Segurança do WordPress – 24 dicas para proteger seu site de hackers

A segurança do WordPress deve ser a primeira prioridade ao gerenciar um site. Você projeta seu site, publica conteúdo, vende produtos online, mas se você não levar a sério a segurança do WordPress, seu site pode ser invadido a qualquer momento.

Todos os dias, 30.000 sites são invadidos e mais de 2.000 sites são colocados na lista negra do Google. Você não é uma exceção. Se um site do governo pode ser invadido, por que não o seu?

Uma manhã, você acordou e viu que seu site WordPress está inacessível e vê mensagens aleatórias como:

“ seu site foi hackeado por xyz ” – o site foi hackeado

“ o site à frente contém malware ” – na lista negra do Google

Esta é a pior coisa que você poderia enfrentar com o seu site.

Mas, por que WordPress?

O WordPress alimenta mais de 31% (80 milhões) do total de sites na web. De acordo com a W3Techs, o WordPress tem 60% de participação de mercado de CMS a mais do que outras plataformas, o que é uma razão bastante sólida para atrair hackers.

Mas não entre em pânico. Reforçar a segurança do WordPress é muito fácil e você também pode fazer isso.

Neste artigo, compartilharei as 24 melhores dicas de segurança do WordPress para proteger seu site contra hackers e malware.

“Por que não fazer o portão do seu palácio desaparecer antes que eles o descubram?” – WPMyWeb

Problemas comuns de segurança do WordPress

Antes de nos aprofundarmos nas melhores práticas de segurança do WordPress, vamos primeiro entender alguns problemas comuns de segurança do WordPress.

Muitos usuários acreditam que o WordPress não é uma plataforma segura para um negócio, o que não é verdade. Isso se deve à falta de conhecimento da segurança do WordPress, má administração do sistema, uso de software e plugins desatualizados do WordPress, etc.

Muitos iniciantes do WordPress assumem que criar um site é o fim e não requer nenhuma manutenção de segurança. É assim que você está deixando seu site vulnerável.

Uma vez que os hackers encontram vulnerabilidade em seu site, eles podem facilmente explorar seu site.

Vamos verificar alguns dos problemas comuns de segurança do WordPress.

1. Ataques de Força Bruta:

No ataque de força bruta, um script automatizado é usado para gerar várias combinações de nomes de usuário e senhas. Hacker usa a página de login do WordPress para executar um ataque de força bruta.

Se você estiver usando um nome de usuário e senha simples, poderá ser a próxima vítima desse ataque.

2. Script entre sites (XSS):

Cross Site Scripting é um tipo de ataque em que os invasores injetam código/script malicioso em um site confiável. Este método de hacking é totalmente invisível para os usuários que navegam no site.

Esses scripts maliciosos carregam anonimamente e roubam informações do navegador dos usuários. Mesmo que um usuário insira quaisquer dados em qualquer formulário, os dados podem ser roubados.

3. Injeções de SQL:

O WordPress usa um banco de dados MySQL para armazenar informações do blog.

A injeção de SQL acontece quando os hackers obtêm acesso ao banco de dados do WordPress. Ao invadir o banco de dados do WordPress, os hackers podem criar uma nova conta de administrador com acesso total ao seu site.

Eles também podem inserir dados em seu banco de dados MySQL e adicionar links para sites maliciosos ou de spam.

4. Portas dos fundos:

Pelo nome “Back-door”, você pode entender o que isso significa.

Backdoor é um método de hacking que permite que hackers entrem em um site ignorando o processo normal de autenticação e até mesmo permanecendo indetectados pelo proprietário do site.

Depois de invadir um site, os hackers geralmente deixam sua pegada, para que possam reacessar o site mesmo que o hack seja removido.

5. Hacks Farmacêuticos:

Os hacks do WordPress Pharma são um tipo de spam de site que preenche os resultados do mecanismo de pesquisa com conteúdo de farmácia com spam que é proibido na web como Viagra, Nexium, Cialis etc.

Ao contrário de outros hacks do WordPress, os resultados dos hacks farmacêuticos são visíveis apenas para os mecanismos de pesquisa. Portanto, você não pode identificar o hack apenas visualizando seu site ou o código-fonte.

Vá para o Google e digite site:domain.com. Se os resultados da pesquisa mostrarem o conteúdo do seu site (não o conteúdo da farmácia), seu site não será afetado por hacks farmacêuticos.

O objetivo deste hack é explorar suas páginas mais valiosas, substituindo a tag de título por links prejudiciais. Sem mencionar que, se você não inspecionar o assunto antecipadamente, mecanismos de pesquisa como o Google, o Bing podem colocar seu site na lista negra por fornecer conteúdo malicioso.

6. Redirecionamentos maliciosos:

O redirecionamento malicioso do WordPress é um tipo de hack em que os visitantes do seu site são redirecionados automaticamente para sites com spam, como jogos de azar, pornografia e sites de namoro. Esse hack ocorre quando um código malicioso é injetado no arquivo ou banco de dados do seu site.

Se o seu site redirecionar os visitantes para sites ilegais ou maliciosos, seu site possivelmente será colocado na lista negra do Google.

Por que a segurança do WordPress é importante?

Seu site representa sua marca, seu negócio e, o mais importante, o primeiro contato com seus clientes.

