fortes. Siga a estrutura CLU e crie uma senha que seja: Complexa, Longa e Única.

Crie uma senha que inclua letras (maiúsculas e minúsculas), números e outros símbolos especiais como $&#@%*. Evite usar seu nome, nome do animal de estimação, datas de nascimento ou quaisquer “palavras reais” para esse assunto.

Como sua senha de administrador do WordPress protege a entrada de todo o site da empresa, certifique-se de que ela tenha pelo menos 16 caracteres.

Além disso, altere suas senhas com frequência, certifique-se de que sua senha seja única e não a use para nenhuma outra conta (como Facebook, Twitter, Netflix, etc.). Dessa forma, se alguma de suas outras contas for comprometida seu site WordPress premanecerá seguro. Se você mesmo não consegue criar uma senha forte, pode permitir que um gerador de senha crie uma para você.

O WordPress também propõe senha seguras para você e tem um indicador que mostra a força da sua senha.

Se tiver problemas para lembrar suas senhas, você pode usar um gerenciador de senhas como o LastPass.

Outra forma de reduzir os risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário. Se você tiver uma grande equipe ou autores convidados, certifique-se de entender as funções e recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress. Como veremos no próximo tópico.

[voltar ao topo ↑]

4 – Aplique as Permissões Mínimas do Usuário, Reduza o Risco de Terceiros

No entanto, não se trata apenas de suas próprias senhas, mas também das de outras pessoas em seu site. Para minimizar o risco que representam, primeiro certifique-se de que todos tenham permissão para fazer o que precisam. Para isso, faz sentido se familiarizar com as funções de usuário do WordPress para entender o que eles fazem e do que cada função é capaz.

Se você for como muitos proprietários de site, terá várias pessoas trabalhando em seu site. Alguns são responsáveis por administrar seu site como administradores e desenvolvedores, enquanto outros contribuem para o seu site com conteúdo como autores e editores.

Pode parecer óbvio, mas ainda vale a pena mencionar, você não quer distribuir permissões de usuário de nível superior à toa. Você precisa atribuir funções e permissões de forma adequada a cada usuário.

Por exemplo, você não deseja conceder acesso de administrador de um blogueiro convidado único. A função de contribuidor é provavelmente muito mais apropriada. Na verdade, você pode querer definir sua função de usuário padrão para Assinante(em Configurações>Geral>Nova Função Padrão do Usuário) para ficar no lado seguro.

Por outro lado, os desenvolvedores e administradores que mantém seu site precisam de acesso em todo o site para adicionar plugins e temas, fazer atualizações, etc.

Além disso, é uma boa prática para a segurança do WordPress conceder permissões temporárias e revogá-las posteriormente. Você pode fazer isso facilmente alterando as funções do usuário no menu Usuários e, em seguida, voltando quando a pessoa terminar seu trabalho.

Além disso, exclua todas as contas de usuário de que não precisa mais ou que não estão mais em uso. Além disso, existem maneiras de forçar outros usuários em seu site a também usarem senhas fortes. Muitos plugins de segurança do WordPress incluem essa funcionalidade e também existem outros pagos, como o Password Policy Manager.

[voltar ao topo ↑]

5 – Livre-se do Nome de Usuário do Administrador Para Resolver Uma Lacuna Comum

Antigamente, o nome do usuário de administrador padrão do WordPress era “admin”. Como os nomes de usuário constituem metade das credenciais de login, isso tornou mais fácil para os hackers fazerem ataques de força bruta.

Felizmente, o WordPress mudou isso desde então e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.

No entanto, alguns instaladores do WordPress com 1 clique ainda definem o nome de usuário de administrador padrão como “admin”. Se você perceber que esse é o caso, é provavelmente uma boa ideia mudar de hospedagem na web.

Como o WordPress não permite que você altere nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.

1. Crie um novo nome de usuário de administrador e exclua o antigo.
2. Use o plugin Username Changer.
3. Atualizar nome de usuário de phoMyAdmin.

Nota: Estou falando sobre o nome de usuário chamado “admin”, não a função de administrador.

[voltar ao topo ↑]

6 – Obscure Sua Conta de Administrador: Poste Como Colaborador ou Editor

Considere a criação de um contribuidor ou uma conta de editor para adicionar novas postagens e artigos ao seu site.

Como isso ajuda? Bem, o WordPress cria automaticamente um arquivo de autor para cada perfil de autor que publica algo no site. Geralmente, está localizado em algo como seusite.com/autor/nomedoautor.

O problema é que isso dá aos hackers em potencial uma parte das informações de login, já que o nome de login do autor está escrito em texto simples na URL. Novamente, agora tudo o que eles precisam fazer é adivinha a senha. por esse motivo, é melhor que os autores visíveis no seu site não sejam os que têm direitos de administrador.

[voltar ao topo ↑]

7 – Efetue Logout de Usuários Ociosos e Evite Erros de Terceiros

A próxima dica é desconectar os usuários ociosos após um período de inatividade. Você provavelmente conhece esse recurso de sites de bancos. Ele evita que você ou outra pessoa comprometa seu site ao permanecer acidentalmente conectado em um computador público ou quando se afasta da tela por um tempo.

Isso é necessário porque sua sessão pode ser sequestrada e os hackers podem abusar da situação para seu ganho. É ainda mais importante encerrar as sessões inativas se você tiver vários usuários em seu site. Além disso, é fácil, você pode usar um plugin como o Inactive Logout para fazer isso automaticamente.

Após a ativação, visite a página Configurações >> Logout inativo para definir as configurações do plugin.

Basta definir a duração de tempo e adicionar uma mensagem de logout. Não se esqueça de clicar no botão salvar alterações para armazenar suas configurações.

[voltar ao topo ↑]

8 – Minimize os Riscos de Segurança Mantendo o WordPress e Seus Componentes Atualizados

Você provavelmente notou que seus dispositivos são atualizados constantemente, incluindo seu computador, smartphone, aplicativos, etc. Essas atualizações vêm com aprimoramentos, novos recursos, correções de bugs, mas o mais importante, patches de segurança.

Cerca de 74% das vulnerabilidades conhecidas estão no núcleo do WordPress. Felizmente, a maioria deles pertence a versões antigas do WordPress, como 3.x.

A equipe de segurança do WordPress faz um ótimo trabalho ao corrigir rapidamente esses problemas de segurança. Portanto, manter seu WordPress atualizado pode mitigar uma grande quantidade de riscos de segurança.

WordPress é um software de código aberto que é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações. Para versões principais, você precisa iniciar manualmente a atualização.

O WordPress também vem com milhares de plugins e temas que você pode instalar no seu site. Esses plugins e temas são mantidos por desenvolvedores terceirizados que também lançam atualizações regularmente.

Essas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa se certificar de que o núcleo, os plugins e o tema do WordPress estão atualizados.

Arquivos desatualizados representam um risco de segurança porque deixam seu site vulnerável a explorações. Isso vale tanto para o próprio WordPress quanto para componentes como temas e plugins. eles recebem atualizações por um bom motivo, geralmente incluindo correções de bugs de segurança. Na verdade, plugins vulneráveis são a fonte número um de hacks de sites, de acordo com a WordFence.

Você pode atualizar manualmente o seu site em Painel>Atualizações. Lembre-se sempre de fazer backup do seu site com antecedência. Melhor ainda, aplique as atualizações em um site de teste ou desenvolvimento primeiro, verifique se está tudo bem e, em seguida, aplique-as ao site ativo.

