Lista de verificação de segurança do WordPress: 12 etapas para proteger seu site

Ao falar sobre segurança do WordPress, muitas coisas podem ser feitas para proteger seu site e impedir que hackers e vulnerabilidades afetem seu portal online.

O WordPress é uma das plataformas mais populares para blogs e sites auto-hospedados e possui mais de 35% de todos os sites na web. Até a CNN e a Forbes utilizam  a plataforma WordPress. Portanto, devido à sua popularidade, as chances de você ser uma vítima de ataques hackers aumenta muito.

Com os vários plugins e temas existentes, não é uma surpresa que existam vulnerabilidades e afetem continuamente os sites.

A última coisa que você deseja que aconteça é descobrir um dia que seu site foi invadido. Em nossos esforços para ajudá-lo a impedir que isso aconteça, compartilharemos várias dicas e técnicas que você pode usar para proteger seu site WordPress e permanecer protegido.

Antes de descobrir maneiras de tornar seu site WordPress mais seguro, é essencial que você entenda por que os sites WordPress são invadidos (diferentes tipos de vulnerabilidades de segurança do WordPress).

Lista de verificação de segurança do WordPress 2020

Esta postagem pode estar sujeita a atualizações com informações relevantes, tendo em mente que as coisas estão sempre mudando quando se trata da plataforma WordPress e que novas vulnerabilidades surgem todos os dias.

Invista em hospedagem WordPress segura

Todo provedor de hospedagem deve levar a segurança muito a sério. A razão pela qual é essencial que você escolha um provedor em que possa confiar.

Aqui no ADENTRO, usamos a infraestrutura de nuvem para todos os nossos clientes de hospedagem WordPress para manter seus dados seguros. Ao distribuir dados entre servidores redundantes, as informações hospedadas na nuvem estão sempre protegidas contra falhas de hardware.

Além disso, nossos servidores rodam com o CloudLinux, o que nos permite usar um sistema de arquivos virtualizado para cada cliente e isolá-lo completamente. Uma vantagem significativa disso é que, se uma conta de usuário for comprometida, a infecção por malware não se espalhará para as outras contas hospedadas no mesmo servidor. Além disso, estabelecemos uma parceria com o Imunify360 para fornecer um serviço de hospedagem WordPress seguro e confiável. A arquitetura de defesa em várias camadas garante segmentação e erradicação de malware e vírus.

Dessa forma, estamos adicionando uma camada extra de proteção em comparação com nossos concorrentes.

Mantenha a versão e os plug-ins do WordPress atualizados

Você deve sempre manter sua versão do WordPress atualizada, bem como todos os seus plugins e temas. Estes são o vetor de ataque número 1 sendo explorado pelos criminosos cibernéticos.

Cada atualização traz não apenas novos recursos, mas, mais importante, correções de bugs e segurança. Isso ajuda seu site a permanecer seguro contra vulnerabilidades fáceis de explorar.

Infelizmente, as estatísticas do WordPress nos mostram que mais de 76% das instalações do WordPress não estão atualizadas:

Os plug-ins desempenham um papel significativo ao tornar o WordPress tão funcional. No momento enquanto escrevo artigo, existem mais de 55.000 plugins disponíveis para download no diretório oficial de plugins do WordPress. Essa é uma seleção incrível de software plug and play. No entanto, você obviamente precisa ter cuidado com eles. Um estudo do WordFence relatou que as vulnerabilidades de plug-in representavam 55,9% dos pontos de entrada conhecidos para hackers.

Ao procurar um plug-in, preste atenção na data da “Última atualização” e em quantas classificações um plug-in possui.

Seja sábio quando se trata de plugins. Veja a data da “Última atualização” e quantas classificações um plug-in possui. É altamente recomendável ficar longe de plugins desatualizados e de classificações ruins.

Como atualizar a versão do WordPress

Para atualizar sua instalação do WordPress para a versão mais recente, clique em “Atualizações” no painel do WordPress e clique no botão “Atualizar agora”.

Se você decidir atualizar o WordPress manualmente, precisará fazer o download da versão mais recente e enviá-la via FTP. Para obter ajuda com atualizações manuais, visite a página Atualizando o Codex do WordPress.

Principais Atualizações automáticas do WordPress

Se você deseja ativar as atualizações principais para o formato automático no seu WordPress, será necessário adicionar uma linha única de configuração. Para ativar as atualizações automáticas do WordPress, você só precisa adicionar a seguinte linha de código no seu arquivo wp-config.php:

define ('WP_AUTO_UPDATE_CORE', true);

Como atualizar plugins do WordPress

Para atualizar seus plugins para a versão mais recente, clique em “Atualizações” no painel de administração do WordPress, selecione os plug-ins que deseja atualizar e clique em “Atualizar plug-ins”.