Você provavelmente levou vários anos com muitos esforços para manter seus negócios e aumentar seu tráfego. Seu público adora seus artigos e confia em seus produtos, por isso mantém contato com você.

Se o seu site WordPress não for seguro, há muitas maneiras de afetar seu site e seus clientes. Os hackers podem roubar informações pessoais do usuário, senhas, detalhes de cartão de crédito, informações de transações e podem distribuir malware para seus usuários.

Se o seu site for invadido, você notará que seu tráfego está caindo drasticamente. Além disso, o Google colocará seu site na lista negra.

De acordo com o blog do Google, o número de sites invadidos está aumentando aproximadamente 20% em 2016 em comparação com 2015.

Em um estudo, a Securi relata que o Google coloca na lista negra mais de 10.000 sites todos os dias.

Se você leva a sério o seu negócio, precisa prestar atenção extra à segurança do seu WordPress.

Melhor guia de segurança do WordPress

1. Obtenha uma boa hospedagem WordPress
2. Mantenha a versão do WordPress atualizada
3. Não use nenhum tema ou plug-in nulo / rachado
4. Use senhas fortes
5. Adicionar autenticação de dois fatores (2FA)
6. Alterar URL de login do WordPress
7. Limitar tentativas de login
8. Faça backup do seu site regularmente
9. Use um plug-in de segurança do WordPress
10. Desconectar automaticamente usuários inativos
11. Adicionar perguntas de segurança à página de login do WordPress
12. Altere o nome de usuário padrão “admin”
13. Atribuir usuários à função mais baixa possível
14. Monitorar alterações de arquivos e atividades do usuário
15. Instalar certificado SSL
16. Excluir temas e plugins não utilizados
17. Desative a edição de arquivos no painel do WordPress
18. Proteger com senha a página de login do WordPress
19. Desabilitar a navegação no diretório
20. Remova o número da sua versão do WordPress
21. Alterar o prefixo da tabela de banco de dados do WordPress
22. Use apenas temas e plugins confiáveis ​​​​do WordPress
23. Desabilitar o relatório de erros do PHP
24. Adicionar cabeçalhos seguros HTTP ao WordPress

Preparar? Vamos começar.

1. Obtenha uma boa hospedagem WordPress

A hospedagem WordPress desempenha um papel importante quando se trata de melhorar a segurança do WordPress.

Você está pagando pelo serviço de hospedagem e seu site fica sob o controle deles. Portanto, você deve ter cuidado antes de escolher uma boa hospedagem WordPress para o seu site.

Hospedagem compartilhada como A2Hosting, Bluehost etc. são a melhor opção de hospedagem para executar um blog de baixo tráfego. Mas na hospedagem compartilhada, sempre haverá uma chance de contaminação entre sites.

A contaminação entre sites acontece quando um hacker é capaz de acessar o servidor da web por meio de um site vulnerável e, em seguida, explorar todos os outros sites no mesmo servidor da web.

Recomendamos o uso de um provedor de hospedagem WordPress gerenciado. As empresas de hospedagem gerenciada do WordPress fornecem opções de segurança multicamadas para sites. Suas plataformas de hospedagem são altamente seguras e oferecem verificação diária de malware e impedem ataques externos. Se, de qualquer forma, eles encontrarem malware em seu servidor, eles assumem a responsabilidade e o removem instantaneamente.

Eles também oferecem backups diários, certificado SSL gratuito, suporte especializado 24 horas por dia, 7 dias por semana.

Recomendamos a empresa de hospedagem WordPress gerenciada pela WPEngine. Eles oferecem várias camadas de segurança para proteger seu site WordPress. Com o plano deles, você receberá backups diários, SSL gratuito, CDN global e suporte especializado 24 horas por dia, 7 dias por semana.

Visite WPEngine . [Código de desconto adicionado neste link]

De volta ao topo

2. Mantenha a versão do WordPress atualizada

Manter seu site WordPress atualizado é uma boa prática de segurança para fortalecer sua segurança do WordPress. Esta atualização inclui a versão do WordPress, plugins e temas.

Em um estudo recente, a Securi analisou que 56% do total de sites infectados pelo WordPress ainda estavam desatualizados. Se você é um deles, você está em perigo.

Todos os dias novas vulnerabilidades são descobertas e não há como detê-las. Softwares e plugins desatualizados podem conter vulnerabilidades que o hacker pode usar para explorar um site.

A cada atualização, os desenvolvedores incluem novos recursos, corrigem falhas de segurança, corrigem bugs, etc. Assim como o software WordPress, você também precisa atualizar seus temas e plugins do WordPress.

O bom é que o WordPress lança automaticamente suas atualizações e notifica seus usuários.

Atualizar a versão, plugins e temas do WordPress é muito fácil e você pode fazer isso através do painel de administração do WordPress.

Como atualizar o WordPress, plugins e temas?

Primeiro faça o login no seu painel do WordPress e vá para Dashboard> Updates . Lá você pode ver se há uma nova atualização disponível.

Nota: Antes de atualizar sua versão do WordPress, faça um backup completo de seus arquivos e banco de dados. Caso ocorra um erro, você pode restaurar facilmente seu site para a versão anterior. Você pode facilmente fazer backup e restaurar seu site usando o BlogVault com apenas um clique.