Também é possível usar a função de atualização automática do WordPress. Desde a versão 5.6 no mesmo menu, você pode escolher se deseja instalar automaticamente apenas atualizações secundárias de segurança e manutenção ou também atualizações principais.

No entanto, o último vem apenas com recomendação limitada, pois pode quebrar seu site sem que você saiba.

Você também pode habilitar atualizações automáticas para temas e plugins. Para temas, vá para Aparência>Temas, clique no modelo de sua escolha e use o link Habilitar atualizações automáticas.

Para plugins, você encontra essa opção no menu Plugins à direita.

Como alternativa, use o Easy Updates Manager para gerenciar essas permissões. Você também pode configurar muito dele via wp-config.php. Também é possível atualizar o WordPress e seus componentes manualmente.

Algo que você definitivamente deve fazer é examinar regularmente os plugins instalados e desativar e excluir o que não está mais usando.

[voltar ao topo ↑]

9 – Use Apenas Temas e Plugins de Fontes Confiáveis Para Evitar Comprometer Seu Site

Como já foi dito anteriormente, temas e plugins não confiáveis são uma das principais maneiras pelas quais os sites WordPress são comprometidos. Para reduzir o risco de isso acontecer, o primeiro passo é usar apenas extensões de fontes confiáveis.

Isso significa ficar longe de versões nulas, torrentadas e “gratuitas” de plugins e temas. Além de tirar os desenvolvedores dos frutos de seu trabalho, você nunca sabe o tipo de código que pode estar escondido lá dentro. Ao enviá-los para o seu site, é possível que você esteja abrindo backdoors para hackers sozinho. Portanto, use fontes confiáveis, como o diretório de temas e plugins no WordPress.org ou fornecedores premium confiáveis.

Ao considerar fazer o download de um tema ou plugin, para ficar no lado seguro, verifique:

• Seu número de usuários;
• Críticas e avaliações;
• É ativamente suportado com atualizações regulares?;
• Compatibilidade com sua versão WordPress.

Resumindo, use plugins e temas que estão em desenvolvimento ativo e que muitos outros usuários confiam.

[voltar ao topo ↑]

10 – Remova Plugins e Temas Desnecessários

Os proprietários de sites tendem a usar plugins em excesso e não excluem temas que não usam, o que às vezes pode comprometer seriamente a segurança do WordPress. Mais plugins e temas significam mais vulnerabilidade. Cada novo plugin ou tema aumenta o risco de ser hackeado.

Portanto, use apenas plugins totalmente necessários. Não apenas desative, mas também exclua aqueles de que você não precisa. E, como você pode usar apenas um tema em um site WordPress, não faz muito sentido deixar os temas instalados que você não usa. Para melhor segurança do WordPress, considere excluir os inativos. Se você precisar deles no futuro, poderá reinstalá-los rapidamente.

[voltar ao topo ↑]

11 – Use Um Serviço de Backup ou Plugin Para a Segurança do WordPress (Muito Necessário)

Se você ainda não está fazendo backup do seu site, precisa começar imediatamente. Os backups são sua primeira defesa contra qualquer ataque do WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser hackeados, o seu também pode. Um sistema de backup o ajudará a restaurar seu site se o pior acontecer e ele acabar sendo invadido. Aqui estão alguns plugins e serviços para essa finalidade:

• UpdraftPlus;
• BackWPup;
• BlogVault;
• VaultPress.

Coisas para manter em mente:

1. Faça backup dos arquivos e do banco de dados do seu site – Os sites WordPress consistem em duas partes. Certifique-se de salvar os dois ou você se arrependerá;
2. Crie uma programação regular – Defina seus backups para acontecerem automaticamente em intervalos regulares. A frequência depende do seu site e da frequência com que você altera as coisas ou publica conteúdo. Para um site de brochura simples, uma vez por semana é o suficiente. Para um blog ativo, uma vez por dia ou até com mais frequência pode fazer mais sentido;
3. Armazene os arquivos de backup fora do local – Existem muitos plugins de backup gratuitos e pagos do WordPress que você pode usar. A coisa mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente os backups completos do site em um local remoto (não em sua conta de hospedagem). Certifique-se de que seus arquivos de backup vão para um serviço de nuvem como Amazon, Dropbox, Google Drive ou nuvens privadas como Stash, não para o seu próprio servidor. Caso contrário, você corre o risco de ter seus backups infectados ou perdê-los juntos com seus arquivos se o servidor quebrar.

[voltar ao topo ↑]

12 – Use Conexões Seguras de Servidor, Mantenha Seu Tráfego Protegido

Finalmente, como parte dos principios básicos de como deixar o WordPress mais seguro, certifique-se de se conectar ao seu servidor com segurança. Uma das maneiras mais comuns de gerenciar um servidor é usar o FTP. Também o mencionarei algumas vezes neste artigo.

No entanto, o FTP tem um primo muito mais seguro chamado SFTP, que criptografa automaticamente o tráfego, entre o seu computador e o servidor. Sempre que puder, use-o em vez do protocolo FTP não criptografado. Caso contrário, você corre o risco de ter seu tráfego interceptado e espionado. Um bom cliente de FTP como o FileZilla permitirá que você faça isso.

[voltar ao topo ↑]

13 – Compreenda e Proteja Contra Ataques DDoS

Um ataque DDos é um tipo comum de ataque contra a largura de banda do servidor, em que o invasor usa vários programas e sistemas para sobrecarregar o servidor. Embora um ataque como esse não coloque em risco os arquivos do seu site, ele deve travá-lo por um longo período se não for resolvido. normalmente, você só ouve falar de ataque DDos quando eles acontecem com grandes empresas como GitHub ou Target. Eles são conduzidos por aquilo que muitos chamam de ciberterroristas, então o motivo pode ser simplesmente causar estragos.

Dito isso, você não precisa ser uma empresa Fortune 500 para estar em risco.

Se isso o preocupa, recomendo que você se inscreva nos planos premium Sucuri ou Cloudflare. Essas soluções têm firewalls de aplicativos da web para analisar a largura de banda que está sendo usada e bloquear totalmente os ataques DDos.

[voltar ao topo ↑]

Técnicas Avançadas de Como Deixar o WordPress Mais Seguro

Tudo bem, isso era para as melhores práticas básicas de como deixar o WordPress mais seguro. De agora em diante, examinaremos maneiras mais avançadas de como deixar o WordPress mais seguro. Eles podem precisar de um pouco de habilidades técnicas, mas ainda são bastante viáveis e irão fortalecer ainda mais o seu site WordPress contra desastres.

Eu aprendi muita coisa no curso WordPress Seguro do meu amigo Rick Bauck.

Então passarei algumas dicas de como você pode melhorar ainda mais a segurança do WordPress com apenas alguns cliques (sem necessidade de codificação).

Se você pode apontar e clicar, você pode fazer isso!

[voltar ao topo ↑]

14 – Fortaleça a Área Administrativa e Evite Ataques de Força Bruta

Obviamente, uma das partes mais importante e, portanto, mais dignas de proteção do seu site é o back end ou painel. Se alguém obtiver acesso a ele com direitos de administrador, não há nada que ele não possa fazer.

Os hackers tentam invadir o local com os chamados ataques de força bruta. Isso significa que eles tentam automaticamente centenas ou milhares de combinações de nome de login e senha até que algo funcione. Então, vamos rever algumas maneiras de como evitar isso.

