Como tornar um site WordPress seguro

Publicados: 2020-10-27

Lançar seu próprio site WordPress hoje em dia é muito fácil. Infelizmente, não demorará muito para que os hackers comecem a segmentar seu site.

A melhor maneira de tornar um site WordPress seguro é entender todos os pontos de vulnerabilidade decorrentes da execução de um site WordPress. Em seguida, instale a segurança apropriada para bloquear hackers em cada um desses pontos.

Índice

    Neste artigo, você aprenderá como proteger melhor seu domínio, seu login do WordPress e as ferramentas e plugins disponíveis para proteger seu site WordPress.

    Criar um domínio privado

    Hoje em dia é muito fácil encontrar um domínio disponível e comprá-lo a um preço muito barato. A maioria das pessoas nunca compra nenhum complemento de domínio para seu domínio. No entanto, um complemento que você deve sempre considerar é a Proteção de Privacidade.

    Existem três níveis básicos de proteção de privacidade com o GoDaddy, mas eles também correspondem às ofertas da maioria dos provedores de domínio.

    • Básico : Oculte seu nome e informações de contato do diretório WHOIS. Isso só está disponível se o seu governo permitir que você oculte as informações de contato do domínio.
    • Completo : Substitua suas próprias informações por um endereço de e-mail alternativo e informações de contato para ocultar sua identidade real.
    • Ultimate : segurança adicional que bloqueia a verificação de domínio maliciosa e inclui monitoramento de segurança do site para o seu site real.

    Normalmente, atualizar seu domínio para um desses níveis de segurança requer apenas a opção de atualizar em um menu suspenso na página de listagem de domínios.

    A proteção básica de domínio é bastante barata (geralmente em torno de US$ 9,99/ano), e níveis mais altos de segurança não são muito mais caros.

    Essa é uma excelente maneira de impedir que os spammers extraiam suas informações de contato do banco de dados WHOIS ou outras pessoas mal-intencionadas que desejam obter acesso às suas informações de contato.

    Ocultar arquivos wp-config.php e .htaccess

    Ao instalar o WordPress pela primeira vez, você precisará incluir o ID administrativo e a senha do banco de dados SQL do WordPress no arquivo wp-config.php.

    Esses dados são criptografados após a instalação, mas você também deseja impedir que hackers possam editar esse arquivo e quebrar seu site. Para fazer isso, localize e edite o arquivo .htaccess na pasta raiz do seu site e adicione o seguinte código na parte inferior do arquivo.

     #protege wpconfig.php
     <arquivos wp-config.php>
     ordem permitir, negar
     negar de todos
     </files>

    Para evitar alterações no próprio .htaccess, adicione o seguinte ao final do arquivo também.

     # Proteger arquivo .htaccess
     <Arquivos .htaccess>
     ordem permitir, negar
     negar de todos
     </Arquivos>

    Salve o arquivo e saia do editor de arquivos.

    Você também pode considerar clicar com o botão direito do mouse em cada arquivo e alterar as permissões para remover totalmente o acesso de gravação para todos.

    Ao fazer isso no arquivo wp-config.php não deve causar nenhum problema, fazê-lo em .htaccess pode causar problemas. Especialmente se você estiver executando algum plugin de segurança do WordPress que precise editar o arquivo .htaccess para você.

    Se você receber algum erro do WordPress, você sempre pode atualizar as permissões para permitir o acesso de gravação no arquivo .htaccess novamente.

    Alterar seu URL de login do WordPress

    Como a página de login padrão para cada site WordPress é seudominio/wp-admin.php, os hackers usarão essa URL para tentar invadir seu site.

    Eles farão isso por meio do que é conhecido como ataques de “força bruta”, onde enviarão variações de nomes de usuário e senhas típicos que muitas pessoas costumam usar. Os hackers esperam que tenham sorte e consigam a combinação certa.

    Você pode interromper totalmente esses ataques alterando sua URL de login do WordPress para algo fora do padrão.

    Existem muitos plugins do WordPress para ajudá-lo a fazer isso. Um dos mais comuns é o WPS Hide Login.

    Este plugin adiciona uma seção à guia Geral em Configurações no WordPress.

    Lá, você pode digitar qualquer URL de login que desejar e selecionar Salvar alterações para ativá-lo. Da próxima vez que você quiser fazer login no seu site WordPress, use este novo URL.

    Se alguém tentar acessar seu antigo URL wp-admin, será redirecionado para a página 404 do seu site.

    Observação : se você usar um plug-in de cache, certifique-se de adicionar seu novo URL de login à lista de sites que não devem ser armazenados em cache. Em seguida, certifique-se de limpar o cache antes de fazer login novamente no seu site WordPress.