Na página, você pode ver “Uma versão atualizada do WordPress está disponível” . Clique no botão Atualizar agora para atualizar sua versão do WordPress, esse processo pode levar alguns segundos.

Quando a atualização estiver concluída, role para baixo para atualizar seus plugins do WordPress. Recomendamos que você atualize os plugins um por um. Primeiro, selecione um plug-in e clique em Atualizar plug-ins .

De forma semelhante, atualize seus temas abaixo.

No entanto, o processo de atualização é um pouco complicado para alguns usuários, especialmente aqueles que não são experientes em tecnologia.

Alguns provedores de hospedagem WordPress gerenciados, como SiteGround, Kinsta, FlyWheel, fornecem recurso de atualização automática. Portanto, se você estiver com uma agenda lotada ou com preguiça de atualizar, isso pode ser útil.

Leia também, Como atualizar manualmente a versão do WordPress, plugins e temas

De volta ao topo

3. Nunca use temas e plugins anulados/crackeados

Não é de admirar que plugins e temas premium incluam mais funcionalidades e pareçam profissionais. Mas nenhum dos produtos premium é gratuito. Ele vem com um preço e, após a compra de qualquer produto premium, os usuários precisam inserir a chave do produto para ativar o produto.

Mas existem muitos sites maliciosos disponíveis que fornecem temas e plugins premium gratuitamente. Esses temas e plugins quebrados não requerem uma chave serial para serem ativados e nunca são atualizados.

Aqui está o que quero dizer:

Esses temas e plugins nulos são muito perigosos para o seu site. Os hackers injetam códigos maliciosos especialmente nele e criam um backdoor no seu site. Assim, eles podem acessar facilmente seu site e hackear seu site, incluindo o banco de dados.

Portanto, nunca use temas e plugins do WordPress nulos ou rachados.

É altamente recomendável que você baixe apenas temas ou plugins gratuitos apenas do WordPress.org.

Entendemos que o tema ou plugin gratuito tem funções muito limitadas. Mas esses temas ou plugins gratuitos são seguros de usar e são atualizados regularmente.

Leia também, 7 melhores temas de blogs premium para WordPress

De volta ao topo

4. Use senhas fortes

Uma senha é uma chave primária para acessar seu site WordPress. Se for simples e curto, os hackers podem facilmente quebrar sua senha. Mais de 80% das violações relacionadas a hackers acontecem devido a senha fraca ou senha roubada.

Em um estudo recente, a SplashData revelou as 100 piores senhas de 2017.

Aqui estão alguns deles:

1. 123456
2. senha
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. Me deixar entrar
8. 1234567
9. futebol
10. eu te amo
11. administrador
12. Bem-vindo
13. macaco (risos)

Se sua senha for simples como acima, altere-a imediatamente. Uma senha de boa segurança deve ter pelo menos 10 dígitos e conter letras maiúsculas, minúsculas, números e caracteres especiais.

Você pode usar uma ferramenta geradora de senhas online para criar instantaneamente milhares de senhas seguras.

Também é necessário que você salve a senha em seu computador.

Para facilitar, você pode usar o software gerenciador de senhas para gerenciar todas as suas senhas, como LastPass, Dashlane etc.

Aplicar senha forte aos usuários

Por padrão, o WordPress não vem com uma função que impeça os usuários de inserir senhas fracas. Na maioria das vezes, os usuários definem uma senha fraca para sua conta e dificilmente a alteram.

Se você estiver executando um blog WordPress multiusuário, deverá forçar os usuários a usar uma senha forte.

Para facilitar esse processo, você pode usar um plugin. Instale e ative o plugin Force Strong Passwords e pronto. Isso impedirá que os usuários e até mesmo o administrador insiram uma senha fraca.

De volta ao topo

5. Adicionar autenticação de dois fatores (2FA)

Outro método simples para fortalecer sua segurança do WordPress é adicionar autenticação de dois fatores (2FA) à sua página de login do WordPress. Basicamente, a autenticação de dois fatores ou verificação em duas etapas é um processo de segurança que requer dois métodos para verificar sua identidade.

Por padrão, geralmente digitamos nome de usuário e senha para fazer login em um site. Ao adicionar a autenticação de dois fatores, você precisará de um processo de verificação extra, como um aplicativo de smartphone, para aprovar o processo de autenticação.

Portanto, se alguém souber seu nome de usuário e senha, precisará do seu smartphone para obter o código de verificação para fazer login no seu site.

Ao adicionar a autenticação de dois fatores, você não apenas protege sua página de login do WordPress, mas também evita ataques de força bruta.

Você pode habilitar a autenticação de dois fatores facilmente usando o plugin WordPress do autenticador de dois fatores do Google.

Uma vez ativado, vá para Usuários> Perfil do usuário e ative o plugin.

Em seguida, baixe o aplicativo autenticador do Google no seu telefone e digitalize o código de barras ou insira o código secreto (veja a captura de tela acima) do seu site para adicionar seu site.

Uma vez adicionado, saia do seu site. Na página de login, você verá um campo extra onde precisa inserir o código de verificação do aplicativo móvel Google Authenticator.