[voltar ao topo ↑]

a) Altere o Admin Padrão e o URL de Login

Por padrão, os URLs para fazer login em seu site estão localizados em seudominio.com/wp-admin ou seudominio.com/wp-login.php. Quando os hackers sabem o URL direto de sua página de login, eles podem tentar força bruta em seu caminho Eles tentam fazer o login com sua GWDb (Banco de Dados Guess Trabalho, ou seja, um banco de dados de nomes de usuários e senhas adivinhadas; por exemplo, nome de usuário: .admin E senha: p@ssword … com milhões dessas combinações).

Neste ponto, já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de email. Agora podemos substituir o URL de login e nos livrar de 9% dos ataques diretos de força bruta.

Este pequeno truque restringe uma entidade não autorizada de acessar a página de login. Somente alguém com o URL exato pode fazer isso.

A maneira mais fácil de alterar o URL de login é usar o plugin apropriadamente nomeado WPS Hide Login. É muito simples de usar; basta inserir o novo URL da página de login e salvar as alterações. Você pode definir o URL para o que quiser.

[voltar ao topo ↑]

b) Limite as Tentativas de Login

Por padrão, o WordPress permite que os usuários tentam fazer o login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. Os harkers tentam quebrar as senhas tentando fazer o login com diferentes combinações.

Outra boa maneira de parar esses ataques é limitar as vezes que alguém pode tentar fazer o login antes de serem bloqueados. Isso é semelhante ao que os cartões bancários fazem; se você digitar um PIN errado em um caixa eletrônico algumas vezes, seu cartão será bloqueado. No caso do WordPress, o endereço IP de onde vêm as tentativas de login mal sucedidas será bloqueado, em vez de todo o seu site.

Você pode limitar as tentativas de login por meio de plugins como Cerber Security, Login lockdown, Limit Login Attempts Reloaded ou plugins de segurança tudo em um como iThemes.

Basta definir o número máximo de tentativas de login com falha permitidas antes que um nome de usuário ou IP seja bloqueado. Um bloqueio desativa temporariamente o invasor de fazer tentativas de login.

Se um usuário for bloqueado três vezes, ele será proibido até mesmo de visualizar o seu site.

[voltar ao topo ↑]

c) Adicionar Perguntas de Segurança à Tela de Login do WordPress

Adicionar uma pergunta de segurança à tela de login do WordPress torna ainda mais difícil para alguém obter acesso não autorizado.

Você pode adicionar perguntas de segurança instalando o plugin WP Security Questions. Após a ativação, você precisa visitar a página Configurações >> Perguntas de segurança para definir as configurações do plugin.

[voltar ao topo ↑]

d) Autenticação de Dois Fatores

A autenticação de dois fatores significa que, além de inserir sua senha, os usuários também terão que inserir um código gerado por um aplicativo móvel ou algum outro dispositivo para fazer login em seu site. Assim, mesmo que os hackers consigam adivinhar ou de alguma forma adquirir sua senha, eles ainda não podem entrar em seu site sem, por exemplo, seu telefone celular.

A maioria dos principais sites online, como Google, Facebook, Twitter, permite que você o habilite para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.

Primeiro, você precisa instalar e ativar o plugin Two Fator Authentication. Após a ativação, você precisa clicar no link ‘Two Factor Auth’ na barra lateral de administração do WordPress.

Em seguida, você precisa instalar e abrir um aplicativo autenticador em seu telefone. Existem vários deles disponíveis, como Google Authenticator, Authy e LastPass Authenticator.

Recomendo usar o Authenticator LastPass ou Authy porque ambos permitem que você faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, reiniciado ou você adquira um novo telefone. Todos os logins de sua conta serão facilmente restaurados.

Estarei usando o Autenticator LastPass para o tutorial. No entanto, as instruções são semelhantes para todos os aplicativos de autenticação. Abra seu aplicativo autenticador e clique no botão adicionar.

Será perguntado se você gostaria de escanear um site manualmente ou escanear o código de barras. Selecione a opção de leitura do código de barras e aponte a câmera do seu telefone para o código QR mostrado na página de configurações do plugin.

Isso é tudo, seu aplicativo de autenticação agora irá salvá-lo. Na próxima vez que você fizer login em seu site, será solicitado o código de autenticação de dois fatores após inserir sua senha.

Basta abrir o aplicativo autenticador em seu telefone e inserir o código que você vê nele.

[voltar ao topo ↑]

e) Proteja o wp-admin Com Senha

Outra forma de combater esse tipo de risco à segurança é proteger todo o wp-admin diretório com outra senha. Dessa forma, sem ele, os hackers não conseguem nem mesmo acessar a página de login do WordPress.

A proteção de diretórios com senha ocorre do lado do servidor. Se você estiver executando um servidor apache, crie um arquivo de texto chamado .htaccess (mais sobre isso em breve) e insira o seguinte:

1. AuthName “Members Only”
2. AuthType Basic
3. AuthUserFile /path/to/ .htpasswd
4. Require valid-user
5. <Files admin-ajax.php>
6. Order allow, deny
7. Allow from all
8. Satisfy any
9. </Files>

Este código cria uma área protegida por senha chamada “Somente membros” que só pode ser acessada por usuários válidos com senha adequadas incluídas em um arquivo denominado .htpasswd e onde está localizado. A última parte é uma exceção a admin-ajax.php essa necessidade para que funcione com o WordPress. Faça upload deste arquivo para o wp-admin diretório.

Depois disso, crie outro arquivo chamado, você adivinhou, .htpasswd e coloque esses dados nele:

1. username:password

Estes são todos os nomes de usuários que têm acesso a este diretório (atualmente, apenas um) junto com suas senhas.

Importante: a senha precisa ser criptografada para funcionar. Você pode fazer isso inserindo seu nome de usuário e senha em texto simples e, em seguida, copiando o resultado.

Faça o upload para o local onde você .htaccess aponta. Você pode fazer a mesma coisa com um servidor NGINX. Como alternativa, você também pode bloquear o URL com um Firewall e adicionar uma exceção apenas para o seu endereço IP.

[voltar ao topo ↑]

15. Mantenha Seus Arquivos Protegidos: Desative o Tema do WordPress e o Editor de Plugins

O WordPress vem com um editor de código integrado que permite que você edite seus arquivos de tema e plugin direto da área de administração do WordPress. Em mãos erradas, esse recurso pode ser um risco à segurança, por isso recomendo desativá-lo.

No painel do WordPress em Aparência>Editor de temas e plguins>Editor de plugins.

Aqui, você pode fazer alterações em arquivos WordPress diretamente do back-end. Isso pode ser útil quando você precisa adicionar rapidamente uma linha de código. No entanto, isso também significa que qualquer pessoa que fizer login em seu site com o nível de permissão correto pode acessar esses arquivos com resultados potencialmente desastrosos.

Desative esse recurso adicionando o seguinte código ao seu wp-config.php arquivo antes de onde diz That´s all, stop editing! Happy blogging.:

1. // Disallow file edit
2. define( ‘DISALLOW_FILE_EDIT’ , true );

Como alternativa, você pode fazer isso com 1 clique usando o recurso Hardening no plugin Sucuri gratuito que mencionei acima.

[voltar ao topo ↑]

16 – Verifique e Altere os Níveis de Permissão de Arquivo Para Proteger os Dados em Seu Servidor

Permissões de diretórios erradas podem ser fatais, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhada.

Todos os arquivos e pastas no diretório do WordPress em seu servidor têm diferentes níveis de permissão. Existem três tipos: permissões de leitura, gravação e execução. Eles determinam se os usuários podem acessar arquivos, fazer alterações, excluí-los e executá-los. O mesmo acontece com o conteúdo dos diretórios.