Atualizações automáticas de Plugins do WordPress

Se você deseja que os plugins sejam atualizados automaticamente quando uma nova versão for lançada, basta adicionar a seguinte linha no seu arquivo wp-config.php:

add_filter( 'auto_update_plugin', '__return_true' );

Use nomes de usuário inteligentes e senhas fortes

Seja sábio quando se trata do seu nome de usuário e senha para o painel do WordPress. Evite usar um nome de usuário como “admin” e sempre escolha uma senha complexa. Não use “admin” como seu nome de usuário, mas use um nome de usuário WordPress exclusivo para o administrador que não esteja relacionado ao seu nome de domínio.

Certifique-se de escolher uma senha complexa. O Google tem ótimas dicas sobre como você pode escolher uma senha segura. Como alternativa, você pode usar uma ferramenta online como o LastPass Password Generator.
Se você estiver gerenciando vários sites do WordPress, é prudente usar senhas diferentes. A melhor maneira é usar um gerenciador de senhas online, como o LastPass, que oferece uma assinatura gratuita.

Se você deseja armazenar suas senhas localmente, no seu computador, poderá usar uma ferramenta gratuita, como o KeePass.

Usar autenticação de dois fatores

Aproveite a autenticação de dois fatores para proteger completamente seu login no WordPress. A autenticação de dois fatores envolve uma segunda etapa do processo de login. É um texto (SMS) ou senha de uso único baseada em tempo (TOTP) necessária para efetuar o login.É uma maneira 100% eficaz de evitar ataques de força bruta no painel de administração do WordPress.

Preferimos usar o plug-in gratuito do Google Authenticator, pois você pode usá-lo para uma quantidade ilimitada de usuários. Basta instalar o plug-in e clicar em uma conta de usuário. Em seguida, você pode configurar a autenticação de dois fatores criando uma nova chave secreta ou digitalizando apenas o QR code. Depois, marque-o como “Ativo”.

Com a Verificação em duas etapas do Google ativada, em sua página de login, você será solicitado a inserir um código de seis dígitos após fornecer seu nome de usuário e senha.Se você não fornecer esse número de seis dígitos, não poderá fazer o logon mesmo que você tenha o nome de usuário e a senha corretos.

Bloqueie seu URL de login do WordPress

Se você quiser tornar ainda mais difícil para os hackers encontrarem certas lacunas de segurança. Bloquear o URL e o login de administrador do WordPress é o caminho certo para aumentar sua segurança de login.

O URL de login do site padrão do WordPress é domain.com/wp-admin. Um dos problemas é que todos os bots, hackers e scripts ruins por aí também sabem disso. Ao alterar o URL do seu painel de administração do WordPress, você pode tornar-se menos alvo e proteger melhor seu site contra ataques de força bruta.

Como alterar o URL de login do WordPress

Para alterar o URL de login do WordPress, recomendamos o uso de um plugin gratuito chamado WPS Hide login.

Este plug-in permite alterar de forma rápida e segura o URL da página do formulário de login para o que você desejar. Ele não renomeia ou altera arquivos  seus arquivos, nem adiciona regras de reescrita. Ele simplesmente intercepta solicitações de página e funciona em qualquer site do WordPress. Dessa forma, o diretório wp-admin e a página wp-login.php se tornam inacessíveis.

Depois de instalado, acesse Configurações gerais do painel do WordPress e defina o URL do painel de administração.

Desativar este plugin leva seu site de volta exatamente ao estado em que estava antes.

Modificando o seu arquivo wp-config.php

O wp-config.php armazena todos os detalhes necessários para que um invasor obtenha acesso ao banco de dados do seu site. É um dos arquivos mais importantes em toda a instalação do WordPress.

Como negar acesso ao wp-config.php

Você pode impedir que o arquivo seja acessado adicionando o seguinte código ao seu arquivo .htaccess.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Qualquer pessoa que tentar acessar o wp-config.php do seu site receberá um erro 403 Proibido.

Desativar listagem de diretório

Por padrão, quando o servidor da web não encontra um arquivo de índice (index.php ou index.html), ele exibe automaticamente uma página de índice mostrando os arquivos e pastas nesse diretório da web.

Isso pode tornar seu site vulnerável a ataques, revelando as informações críticas necessárias aos hackers para tirar proveito de uma vulnerabilidade em um plug-in, tema ou servidor do WordPress em geral.

Como desativar a navegação no diretório no WordPress

Basta adicionar a seguinte linha no arquivo .htaccess do site, localizado no diretório raiz do seu site.