Para obter instruções detalhadas, consulte o guia sobre como adicionar a autenticação de dois fatores do Google na página de login do WordPress.

De volta ao topo

6. Altere o URL da página de login do WordPress

Por padrão, qualquer pessoa pode acessar sua página de login simplesmente adicionando “wp-admin” ou “wp-login.php” no final do seu nome de domínio, como: “domain.com/wp-admin” ou “domain.com/ wp-login.php” .

Adivinha! Os hackers podem executar ataques de força bruta usando sua página de login. Se você estiver usando uma senha muito simples, os hackers podem facilmente quebrar sua senha e entrar no seu site.

Mas e se eles não souberem onde atacar? Sim, você acertou.

Se você ocultar ou renomear o URL da sua página de login, os hackers não poderão executar um ataque de força bruta.

No WordPress, você pode facilmente ocultar ou renomear sua página de login usando um plugin. Na galeria de plugins do WordPress, instale e ative o plugin WPS Hide Login.

Uma vez ativado, vá para Configurações> Geral e na parte inferior, você pode encontrar a opção WP Hide Login .

Basta alterar o URL de login “login” para outra coisa difícil de adivinhar e clicar em Salvar alterações .

Uma vez feito, marque a nova página de login e pronto.

De volta ao topo

7. Limite as tentativas de login

Por padrão, o WordPress não limita o número de tentativas de login por meio do formulário de login. Isso significa que qualquer pessoa sabe que sua URL de login pode tentar a função de login quantas vezes quiser. Dessa forma, os hackers executam um ataque de força bruta para quebrar seu “nome de usuário” e “senha” para acessar seu site.

Ao limitar as tentativas de login, você pode fortalecer a segurança do WordPress e proteger sua página de login contra ataques de força bruta.

Você pode definir um número máximo de tentativas de login incorretas que um usuário pode fazer a partir do mesmo endereço IP. Se o usuário exceder os limites, o IP do usuário será bloqueado por um determinado período de tempo.

Para limitar as tentativas de login no WordPress, instale o plugin Login LockDown. Uma vez ativado, vá para Configurações> Login LockDown para configurar o plugin.

Para obter instruções detalhadas, consulte nosso guia sobre como limitar as tentativas de login no WordPress

De volta ao topo

8. Faça backup do seu site regularmente

Os backups são como o Time Machine. Se você tiver, seu site está seguro.

No entanto, os backups de sites não protegem seu site contra hackers, mas ajudam você a recuperar seu site.

Por exemplo, se algo der errado com seu site durante a atualização ou seu site for invadido, como você corrigirá seu site novamente? Você provavelmente perderá seu site.

Mas se você tiver backups do seu site, poderá restaurá-lo facilmente antes do ponto em que foi invadido ou travado.

É por isso que recomendamos que você use um plug-in de backup confiável do WordPress. No entanto, muitas empresas de hospedagem oferecem backup gratuito do site, mas podem garantir a disponibilidade do seu site se houver uma falha catastrófica. Então você precisa salvar os backups em um local remoto como Google Drive, Amazon S3, Dropbox etc.

Felizmente, isso pode ser feito usando BlogVault ou BackUpBuddy WordPress Backup Plugin. Ambos oferecem backups diários e restauração com um clique. Você também pode criar um site de teste sem custo extra.

De volta ao topo

9. Use o plug-in de segurança do WordPress

A próxima coisa que você precisa para fortalecer sua segurança do WordPress é um plugin de segurança. Existem muitos plugins de segurança do WordPress disponíveis que bloquearão seu site contra hackers e malware.

Os plug-ins de segurança do WordPress detectarão e eliminarão malware se estiver presente em seu site. Além disso, eles monitoram a atividade do usuário em tempo real, notificam se algo mudou, se um plug-in contém um malware, bloqueiam o tráfego de spam e muito mais.

Recomendamos o Plugin de Segurança Securi WordPress. O Securi Security oferece um tipo diferente de recursos de segurança, como auditoria de atividades de segurança, monitoramento de sites, firewall de sites e muito mais.

A melhor coisa sobre o Securi é que, se o seu site for invadido ou colocado na lista negra pelo Google enquanto estiver usando o serviço, eles garantem que consertarão seu site.

A maioria dos especialistas em segurança do WordPress cobra mais de US$ 300 para consertar um site invadido, enquanto você obtém todos os serviços de segurança por apenas US$ 199 por ano. É um bom investimento para fortalecer sua segurança do WordPress.

De volta ao topo

10. Desconectar automaticamente usuários inativos

Se um usuário ficar ocioso ou inativo em seu site por muito tempo, isso pode causar um ataque de força bruta.

Quando um usuário fica inativo por muito tempo, os hackers podem usar o método de seqüestro de sessão ou cookie para obter acesso não autorizado ao seu site. É por isso que a maioria dos sites relacionados a educação e finanças, como sites de bancos e gateways de pagamento, usam a função de tempo limite da sessão do usuário. Assim, quando um usuário sai da página e não interage após um período de tempo, o site automaticamente desconecta o usuário inativo.

A mesma função que você pode adicionar ao seu site WordPress para melhorar sua segurança WordPress. Adicionar usuários inativos desconectados automaticamente no WordPress é extremamente simples. Tudo que você precisa para instalar um plugin.