Se os errados estiverem instalados, isso pode dar às pessoas acesso a arquivos aos quais não deveriam ter acesso e que poderiam usar para derrubar seu site. Por outro lado, se as permissões forem muito restritas, eles podem desativar algumas funcionalidades. Nesse caso, alterar arquivos e permissões de diretório é uma boa medida para proteger o site do nível de hospedagem.

Isso pode ser feito manualmente por meio do Gerenciador de arquivos dentro do painel de controle de sua hospedagem ou por meio do terminal (conectado com SSH) – use o comando “chmod“.

Uma outra possiblidade é verificar e alterar isso com um cliente FTP. Por exemplo, o FileZila tem uma coluna chamada Permissões diretamente na interface do usuário.

Alterá-los é tão fácil quanto clicar com o botão direito em um arquivo ou diretório e escolher Permissões de arquivo . . . Depois disso, basta inserir o valor numérico correto (veja abaixo e clicar em ok)

Para obter instruções sobre o cPanel, verifique (aqui) na parte inferior. Quanto a nível de permissão correto, de acordo com o WordPress Codex, eles deve ser definidos da seguinte forma:

• Todos os diretórios devem ser 755;
• Todos os arquivos devem ser 644;
• wp-config.php deveria ser 600.

Para mais informações, você pode ler sobre o esquema de permissão correto para WordPress ou instalar o plugin de segurança iThemes para verificar suas configurações de permissão atuais.

Alguns hosts podem precisar de permissões diferentes, portanto, converse com seu provedor de hospedagem se tiver problemas.

[voltar ao topo ↑]

17 – Monitore Seus Arquivos

Se você quiser um pouco mais de segurança do WordPress, monitore as alterações nos arquivos do seu site através de plugins como o Wordfence ou, novamente, o iThemes Security.

[voltar ao topo ↑]

18 – Bloquei Todos os Hotlinking

Digamos que você localize uma imagem online e gostaria de compartilhá-la em seu site. Em primeiro lugar, você precisa de permissão ou essa imagem, caso contrário, há uma boa chance de que seja ilegal fazê-lo. Mas se você obtiver permissão, poderá puxar diretamente o URL da imagem e usá-lo para colocar a foto em sua postagem. O principal problema aqui é que a imagem é exibida no seu site, mas está hospedada no servidor de outro site.

Dessa perspectiva, você não tem nenhum controle sobre se a foto permanece ou não no servidor. Mas também é importante perceber que as pessoas podem fazer isso no seu site.

Se você está seguindo o passo a passo deste artigo de como deixar o WordPress mais seguro, o hotlinking é basicamente outra pessoa tirando sua foto e roubando a largura de banda do servidor para mostrar a imagem em seu próprio site. No final, você verá velocidades de carregamento mais lentas e o potencial para altos custos de servidor.

Os scrappers de conteúdo exploram fortemente essa técnica, que pode acumular uma grande conta de largura de banda.

Você pode verificar se alguém está fazendo um hotlink em suas imagens usando os operadores de pesquisa do Google:

inurl: https: //seusite.com -site: https: //seusite.com

Use este comando para procurar todas as imagens do seu site que não contenham seu próprio URL.

Embora existam algumas técnicas manuais para evitar hotlinking, o método mais fácil é encontrar um plugin de segurança do WordPress para o trabalho. Por exemplo, o plugin All in One WP Security and Firewall inclui ferramentas integradas para bloquear todos os hotlinking.

[voltar ao topo ↑]

19 – Impedir Spam

O Spam se tornou uma praga moderna para todos na internet. No entanto, além de ser irritante, também pode levar a ataques de força bruta e DDoS, bem como vulnerabilidades XSS.

Vários tipos de spam podem comprometer você e seus usuários. Como deixar o WordPress mais seguro e garantir a segurança máxima, você precisa evitar:

• Spam de comentário – O tipo mais comum de spam que aparece na seção de comentários do seu site. Os comentários de spam costumam conter links para sites cheios de malware, vírus ou golpes;
• Splogs – Abreviação de blogs de spam. Os spammers podem se registrar em um site em uma rede multisite para sugar largura de banda e recursos para postar spam ou links de afiliados para itens questionáveis;
• Trackbacks – Ocorre quando outro site cria um link para sua postagem em uma de suas postagens e aparece como um comentário em seu site;
• Pingbacks – Pingbacks são essencialmente iguais aos trackbacks, exceto que o processo é automatizado.

O spam pode prejudicar seu site de várias maneiras, desde redução de desempenho até phishing e injeções de SQL.

É essencial manter seu site livre de spam. Você pode proteger seu site com plugins anti-spam dedicados, como o Akismet, e também com ferramentas de segurança completas como o Wordfence.

[voltar ao topo ↑]

20 – Use HTTPS e SSL, Criptografe o Tráfego Do Site

HTTPS (Hyperttext Transfer Protocol Secure) e SSL (Secure Socket Layers) permitem que os navegadores dos visitantes estabeleçam uma conexão segura com seu servidor de hospedagem (e, portanto, seu site). Eles garantem que todas as informações que fluem entre os dois sejam criptografadas.

Ter SSL em vigor é obrigatório para eCommerce e outros sites que ligam com dados confidenciais, como informações de cartão de crédito. No entanto, mesmo em um site e blog normal, é mais difícil roubar informações de login. Isso é especialmente vital em uma rede pública ou quando você tem muitas pessoas que se conectam ao seu site.

Criptografar o tráfego do site não só aumentará a segurança do site, mas também beneficiará a classificação do mecanismo de pesquisa. Por exemplo, o Google Chrome agora mostra todos os sites que não estão em HTTPS como “não seguros” na barra do navegador.

Depois de habilitar o SSL, o seu site usará HTTPS em vez de HTTP, você também verá um cadeado próximo ao endereço do seu site no navegador.

Finalmente, HTTPS é mais rápido, porque usa o protocolo HTTP / 2 por padrão. Então, é até algo que pode melhorar a velocidade do seu site. Você pode testar você mesmo, aqui.

O problema com SSL é que costumava ser caro. Você tinha que comprar um certificado de um fornecedor e fazê-lo funcionar em seu site. No entanto, agora temos o Let´s Encrypt, um projeto apoiado pelo Mozilla, Facebook, Google Chrome, Automattic e outros. É um certificado SSL gratuito que qualquer pessoa pode usar.

Fale com o seu provedor de hospedagem e pergunte sobre a possibilidade de fazê-lo. Se eles não oferecerem o Let´s Encrypt, eles podem pelo menos ajudá-lo a obter um certificado SSL ou indicar uma empresa confiável onde você pode comprar um. Ou você pode comprar um em Domain.com. Eles têm o melhor e mais confiável negócio de SSL do mercado. Ele vem com uma garantia de segurança de $ 10.000 e um selo de segurança TrustLogo.

[voltar ao topo ↑]

21 – Desative o XML-RPC e Feche Outro Ponto de Entrada

XML-RPC permite que seu site estabeleça uma conexão com aplicativos móveis WordPress e plugins como o Jetpack. Infelizmente, também é o favorito dos hackers do WordPress porque eles podem abusar desse protocolo para executar vários comandos ao mesmo tempo. Isso significa que, em vez de tentar meticulosamente uma senha após a outra, eles podem testar várias ao mesmo tempo e obter acesso ao seu site com mais facilidade.

Com o XML-RPC habilitado, um hacker pode usar algo chamado “função system.multicall” para sondar milhares de combinações de senha com apenas 20 ou 50 solicitações. Isso permite que os hackers voem sob o radar, onde a maioria dos plugins de segurança não consegue encontrá-los.