    Instale um plug-in de segurança do WordPress

    Existem muitos plugins de segurança do WordPress para escolher. De todos eles, o Wordfence é o mais baixado, por um bom motivo.

    A versão gratuita do Wordfence inclui um poderoso mecanismo de varredura que procura por ameaças de backdoor, código malicioso em seus plugins ou em seu site, ameaças de injeção MySQL e muito mais. Também inclui um firewall para bloquear ameaças ativas como ataques DDOS.

    Ele também permitirá que você interrompa os ataques de força bruta, limitando as tentativas de login e bloqueando os usuários que fazem muitas tentativas incorretas de login.

    Existem algumas configurações disponíveis na versão gratuita. Mais do que suficiente para proteger sites pequenos e médios da maioria dos ataques.

    Há também uma página de painel útil que você pode revisar para monitorar ameaças e ataques recentes que foram bloqueados.

    Use o gerador de senhas do WordPress e 2FA

    A última coisa que você quer é que os hackers adivinhem facilmente sua senha. Infelizmente, muitas pessoas usam senhas muito simples e fáceis de adivinhar. Alguns exemplos incluem usar o nome do site ou o próprio nome do usuário como parte da senha ou não usar nenhum caractere especial.

    Se você atualizou para a versão mais recente do WordPress, tem acesso a poderosas ferramentas de segurança de senha para proteger seu site WordPress.

    A primeira etapa para melhorar a segurança de sua senha é acessar cada usuário do seu site, rolar para baixo até a seção Gerenciamento de conta e selecionar o botão Gerar senha .

    Isso gerará uma senha longa e muito segura que inclui letras, números e caracteres especiais. Salve essa senha em algum lugar seguro, de preferência em um documento em uma unidade externa que você possa desconectar do computador enquanto estiver online.

    Selecione Sair em qualquer outro lugar para garantir que todas as sessões ativas sejam fechadas.

    Por fim, se você instalou o plug-in de segurança Wordfence, verá um botão Ativar 2FA . Selecione isso para habilitar a autenticação de dois fatores para seus logins de usuário.

    Se você não estiver usando o Wordfence, precisará instalar qualquer um desses plugins 2FA populares.

    • Autenticador do Google
    • Autenticação de dois fatores
    • Autenticação de dois fatores Rublon
    • Autenticação de dois fatores Duo

    Outras Considerações Importantes de Segurança

    Há mais algumas coisas que você pode fazer para proteger totalmente seu site WordPress.

    Tanto os plugins do WordPress quanto a versão do próprio WordPress devem ser atualizados o tempo todo. Hackers geralmente tentam explorar vulnerabilidades em versões mais antigas de código em seu site. Se você não atualizar ambos, estará deixando seu site em risco.

    1. Selecione regularmente Plugins e Plugins Instalados no painel de administração do WordPress. Revise todos os plugins para um status que diz que uma nova versão está disponível.

    Quando vir um que está desatualizado, selecione atualizar agora . Você também pode selecionar Habilitar atualizações automáticas para seus plugins.

    No entanto, algumas pessoas são cautelosas em fazer isso, pois as atualizações de plugins às vezes podem quebrar seu site ou tema. Portanto, é sempre uma boa ideia testar as atualizações do plug-in em um site de teste local do WordPress antes de ativá-las em seu site ao vivo.

    2. Ao fazer login no painel do WordPress, você verá uma notificação de que o WordPress está desatualizado se estiver executando uma versão mais antiga.

    Novamente, faça backup do site e carregue-o em um site de teste local em seu próprio PC para testar se a atualização do WordPress não interrompe seu site antes de atualizá-lo em seu site ativo.

    3. Aproveite os recursos de segurança gratuitos do seu host. A maioria dos hosts da web oferece uma variedade de serviços de segurança gratuitos para os sites que você hospeda lá. Eles fazem isso porque não apenas protege seu site, mas mantém todo o servidor seguro. Isso é especialmente importante quando você está em uma conta de hospedagem compartilhada onde outros clientes têm sites no mesmo servidor.

    Isso geralmente inclui instalações de segurança SSL gratuitas para seu site, backups gratuitos, a capacidade de bloquear endereços IP maliciosos e até mesmo um scanner de site gratuito que verifica regularmente seu site em busca de qualquer código malicioso ou vulnerabilidades.

    Administrar um site nunca é tão simples quanto instalar o WordPress e apenas postar conteúdo. É importante tornar seu site WordPress o mais seguro possível. Todas as dicas acima podem ajudá-lo a fazer isso sem muito esforço.