Primeiro, baixe e instale o plugin WordPress Logout Inativo. Em seguida, ative-o e vá para Configurações> Logout inativo para configurar o plugin.

Nas configurações, você pode alterar o tempo limite de inatividade. Assim, após o tempo, todos os usuários em seu site serão automaticamente desconectados.

Você também pode alterar a mensagem de tempo limite ocioso e modificar outras configurações, se necessário.

Uma vez feito, clique em Salvar alterações para armazenar as configurações.

Para obter instruções detalhadas, consulte nosso guia sobre como desconectar automaticamente usuários inativos no WordPress

De volta ao topo

11. Adicione perguntas de segurança à página de login do WordPress

Ao adicionar perguntas de segurança à sua página de login do WordPress, você não apenas protegerá sua página de login do WordPress, mas também fortalecerá a segurança do WordPress.

A pergunta de segurança adiciona uma camada extra de segurança para autenticar ainda mais sua identidade durante o login. Isso é muito útil se você estiver executando um blog WordPress de vários autores.

Se algum de seu usuário ou sua senha foi roubado, a pergunta de segurança pode salvar a vida.

Porque o nome de usuário e a senha podem ser hackeados facilmente, mas optar pela pergunta e resposta de segurança corretas é quase impossível. Dessa forma, você pode salvar sua página de login do WordPress de hackers e ataques de força bruta.

Para adicionar perguntas de segurança na página de login do WordPress, instale o plugin WP Security Question.

Uma vez ativado, vá para WP Security Questions > Plugin Settings para configurar o plugin.

Por padrão, o plugin tem muitas perguntas comuns adicionadas. Mas você pode adicionar ou remover quaisquer perguntas de segurança da lista.

Na parte inferior, você pode ativar a pergunta de segurança na página de login, registro e página de senha esquecida. Após a configuração do plugin, não se esqueça de clicar em Save Setting .

Nota: Somente novos usuários podem definir sua pergunta e resposta de segurança durante o registro. Portanto, os usuários registrados precisam definir manualmente sua própria pergunta e resposta de segurança. Você também pode definir uma pergunta de segurança e respondê-las. Isso pode ser feito na página Perfil do usuário .

Para obter instruções detalhadas, consulte nosso guia sobre como adicionar perguntas de segurança à página de login do WordPress

De volta ao topo

12. Altere o nome de usuário padrão "Admin"

Depois de instalar o WordPress, você pode alterar sua senha quantas vezes quiser. Mas você pode alterar seu nome de usuário depois de definido? Não, certo?

Por padrão, o WordPress não permite que os usuários alterem o nome de usuário. Mas por que você deve mudá-lo?

Se você estiver usando um nome de usuário muito comum como “admin”, os hackers podem executar a anexação de força bruta com a ajuda do seu nome de usuário.

Mas não entre em pânico. Existem várias maneiras de alterar seu WordPress facilmente.

No entanto, para facilitar o processo, usaremos um plugin. Primeiro, baixe e instale o plugin de troca de nome de usuário. Em seguida, vá para Usuários> Seu perfil e encontre a opção de nome de usuário. Lá você encontrará a opção “ Alterar nome de usuário ”.

Clique no botão Alterar nome de usuário e digite seu novo nome de usuário. Feito isso, clique em Atualizar perfil .

Se você deseja alterar seu nome de usuário manualmente (sem plugin), confira o artigo 3 maneiras diferentes de alterar o nome de usuário do WordPress.

De volta ao topo

13. Atribuir usuários à função mais baixa possível

Se você estiver executando um site WordPress com vários autores, precisará ter cuidado antes de atribuir uma função a um usuário.

Muitas vezes, os proprietários de sites WordPress atribuem uma função de usuário mais alta a novos usuários, desta forma você está dando todos os privilégios aos usuários e, como resultado, qualquer usuário pode executar qualquer tarefa que desejar.

Por exemplo, se você não souber o que uma função de usuário Editor pode executar e atribuir a função a um usuário comum, o usuário poderá excluir todas as suas postagens, editar links, criar postagens com spam, adicionar links maliciosos ao seu blog Postagens. É assim que um usuário pode facilmente arruinar seu site.

Por padrão, o WordPress vem com 5 funções de usuário diferentes.

• Administrador
• editor
• Autor
• Contribuinte
• Assinante

1. Administrador: Os administradores são a função de usuário mais poderosa em um site WordPress. Eles podem criar, editar e excluir uma conta de usuário, podem realizar qualquer tarefa em todo o painel de administração do WordPress, ter controle sobre toda a área de conteúdo e também moderar comentários.
2. Editor: Os usuários com a função de Editor têm controle total sobre todo o conteúdo. Eles podem criar, editar e excluir quaisquer postagens, incluindo as postagens criadas por outros usuários. Eles também podem moderar comentários e modificar links.
3. Autor: Os autores só podem publicar, editar ou excluir suas próprias postagens. Eles podem fazer upload de arquivos de mídia para usar em suas postagens. Eles podem ver os comentários, mas não podem aprovar ou excluir comentários.
4. Colaborador: os usuários com a função de Colaborador podem apenas escrever, editar ou excluir sua própria postagem não publicada, mas não podem publicar sua própria postagem.
5. Assinante: Os assinantes só podem editar suas informações de conta, incluindo senha, mas não têm acesso ao conteúdo ou às configurações do site. Eles têm os recursos mais baixos em um site WordPress.