Plugins de segurança de qualidade do WordPress, como o iThemes, podem bloquear tentativas de login XML-RPC para manter seu site seguro contra esses tipos de ataques de força bruta.

Alguns plugins dependem do XML-RPC para funcionar corretamente. Para saber se o seu site está ativado, digite o endereço do seu site aqui. Se não estiver ativo, você receberá uma mensagem de erro.

Nesse caso, pode ser uma boa ideia desativá-lo para fechar essa lacuna. Você pode usar um plugin como Disable XML-RPC-API para fazer isso. Como alternativa, também é possível desativá-lo colando o código abaixo em seu .htaccess arquivo (mais sobre isso abaixo).

1. #Bloquear solicitações xmlrpc.php do WordPress
2. <Files xmlrpc.php>
3. order deny,allow
4. deny from all
5. allow from xxx.xxx.xxx.xxx
6. </Files>

A linha que diz allow from xxx.xxx.xxx.xxx é opcional. Você pode usá-lo para permitir o acesso contínuo ao XML-RPC para um endereço IP específico, se necessário. Caso contrário, exclua-o.

[voltar ao topo ↑]

22 – Use a Versão Mais Recente do PHP Para Aproveitar as Atualizações de Segurança

PHP é onde o WordPress funciona. Está presente no servidor de cada site construído com o CMS. Assim como o WordPress, a linguagem de programação está em constante desenvolvimento. Novas versões vêm com melhorias de desempenho, mas também correções de vulnerabilidade.

Só por isso, é importante que você execute a versão mais recente. Além disso, cada nova versão do PHP também recebe suporte e atualizações por apenas dois anos. As versões suportadas atualmente são 8.0, 7.4 e 7.3, portanto, é altamente recomendável que você use uma delas. Infelizmente, apenas um pouco mais da metade dos sites WordPress estão seguindo esse conselho.

Certifique-se de que o seu site tenha a última versão estável do PHP para garantir a segurança máxima.

Às vezes, leva tempo para que os desenvolvedores testem e garantam a compatibilidade com seu código, então você pode usar qualquer uma das versões do PHP que ainda têm suporte de segurança (atualmente 7.2 e 7.3, faltando apenas alguns meses para a versão 7.1).

Executar seu site na versão mais recente do PHP pode dar a você um aumento significativo de segurança e desempenho. Verifique com seu provedor de hospedagem qual versão está capacitando seu site WordPress.

Isso não é realmente ideal, embora tenha melhorado nos últimos anos.

Como você pode alterar sua versão do PHP se quiser aproveitar as vantagens das versões mais recentes? Normalmente, você tem uma opção para isso no menu de administração de hospedagem.

No entanto, certifique-se de testar a compatibilidade do seu site primeiro. Portanto, primeiro, experimente a nova versão em um ambiente de teste para ver se todos os seus plugins e funções de tema funcionam com a nova versão.

[voltar ao topo ↑]

23 – Endureça wp-config.php, Protegendo um de Seus Arquivos Mais Vitais

O arquivo wp-config.php contém informações cruciais sobre a instalação do WordPress e é o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.

wp-config.php controla muitas funcionalidades importantes em seu site, não menos importante a conexão com seu banco de dados. Sem ele, todo o seu site quebra. É hora de aprender a protegê-lo.

[voltar ao topo ↑]

a) Mova-o Para Um Diretório Acessível Não www

Torne o arquivo mais difícil de acessar movendo-o do diretório raiz para um diretório não acessível pelo navegador. A maneira mais fácil é simplesmente movê-lo um nível acima em seu servidor. Portanto, se o diretório raiz estiver em /var/www/html, basta mover o arquivo para /var/www/. O WordPress irá encontrá-lo automaticamente lá, então você não precisa fazer nada.

Se você quiser colocar o arquivo em outro lugar, copie-o para um novo local. Em seguida, diga ao WordPress onde ele está substituindo o conteúdo do arquivo original por isto (certifique-se de ajustar o caminho do arquivo real):

1. < ? php
2. include ( ‘/server/path/to/wp-config.php’ );

Essa tática torna as coisas difíceis para os hackers violarem a segurança do seu site, uma vez que o arquivo wp-config.php se torna inacessível para eles.

[voltar ao topo ↑]

b) Altere Suas Chaves de Segurança do WordPress

As chaves de segurança do WordPress são responsáveis por criptografar as informações armazenadas nos cookies de seus usuários. Eles estão localizados no wp-config.php e têm a seguinte aparência:

1. define (‘AUTH_KEY’, ‘put your unique phrase here’);
2. define (‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
3. define (‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
4. define (‘NONCE_KEY’, ‘put your unique phrase here’);
5. define (‘AUTH_SALT’, ‘put your unique phrase here’);
6. define (‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
7. define (‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
8. define (‘NONCE_SALT’, ‘put your unique phrase here’);

Eles são gerados aleatoriamente na instalação. Se você migrou seu site ou o assumiu de outra pessoa, pode ser uma boa ideia renová-lo. Para isso, use o WordPress Salts Key Generator para obter um novo conjunto de chaves aleatórias.

Simplesmente copie e cole sobre as chaves em seu <code>wp-config.php</code> e salve, pronto.

[voltar ao topo ↑]

c) Verifique as Permissões do Arquivo

Conforme mencionado anteriormente, para mantê-lo seguro, wp-config.php deve ter um nível de permissão de 600. Se você ainda não fez isso, agora é um bom momento para verificar se é esse o caso. Use as instruções acima para fazer isso.

[voltar ao topo ↑]

24 – Uma Verificação de Integridade de Arquivo do WordPress Alerta Você Quando Seu Site Foi Comprometido

Fazer uma verificação de integridade do arquivo significa monitorar se há alguma alteração nos dados do seu site. Quando você tem malware em seu site, geralmente verá novos arquivos ou alterações em arquivos onde o código está oculto.

Website File Changes Monitor é um plugin de segurança do WordPress que verifica seus arquivos em relação aos originais e enviará um email quando detectar modificações ou arquivos que não pertencem. Dessa forma, você pode detectar hacks logo no início, encontrar backdoors, malware e arquivos infectados.

[voltar ao topo ↑]

25 – Encontre Links Fracos Com Antecedência Com o Registro de Atividades

O acima é melhor combinado com o registro de atividades. O WP Activity Log rastreia o que os usuários estão fazendo em seu site, quais alterações eles fazem, quando fazem login, configurações que alteram, etc.

Com esse conhecimento, você pode descobrir quem cometeu um erro quando algo deu errado. Você também pode verificar se outros usuários realizam ações que possam colocar em risco o seu site. Também ajuda a ver se alguém chega ao seu site e causa estragos, como uma conta de usuário que foi hackeada ou adicionada secretamente.

[voltar ao topo ↑]

Medidas Técnicas de Como Deixar o WordPress Mais Seguro

Tudo bem, na parte final do nosso guia sobre como deixar o WordPress mais seguro, veremos algumas maneiras relativamente complicadas de proteger seu site. Serão bastante técnicos, por isso podem ser intimidantes. No entanto, não se deixe assustar, tudo ainda é muito factível.

Se você fez tudo o que mencionei até agora, você está em uma boa forma. Mas, como sempre, há mais que você pode fazer e verificar como deixar o WordPress mais seguro. Algumas das etapas a seguir podem exigir conhecimento de codificação.