Options -Indexes

Desativar a execução do PHP nos diretórios do WordPress

Na maioria das vezes, sites WordPress invadidos geralmente têm arquivos backdoor. Esses arquivos de backdoor geralmente são disfarçados como arquivos principais do WordPress e são colocados em uma das pastas / wp-includes / ou / wp-content / uploads / folders.

Uma maneira mais fácil de melhorar a segurança do WordPress é desativar a execução do PHP para alguns diretórios do WordPress.

Crie um arquivo .htaccess em branco e cole este código dentro dele:

<Files *.php>
deny from all
</Files>

Em seguida, faça upload desse arquivo nos diretórios / wp-content / uploads / e / wp-includes /.

Use HTTPS para conexões criptografadas (certificado SSL)

Uma das maneiras mais negligenciadas de proteger seu site WordPress é instalar um certificado SSL e executar os URLs do site em HTTPS.

Protocolo de transferência HyperText seguro (ou “HTTPS”) é o padrão da Internet para comunicação segura entre o navegador e qualquer servidor da web.

O HTTPS está criptografando a comunicação de ponta a ponta: apenas seu computador e o servidor da web podem ver quais dados são transmitidos.

Quais são os benefícios do HTTPS?

Seus dados são criptografados e seguros. Nenhum texto simples é passado. Esse é um aspecto essencial das transações de comércio eletrônico, mas também para fazer login no seu site.
O Google disse oficialmente que o HTTPS é um fator de classificação.
A barra de cadeado verde ajuda a criar confiança e credibilidade para seus visitantes.
Evite o aviso do Chrome, lançado em janeiro de 2017, que marcará as páginas HTTP que coletam informações confidenciais como não seguras.
Muitos provedores de hospedagem WordPress, incluindo a ADENTRO, oferecem certificados SSL gratuitos com o Let’s Encrypt.

Impedir Hotlinking

O Hotlink Protection impedirá que outros sites sejam vinculados diretamente aos arquivos do seu site. Um exemplo de hotlinking seria usar uma tag <img> para exibir uma imagem do seu site em algum outro site da Internet. Isso resultará no outro site roubar sua largura de banda.

Como evitar Hotlinking

Para evitar hotlinking, basta inserir o seguinte código no arquivo .htaccess:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Executar backups regulares

Fazer backup do site é criar uma cópia de todos os dados do site e armazená-los em um local seguro. Dessa forma, você pode restaurar o site a partir dessa cópia de backup, caso algo de ruim aconteça.

A maioria dos provedores de hospedagem agora fornece backups.A ADENTRO WordPress Hosting possui backups automatizados gratuitos, armazenados externamente, permitindo a rápida restauração para que você possa ficar tranquilo sabendo que seus dados estão seguros!

Plugins de backup do WordPress

Se o seu host não tiver backups, existem alguns serviços e plug-ins de backup WordPress populares que você pode usar para automatizar a tarefa de backup.

  • Duplicator
  • WP Time Capsule
  • BackupBuddy
  • UpdraftPlus
  • BackUpWordPress
  • BackWPup
  • WP BackItUp

Ocultar sua versão do WordPress

Outra boa prática é ocultar sua versão de instalação do WordPress. Qualquer pessoa que verifique o código-fonte do seu site pode revelar facilmente qual versão do WordPress você está executando e se você não é bom em acompanhar as atualizações mais recentes, isso pode ser um sinal de boas-vindas aos invasores.

O WPBeginner possui um ótimo snippet de código que você pode usar para remover a versão do WordPress. Simplesmente adicione o seguinte código ao seu arquivo functions.php.

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');
Observe que a edição do código fonte do arquivo functions.php do WordPress pode danificar seu site, se não for feito corretamente. Se você não estiver se sentindo à vontade para fazer isso, verifique primeiro com o seu desenvolvedor da web.

Práticas de segurança do WordPress

Como você pode ver, existem várias maneiras de melhorar sua segurança do WordPress, por isso é importante levar a sério a segurança do seu site e encontrar algum tempo e implementar algumas das práticas recomendadas de segurança mencionadas acima, mais cedo ou mais tarde.

Se você conhece outras dicas de segurança do WordPress que possam ajudar, não hesite em nos informar na área de comentários.

 

Adentro

A Adentro disponibiliza planos de hospedagem com o wordpress. Você pode ver estes planos aqui.
Aqui você pode encontrar mais informações sobre wordpress em seu site oficial.

Gostou desse artigo? Compartilhe-o!
Caso tenha dúvidas ou interesse em sugerir a elaboração de algum conteúdo especifico comente logo aqui em abaixo ou entre em contato conosco neste link .

Posts relacionados