Ao entender as funções de usuário do WordPress, você pode gerenciá-las facilmente sem nenhum risco.

Também recomendamos que você defina a função padrão do novo usuário como assinante. Vá para Configurações> Configurações gerais e de seu conjunto Nova função padrão do usuário – Assinante e clique em Salvar alterações .

Para mais detalhes, leia o Guia do Iniciante para Funções e Recursos de Usuário do WordPress

De volta ao topo

14. Monitorar alterações de arquivos e atividades do usuário

Outra maneira inteligente de fortalecer a segurança do WordPress é monitorar as atividades do usuário e as alterações nos arquivos.

Se você estiver executando um site WordPress multiusuário, deve acompanhar o comportamento do usuário para entender melhor quais são suas atividades em todo o site WordPress.

Quem sabe, se um usuário estiver fazendo algum trabalho suspeito ou tentando invadir seu site? Como você pode saber disso?

A única maneira de rastrear as atividades do usuário e as alterações de arquivos é usando um plugin WordPress de atividade do usuário. Ao usar um plugin de atividade do usuário no WordPress, você pode:

• ver quem está logado e o que eles estão fazendo em tempo real
• quando um usuário faz login e sai
• quantas vezes um usuário tentou fazer login, mas falhou

Além disso, se um editor fez alguma alteração em uma postagem ou página sem sua permissão, você poderá descobri-la facilmente e revertê-la. O bom de um plug-in de atividade do usuário é que ele envia instantaneamente uma notificação por e-mail se algo der errado.

WP Security Audit Log é o melhor plugin para monitorar as atividades do usuário e alterações de arquivos em tempo real. Aqui está uma captura de tela abaixo de como o plug-in funciona.

Leia também, 5 melhores plugins para monitorar a atividade do usuário no WordPress (plugins alternativos)

De volta ao topo

15. Implemente SSL e HTTPS

A segurança do WordPress não pode ser melhorada sem um certificado SSL. Um SSL (Secure Socket Layer) é a espinha dorsal da segurança do site.

SSL é uma tecnologia de segurança padrão que cria links criptografados entre um servidor e um navegador da Web em uma comunicação online, como uma transação online. Assim, todos os dados confidenciais, como senhas, detalhes de cartão de crédito, etc., passam por links criptografados.

Se você administra um negócio on-line ou um blog em que aceita pagamento, um certificado SSL é obrigatório. Ele manterá os dados do seu cliente protegidos contra hackers. Para lojas online ou sites WooCommerce, os custos do certificado SSL custam cerca de US$ 20 a US$ 170.

Caso você esteja executando um blog WordPress, você não precisa de um certificado SSL pago. Se você estiver usando hospedagem cPanel como SiteGround, WPEngine, poderá instalar o certificado SSL gratuitamente com apenas um clique.

Primeiro, faça login na sua conta de hospedagem cPanel e navegue até Segurança . (Aqui está uma captura de tela abaixo do cPanel de hospedagem do SiteGround.)

Vá para o Gerenciador SSL/TLS e clique em Instalar certificado SSL . Na página, selecione seu domínio e clique em Preenchimento automático por domínio . O processo é automático para que você não precise editar ou modificar nada.

Agora clique no botão Instalar certificado para concluir o processo de configuração.

Uma vez feito, faça login no seu painel de administração do WordPress para modificar a URL do seu site. Vá para Configurações> Geral e adicione substituir o HTTP por HTTPS antes do URL do seu site. Aqui está uma captura de tela abaixo.

Depois de atualizado, clique em Salvar alterações .

Como redirecionar HTTP para HTTPS no WordPress

Se você instalou corretamente o certificado SSL, seu site pode ser acessado com HTTPS.

Mas se alguém digitar apenas o nome do seu site (ou seja, domínio.com) na barra de endereços do navegador, o site poderá mostrar a mensagem “ A conexão não é segura ”. Isso significa que seu site pode ser acessado com HTTP.

Para corrigir o problema, você precisa forçar o HTTPS no WordPress, para que seu site seja carregado apenas com HTTPS. Você pode facilmente forçar HTTPS no WordPress.

Primeiro faça login no seu cPanel de hospedagem e vá para a pasta raiz do seu site e encontre o arquivo .htaccess . Edite o arquivo .htaccess e no final adicione o seguinte código.

Rewrite Engine On
RewriteCond %{HTTPS} off
Regra de regravação ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Salve o arquivo e pronto. Agora seu site só é acessível com HTTPS.

Se o seu provedor de hospedagem não fornecer um certificado SSL gratuito, você poderá instalar um certificado SSL manualmente. Aqui está o guia sobre como instalar o certificado SSL gratuito.

De volta ao topo

16. Excluir temas e plugins não utilizados

Quando se trata de fortalecer a segurança do WordPress, não devemos ignorar nenhum pequeno passo que possa tornar seu site vulnerável.

Na maioria das vezes, os proprietários de sites WordPress instalam diferentes temas e plugins para testar qual tema fica melhor em seu site ou qual plugin tem mais funcionalidade. Isso está ok. Mas manter esses temas e plugins não utilizados torna seu site vulnerável.