[voltar ao topo ↑]

26 – Use .htaccess Para Bloquear Ainda Mais o Seu Site

.htaccess é um arquivo um pouco complicado porque está oculto por padrão (assim como todos os arquivos que começam com um ponto). Portanto, se você não conseguir encontrá-lo em seu servidor, é provável que não consiga ver os arquivos ocultos.

A solução é bastante simples. Em seu cliente FTP, geralmente você tem alguma função que os faz aparecer no menu. Por exemplo, no FileZilla, você o encontra em Servidor>Forçar exibindo arquivos ocultos. No cPanel, você pode usar essas instruções.

Depois de ver, você pode baixar e editar o .htaccess. Esteja ciente de que todo o código oferecido abaixo deve sempre colocado fora das tags # BEGIN WordPress and # END WordPress para garantir que as alterações não sejam substituídas a cada nova atualização.

[voltar ao topo ↑]

a) Proteja Seus Arquivos .htaccess e wp-config.php

.htaccess e wp-config.php são os arquivos mais importantes na instalação do WordPress. Como tal, você precisa ter certeza de que eles estão seguros. Por padrão, qualquer pessoa pode obter acesso ao seu arquivo wp-config, que contém todas as suas configurações, como nome do banco de dados, nome de usuário, senha, salt e outros dados altamente confidenciais. Você pode negar o acesso ao arquivo wp-config adicionando o seguinte snippet de código ao seu arquivo .htaccess:

1 <Files wp-config.php>
2 Order Allow,Deny
3 Deny from all
4 </Files>

Coloque o snippet acima / abaixo das Rewriters regras no arquivo .htaccess padrão do WordPress, mas acima da </IfModule> tag de fechamento.

Também é possível negar o acesso não autorizado a todos os arquivos .htaccess em sua instalação do WordPress. Seus arquivos .htaccess contêm a configuração do servidor Apache, no entanto, eles estão publicamente disponíveis no navegador.

Se você digitar http://seusite.com/.htaccess na barra de URL do seu navegador, poderá verificar se o arquivo .htaccess principal pode ser acessado por qualquer pessoa na internet. Use a seguinte regra .htaccess para proteger seus arquivos .htaccess:

1 <Files ~ “^.*\.([Hh][Tt]{Aa])”>
2 Order Allow,Deny
3 Deny from all
4 Satisfy all
5</Files>

[voltar ao topo ↑]

b) Limitar o Acesso wp-login.php ao Seu Próprio IP

Além do acima, você também pode adicionar o trecho de código abaixo, Isso impedirá o acesso à página de login do seu site para todos, exceto para o IP definido. Certifique-se de preencher seu próprio endereço IP para não se desconectar! Se você não sabe seu endereço IP, pode encontrá-lo aqui.

1. #Limit access to wp-login
2. <Files wp-login.php>
3. order deny, allow
4. deny from all
5. # allow access from my IP address
6. allow from xxx.xxx.xxx.xxx
7. </Files>

Você também pode usar isso para limitar o acesso ao wp-admin em vez de protegê-lo com senha. Coloque um .htaccess dentro de sua wp-admin e inclua o código a seguir nele.

1. # Limit access to wp-admin
2. <FilesMatch “.*”>
3. order deny, allow
4. deny from all
5. # allow access from my IP address
6. allow from xxx.xxx.xxx.xxx
7. </FilesMatch>

Se você estiver usando um IP dinâmico e não estático, use estas instruções.

[voltar ao topo ↑]

c) Desativar Indexação e Navegação de Diretório

Qualquer diretório que faça parte da arquitetura do seu site é navegável por padrão, se nenhum index.html estiver nele. Isso não é bom porque permite que as pessoas vejam o que está em seus diretórios e potencialmente usem contra você. A navegação no diretório pode ser usada por hackers para descobrir se você possui algum arquivo com vulnerabilidades conhecidas, para que eles possam tirar proveito desses arquivos para obter acesso.

A navegação em diretórios também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir sua estrutura de diretórios e outras informações. É por isso que é altamente recomendável que você desative a indexação e a navegação de diretório.

Você precisa se conectar ao seu site usando FTP ou o gerenciador de arquivos cPanel. Em seguida, localize o arquivo .htaccess no diretório raiz do seu site.

Depois disso, você precisa adicionar a seguinte linha no final do arquivo .htaccess:

1. # Disable directory indexing and browsing
2. Options All -Indexes

Não se esqueça de salvar e enviar o arquivo .htaccess de volta ao seu site.

[voltar ao topo ↑]

d) Desative a Execução de PHP Nos Diretórios do WordPress Para Manter os Hackers Longe

WordPress é executado em PHP, portanto, você precisa que os usuários acessem e executem arquivos PHP em seu site. No entanto, os hackers também podem usar essa capacidade para executar arquivos maliciosos nesses locais e manter backdoors no seu site. Portanto, pode fazer sentido bloquear essa capacidade em determinados diretórios em que você não precisa dela, como na wp-content/uploads para ou dentro wp-includes. Você pode criar seu próprio .htaccess (simplesmente crie um arquivo de texto e nomeio-o) e, em seguida, adicione o snippet abaixo:

1. # Disable PHP execution in this directory
2. <Files *.php>
3. deny from all
4. </Files>

Em seguida, você precisa salvar este arquivo como .htaccess e enviá-lo para / wp-content / uploads / em seu site usando um cliente FTP.

Alternativamente, você pode fazer isso com 1 clique usando o recurso Hardening no plugin Sucuri gratuito que mencionei acima.

[voltar ao topo ↑]

27 – Proibir HTML Não Filtrado

O WordPress permite que administradores e editores postem marcação HTML e código JavaScript (dentro de uma <script>tag) de páginas, postagens, widgets e comentários. No entanto, isso pode ser perigoso se sua conta for comprometida. Você pode filtrar o HTML que eles postam adicionando a seguinte regra ao seu arquivo wp-config:

1 define( ‘DISALLOW_UNFILTERES_HTML’, true);

Dessa forma, o HTML e o JavaScript que eles postam não serão executados. Em vez disso, ele aparecerá no site como uma string de texto simples.

[voltar ao topo ↑]

28 – Desative o Relatório de Erros e Mantenha as Informações Confidenciais Seguras

O relatório de erros é útil para solucionar problemas e determinar qual plugin ou tema específico está causando o mau funcionamento de seu site WordPress.

No entanto, assim que o sistema relatar um erro, ele também exibirá o caminho do servidor. Desnecessário dizer que esta é uma oportunidade perfeita para os hackers descobrirem como e onde podem tirar proveito das vulnerabilidades do seu site. Você pode desativar isso adicionando o código abaixo ao seu wp-config.php:

1. // Disable error reporting
2. error_reporting (0);
3. @ini_set (‘display_errors’ , 0);

[voltar ao topo ↑]

29 – Remova o Número da Sua Versão do WordPress Para Interromper as Vulnerabilidades de Transmissão

O número da sua versão atual do WordPress pode ser encontrado facilmente. Basicamente, está bem ali na visualização da fonte do seu site. Você também pode vê-lo na parte inferior do seu painel (mas isso não importa ao tentar proteger o seu site WordPress).

Qualquer pessoa que der uma olhada no código-fonte do seu site poderá saber qual versão do WordPress você está usando.

<meta name=”generator” content=”WordPress 5.3″ />

Como cada versão do WordPress tem changelogs públicos que detalham a lista de bugs e patches de segurança, eles podem determinar facilmente quais brechas de segurança podem tirar proveito. Portanto, essa não é a informação que você deseja fornecer. O negócio é o seguinte: se os hackers souberem qual versão do WordPress você usa, será mais fácil para eles criarem o ataque perfeito.