Porque manter muitos temas e plugins do WordPress precisa ser atualizado regularmente como o que você está usando. Se você não os atualizar, eles se tornarão vulneráveis ​​e os hackers podem facilmente explorar seu site por meio de temas e plugins vulneráveis. Além disso, manter tantos temas e plugins torna o site WordPress mais lento.

Portanto, você deve sempre excluir temas e plugins não utilizados para melhorar o desempenho do site e a segurança do WordPress.

Para excluir um plug-in não utilizado, vá para Plugins> Plugins Instalados . Em seguida, encontre o plugin que você não precisa mais. Primeiro, desative o plugin e clique em Excluir .

Da mesma forma, para excluir um tema, vá para Aparência> Temas e clique em Detalhes do tema . Em seguida, na parte inferior do lado direito, clique em Excluir .

De volta ao topo

17. Desative a edição de arquivos no painel do WordPress

Por padrão, o WordPress permite que os usuários editem o tema e o arquivo de plug-in diretamente do painel do WordPress. Esta é uma opção útil para usuários que frequentemente precisam editar o tema e o arquivo de plugin.

No entanto, manter essa função habilitada pode ser um sério problema de segurança. Se os hackers acessam seu site, eles geralmente deixam sua pegada injetando código malicioso nos arquivos do site. Se a sua função de edição de arquivos do WordPress estiver habilitada, os hackers podem facilmente injetar código malicioso em seu tema ou arquivo de plug-in que será desconhecido para você.

Para melhorar a segurança do WordPress, você precisa desabilitar a função de edição de arquivos do seu painel do WordPress. Desativar o tema WordPress e o editor de plugins no WordPress é um processo muito fácil.

Primeiro, você precisa fazer login na sua conta de hospedagem cPanel e ir para a pasta raiz do seu site WordPress. A partir daí, localize o wp-config.php. Clique em editar e adicione o seguinte código no final.

define( 'DISALLOW_FILE_EDIT', true );

Agora salve o arquivo e atualize seu painel do WordPress. Você verá que a opção do editor de temas e plugins desapareceu. Com este pequeno truque, você pode melhorar facilmente a segurança do WordPress.

Leia o guia detalhado sobre como desativar o editor de temas e plugins no WordPress

De volta ao topo

18. Proteja a página de login do WordPress com senha

Outra ótima maneira de melhorar a segurança do WordPress é proteger com senha a página de login do WordPress.

Ao proteger com senha sua página de login (/wp-login.php) ou admin(/wp-admin) do WordPress, você pode impedir que hackers acessem sua página de login porque ela requer uma senha para acessar a página de login. Uma vez ativado esse recurso, seu site solicitará a todos os usuários que acessem a página de login com um nome de usuário e uma janela de senha. Em suma, todos os usuários precisam fazer login duas vezes com nome de usuário e senha diferentes antes de acessar o painel de administração do WordPress.

Ao fazer isso, você pode fortalecer sua segurança do WordPress e adicionar uma camada extra de segurança à sua página de login.

Leia nosso guia detalhado sobre como proteger com senha a página de login do WordPress.

De volta ao topo

19. Desative a navegação no diretório no WordPress

Por padrão, a maioria dos servidores da web, como Apache, NGINX e LiteSpeed, permite que qualquer usuário navegue nos diretórios que contêm arquivos e pastas do WordPress. Eles também podem ver qual tema e plugins você está usando e saber mais sobre a estrutura do seu site.

Essas informações podem deixar seu site WordPress vulnerável e ajudar um hacker ao tentar comprometer seu site.

Para melhorar a segurança do WordPress, recomendamos que você desative esta opção. Para desabilitar a navegação em diretórios no WordPress, basta adicionar a seguinte linha ao seu arquivo .htacces .

Opções Todos - Índices

Para obter instruções detalhadas, leia nosso guia sobre como desativar a navegação em diretórios no WordPress

De volta ao topo

20. Remova sua versão do WordPress

Por padrão, o WordPress adiciona automaticamente meta tags em diferentes locais que exibem a versão do WordPress que você está usando.

O problema é o seguinte: se os hackers souberem que você está executando uma versão desatualizada do WordPress, eles poderão explorar seu site por meio das vulnerabilidades conhecidas presentes na versão mais antiga do WordPress.

Portanto, é melhor remover sua versão do WordPress para melhorar a segurança do WordPress. Existem vários lugares onde o WordPress adiciona as meta tags como, no painel do WordPress, no cabeçalho, no estilo e javascript e no feed RSS.

Removendo a versão do WordPress do cabeçalho e RSS

Para remover a versão do cabeçalho e RSS, adicione a seguinte linha no final do seu arquivo functions.php .

function remove_wordpress_version() {
Retorna '';
}
add_filter('the_generator', 'remove_wordpress_version');

Removendo o número da versão do WordPress de Scripts e CSS

Para remover a versão do WordPress do CSS e dos scripts, adicione a seguinte linha no final do seu arquivo functions.php .

// Escolhe o número da versão dos scripts e estilos
function remove_version_from_style_js( $src ) {
if (strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Uma vez feito, salve o arquivo functions.php .