Você pode ocultar o número da sua versão com quase todos os plugins de segurança do WordPress mencionado neste artigo.

Felizmente, há uma solução fácil. Você pode remover com segurança o número da versão do WordPress de seu site e feed RSS editando o functions.php arquivo do seu tema e adicionando o seguinte:

1. // Remove WordPress version number from head section
2. remove_action(‘wp_head’, ‘wp_generator’);
3.
4. // Remove WordPress version number from RSS feed
5. function remove_version_from_rss() {
6. return ”;
7. }
8. add_filter(‘the_generator’, ‘remove_version_from_rss’);

[voltar ao topo ↑]

30 – Cabeçalhos de Segurança HTTP Corrigem Pontos Fracos do Navegador

Outra forma de como deixar o WordPress mais seguro é implementar cabeçalhos de segurança. Estas são as diretivas que controlam a interação dos navegadores da web com o seu servidor / site. Você pode ver quais cabeçalhos estão ativos em seu site por meio de ferramentas de desenvolvimento do navegador.

Alternativamente, você pode usar este serviço para escancear seu site e descobrir.

Normalmente, eles são definidos no nível do servidor para evitar ataques de hackers e reduzir o número de explorações de vulnerabilidades de segurança. Você mesmo pode adicioná-lo modificando .htaccess para manter os navegadores da web protegidos de invasores em potencial.

Antes de implementar qualquer coisa abaixo, esteja ciente de que isso pode afetar seus subdomínios. Portanto, se houver algum em seu site, talvez seja necessário incluí-lo também. Se você não quiser adicionar esses cabeçalhos manualmente, considere o uso de um plugin como Security Headers. Certifique-se de testá-los usando as ferramentas acima.

[voltar ao topo ↑]

a) Ataques de Script Entre Sites Por Evento

Isso acontece quando os hackers injetam código malicioso em seu site para que ele seja carregado pelo navegador do cliente. Para evitar que o navegador carregue arquivos maliciosos, você pode usar o seguinte código:

1. header ( ‘Content-Security-Policy: default-src https:’ ) ;

[voltar ao topo ↑]

b) Impedir o Clickjacking do Iframe

Adicione a linha abaixo para instruir o navegador a não renderizar uma página em um quadro. Isso ajuda a prevenir clickjacking.

1. header(‘X-Frame-Options: SAMEORIGIN’);

[voltar ao topo ↑]

c) Ativar X-XSS-Protection e X-Content-Type-Options

Adicione as seguintes linhas para evitar ataques XSS e dizer ao Internet Explorer para não farejar tipos MIME. O último é evitar que hackers acesse arquivos em seu servidor por meio da funcionalidade do navegador.

1. header(‘X-XSS-Protection: 1; mode=block’);
2. header(‘X-Content-Type-Options: nosniff’);

[voltar ao topo ↑]

d) Aplicar HTTPS

Adicione o código abaixo para instruir o navegador a usar apenas HTTPS. Já falamos sobre como o uso de criptografia ajuda a manter os dados seguros. Claro, para usar isso, seu site realmente precisa ser executado em HTTPS.

1. header(‘Strict-Transport-Security:max-age=31536000; includeSubomains; preload’);

[voltar ao topo ↑]

e) Configurar Cookie Com HTTPOnly e Sinalizador Seguro

Diga ao navegador para confiar apenas no cookie definido pelo servidor e que o cookie está disponível em canais SSL, adicionando o seguinte:

1. @ ini_set ( ‘session.cookie_httponly’ , true ) ;
2. @ ini_set ( ‘session.cookie_secure’ , true ) ;
3. @ ini_set ( ‘session.use_only_coolies’ , true ) ;

[voltar ao topo ↑]

31 – Use Um Firewall e Interrompa os Ataques Antes Mesmo Que Eles Comecem

A maneira mais fácil de proteger seu site e ter certeza de como deixar o WordPress mais seguro é usando um firewall de aplicativo da web (WAF).

Um firewall de site bloqueia todo o tráfego malicioso antes mesmo de chegar ao seu site.

Instalar um firewall em seu site oferece muitos benefícios. Você pode definir regras sobre quem pode acessar seu site e quem não pode. Ele também monitora e gerencia o tráfego de rede. Você pode bloquear IPs e usuários, até mesmo países inteiros que estão na lista negra ou que tentaram prejudicar seu site no passado.

Um firewall também é capaz de interromper ataques DDoS em andamento se detectar tráfego malicioso. Dessa forma, ele nem chega ao seu servidor web e não pode diminuir a velocidade.

Firewall de site de nível de DNS – esse firewall roteia o tráfego de seu site por meio de seus servidores proxy em nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor da web.

Firewall em nível de aplicativo – esses plugins de firewall examinam o tráfego assim que ele atinge seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall de nível DNS para reduzir a carga do servidor.

A melhor parte do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção da lista negra. Basicamente, se você for hackeado sob sua supervisão, eles garantem que consertarão seu site (não importa quantas páginas você tenha).

Esta é uma garantia muito forte porque consertar sites hackeados é caro. Os especialistas em segurança normalmente cobram $ 250 por hora. Considerando que você pode obter toda a pilha de segurança da Sucuri por $ 199 por ano.

[voltar ao topo ↑]

32 – Alterar o Prefixo do Banco de Dados do WordPress

Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas em seu banco de dados WordPress. Se o seu site WordPress estiver usando o prefixo de banco de dados padrão, será mais fácil para os hackers adivinharem o nome da sua tabela. É por isso que recomendamos alterá-lo.

Observação: Isso pode corromper seu site se não for feito corretamente. Apenas prossiga se você se sentir confortável com suas habilidades de codificação.

[voltar ao topo ↑]

33 – Senha Protegida Pelo Administrador do WordPress e Página de Login

Normalmente, os hackers podem solicitar sua pasta wp-admin e página de login sem qualquer restrição. Isso permite que eles tentem seus truques de hacker ou executem ataques DDos.

Para maior tranquilidade, você pode adicionar outra camada de segurança que manteria sua página de administrador segura com uma senha. Essa medida exige que os usuários insiram outro conjunto de nome de usuário / senha antes mesmo de acessar a página de login.

Restringir o acesso ao seu login, admin e outras páginas críticas é uma maneira infalível de proteger seu site de bots, bem como de alguns ataques DDoS.

Esta é a proteção no nível do servidor, então você terá que criar um arquivo .htpasswds e editar seu .htaccess.

Lembre-se de que essa medida de segurança é bastante técnica. Também pode ser muito chato ter que digitar seu nome de usuário / senha toda vez que quiser acessar suas páginas de administrador. Portanto, use este método a seu próprio critério.

[voltar ao topo ↑]

34 – Verificando o WordPress em Busca de Malware e Vulnerabilidades

Se você tiver um plugin de segurança do WordPress instalado, esses plugins verificarão rotineiramente se há malware e sinais de violações de segurança.

No entanto, se você observar uma queda repentina no tráfego do site ou nas classificações de pesquisa, execute uma verificação manualmente. Você pode usar seu plugin de segurança do WordPress ou usar um desses programas de verificação de malware e segurança.

Executar essas varreduras online é bastante simples, basta inserir os URLs do seu site e seus rastreadores percorrem o seu site para procurar malware conhecido e código malicioso.

Agora, lembre-se de que a maioria dos scanners de segurança do WordPress pode apenas escancear seu site. Eles não podem remover o malware ou limpar um site WordPress hackeado.

Para um pouco mais de segurança, você pode usar um verificador de malware online gratuito como o Sucuri SiteCheck para executar uma verificação do seu site em busca de malware e status de lista negra.

Certifique-se de que seu site esteja limpo e não esteja em nenhuma lista negra. Você pode realizar facilmente essas verificações de vez em quando para verificar o status de seu site e garantir que está tudo bem.

Isso nos leva à próxima seção, limpando malware e sites WordPress hackeados.

[voltar ao topo ↑]

35 – Consertando um Site WordPress hackeado

Muitos usuários do WordPress não percebem a importância dos backups e da segurança do site até que seu site seja hackeado.

Limpar um site WordPress pode ser muito difícil e demorado. Meu primeiro conselho seria deixar um profissional cuidar disso.

Os hackers instalam backdoors em sites afetados e, se esses backdoors não forem corrigidos adequadamente, seu site provavelmente será invadido novamente.

Permitir que uma empresa de segurança profissional como a Sucuri conserte seu site irá garantir que ele seja seguro para uso novamente. Ele também irá protegê-lo contra quaisquer ataques futuros.

[voltar ao topo ↑]

36 – Monitore a Segurança do Seu Site

Finalmente, uma vez que todas as medidas de segurança estejam em vigor, você precisa monitorar a segurança do seu site constantemente. Você pode habilitar o registro de segurança do WordPress usando o plugin iThemes para controlar as atividades relacionadas à segurança.

O registro de segurança pode rastrear atividades como:

• Ataques de forças bruta;
• Bloqueios;
• Gerenciamento de versão (atualizações);
• Registro de usuário, etc.

Outra forma de monitorar sua segurança é verificando problemas de segurança e ações manuais no Google Search Console.

Esses problemas podem ter um grande impacto negativo em seu SEO, portanto, fique atento a este relatório GSC.

[voltar ao topo ↑]

37 – Facilite o Fardo Instalando o Melhor Plugin de Segurança Para WordPress

A dica final sobre como deixar o WordPress mais seguro é para mim e para muitos instalar o melhor plugin de segurança para WordPress.

Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que controle tudo o que acontece em seu site.

Isso inclui monitoramento de integridade de arquivo, tentativas de login malsucedidas, verificação de malware, etc.

Felizmente, tudo isso pode ser resolvido com o melhor plugin de segurança gratuito para WordPress, o Sucuri Scanner.

Você precisa instalar e ativar o plugin gratuito Sucuri Security.

Após a ativação, você precisa ir ao menu Sururi em seu administrador do WordPress. A primeira coisa que você deverá fazer é gerar uma chave de API gratuita. Isso permite o registro de auditoria, verificação de integridade, alertas de email e outros recursos importantes.

A próxima coisa que você precisa fazer é clicar na guia “Hardening” no menu de configurações. Percorra todas opções e clique no botão “Apply Hardening”.

Essas opções ajudam a bloquear as principais áreas que os hackers costumam usar em seus ataques. A única opção de proteção que é uma atualização paga é o Firewall de aplicativo da Web.

Após a parte de proteção, as configurações de plugin padrão são boas o suficiente para a maioria dos sites e não precisam de alterações. A única coisa que recomendo personalizar é “Alertas por email”.

As configurações de alerta padrão podem sobrecarregar sua caixa de entrada com emails. Recomendo o recebimento de alertas para ações importantes, como alterações em plugins, registro de novo usuário, etc. Você pode configurar os alertas acessando Configurações Sucuri >> Alertas.

Este plugin de segurança do WordPress é muito poderoso, então navegue por todas as guias e configurações para ver tudo o que ele faz, como verificação de malware, registros de auditoria, rastreamento de tentativa de login com falha, etc.

[voltar ao topo ↑]

Considerações Finais Sobre Como Deixar o WordPress Mais Seguro

Quando você pensa em segurança do WordPress, sempre pense em ter várias camadas de segurança. Não existe uma medida de segurança infalível que possa protegê-lo de todos os ataques de hackers, malware, exploits, etc.

Embora plugins de segurança de qualidade do WordPress forneçam camadas de segurança abrangentes, a proteção do seu site também depende do seu servidor / hospedagem, bem como de algumas configurações técnicas.

Se toda essa questão de segurança for demais para você lidar ou se seu site já estiver comprometido, não hesite em entrar em contato com uma equipe de desenvolvimento web forte. É melhor ficar seguro do que arrepender-se.

Obtenha alguém que possa fortalecer o WordPress e bloquear seu site com backups, firewalls e outras medidas de segurança, para sua tranquilidade.

WordPress é um CMS poderoso e popular que torna mais fácil para qualquer pessoa criar um site. Mas por ser tão amplamente usado, também é um alvo favorito dos hackers.

Felizmente, há uma série de etapas que você pode seguir de como deixar o WordPress mais seguro. Esteja ciente de que você não precisa fazer todas as coisas mencionadas acima. Siga as melhores práticas básicas e você já estará bem à frente da curva.

Depois disso, implemente o que você pode e se sente capaz de fazer. A segurança é um processo iterativo, não um acordo completo. Você sempre pode fazer mais, mas o mais importante é começar.

Qual é a sua medida de segurança favorita de como deixar o WordPress mais seguro?!. Deixe-me saber nos comentários!

Se você é um iniciante, isso foi muito para aprender. No entanto, tudo o que mencionei neste artigo é um passo na direção certa de como deixar o WordPress mais seguro. Quanto mais você se preocupa com a segurança do WordPress, mais difícil será para um hacker invadir.

No entanto, dito isso, provavelmente tão importante quanto a segurança é o desempenho do site. Basicamente, sem um site que carregue rapidamente, seus visitantes nunca terão a chance de consumir seu conteúdo. O visitante médio do site espera apenas 2 segundos antes de ficar frustrado e sair.

Uma boa dica para vencer o jogo do desempenho e garantir que o seu site carregue rápido é usar um CDN de qualidade. Alguns deles são até gratuitos. Algumas das opções principais são MaxCDN, CloudFlare, Amazon CloudFront, Akamai Edge e Fastly.

Isso é tudo, espero que este artigo tenha ajudado você a aprender as melhores práticas de como deixar o WordPress mais seguro, bem como descobrir os melhores plugins de segurança do WordPress para o seu site.

Se você tiver alguma dúvida sobre como como deixar o WordPress mais seguro, deixe-me saber nos comentários e eu responderei! Então, quais são os seus desafios de segurança do WordPress?!.

Colocar as melhores práticas de segurança em uso é uma parte crucial do gerenciamento de sites WordPress, no entanto, existem muitas outras tarefas relacionadas à segurança que você pode querer fazer.

Para saber mais sobre a segurança do WordPress, participe do curso WordPress Seguro que tem como objetivo ensinar aos usuários da plataforma WordPress.org a protegerem o site e o sistema. São mais de 60 videoaulas com um conteúdo de alta qualidade e diversos assuntos exclusivos do treinamento.

O WordPress Seguro é o primeiro treinamento voltado exclusivamente para a segurança do WP. Ao aplicar as recomendações do curso, a segurança do WP será completamente reforçada, protegendo assim o conteúdo do site. Acesse agora mesmo e aprenda como deixar o seu site ou do seu cliente praticamente 100% seguro ==>> https://www.autonomonaweb.com/wordpress-seguro

Se você gostou deste artigo, inscreva-se na nossa lista para ser avisado sobre novos artigos como esse. Você também pode me encontrar no Instagram e no Facebook.

[voltar ao topo ↑]