É isso. Com este truque simples, você certamente pode melhorar sua segurança do WordPress. No entanto, sempre recomendamos que você atualize regularmente sua versão do WordPress, bem como tema e plugins.

Para obter instruções detalhadas, leia nosso guia sobre como ocultar ou remover a versão do WordPress

De volta ao topo

21. Altere o prefixo da tabela de banco de dados do WordPress

Durante a instalação do WordPress, ele pergunta se você deseja usar um prefixo de banco de dados diferente. Geralmente pulamos esta etapa, então o WordPress usa automaticamente (WP_) como prefixo padrão da tabela de banco de dados. Recomendamos que você altere algo forte e único.

Usar o prefixo padrão (WP_) torna seu banco de dados WordPress suscetível a ataques de injeção de SQL. Esses ataques podem ser evitados alterando o prefixo do banco de dados (WP_) para algo exclusivo.

Depois de instalar o WordPress, você pode alterar facilmente o prefixo da tabela de banco de dados padrão usando plugins ou manualmente. Plugins como BackupBuddy, Brozzme DB Prefix permitem que você altere o prefixo da tabela com apenas um clique.

Por causa do tutorial, estou mostrando como alterá-lo usando o plug-in Brozzme DB Prefix.

Nota: Antes de fazer qualquer coisa com seu banco de dados, certifique-se de fazer um backup do seu site e banco de dados. Caso algo dê errado, você pode restaurar seu site.

Primeiro, instale e ative o plugin Brozzme DB Prefix. No painel do WordPress, vá para Ferramentas> Prefixo do banco de dados e insira um novo nome exclusivo para o prefixo do banco de dados.

Depois de inserir seu novo prefixo, clique em Alterar prefixo do banco de dados .

Para o processo manual, leia como alterar o prefixo da tabela de banco de dados usando o phpMyAdmin

De volta ao topo

22. Use apenas plug-ins confiáveis ​​​​do WordPress

O WordPress vem com mais de 48.000 plugins. Isso não significa que todos os plugins sejam úteis e seguros de usar.

Porque existem muitos plugins disponíveis na galeria de plugins do WordPress que não são atualizados há muito tempo e geralmente ficam vulneráveis. Além disso, você não obteria nenhum suporte se o plug-in quebrar seu site.

Antes de usar qualquer plugin gratuito, duas coisas importantes que você precisa verificar,

• Verifique quando o plug-in foi atualizado pela última vez: se o plug-in não for atualizado com frequência ou não for mais mantido pelo desenvolvedor do plug-in, você deve evitar o plug-in.

• Verifique se o plug-in tem classificações positivas máximas: A próxima coisa que você precisa verificar se o plug-in tem classificações positivas ou negativas máximas. Se o plug-in tiver classificações negativas máximas, você não deve usá-lo.

Você também pode verificar a página de comentários e suporte do plug-in para ver o que outros usuários estão dizendo sobre o plug-in.

Mas, não se preocupe. Existem muitos plugins semelhantes disponíveis que você pode encontrar na galeria de plugins do WordPress.

Se você gostaria de usar um plugin premium, não precisa se preocupar com isso. Os plugins premium são atualizados regularmente e você terá suporte 24x do desenvolvedor do plugin.

De volta ao topo

23. Desabilite o Relatório de Erros do PHP

Outra ótima maneira de fortalecer a segurança do WordPress é desabilitar o relatório de erros do PHP no WordPress. Muitas vezes, quando você instala um plugin ou tema desatualizado, você pode ver o aviso de erro do PHP.

No entanto, pode tornar seu site vulnerável se os hackers o obtiverem, pois mostra o código e a localização do arquivo. Para minimizar o risco, você pode desabilitar o relatório de erros do PHP no WordPress.

Desabilitar o aviso de erro do PHP no WordPress é muito fácil. Primeiro, edite seu arquivo wp-config.php e encontre a linha que contém este código:

define('WP_DEBUG', false);

Você pode ver “true” em vez de “false”. Agora substitua a linha pelo código a seguir.

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Salve o arquivo e pronto.

Também recomendamos que você use plugins atualizados e bem avaliados para evitar esse tipo de problema.

De volta ao topo

24. Adicione cabeçalhos seguros HTTP ao WordPress

Outra ótima maneira de fortalecer a segurança do WordPress é adicionar cabeçalhos seguros HTTP ao seu site WordPress.

Quando alguém acessa seu site, o navegador faz uma solicitação ao seu servidor web. Em seguida, o servidor da Web responde com as solicitações junto com os cabeçalhos HTTP. Esses cabeçalhos HTTP passam informações como codificação de conteúdo, controle de cache, tipo de conteúdo, conexão etc.

Ao adicionar cabeçalhos de resposta HTTP seguros, você pode melhorar sua segurança do WordPress e também evitar mitigar ataques e vulnerabilidades de segurança.

Aqui estão os cabeçalhos HTTP abaixo:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) obriga o navegador da Web a usar apenas conexões seguras (HTTPS) ao se comunicar com um site. Isso evita hacks de protocolo SSL, sequestro de cookies, remoção de SSL etc.
• X-Frame-Options : O X-Frame-Options é um tipo de cabeçalho HTTP que especifica se um navegador pode ou não renderizar um site em um quadro. Isso evita ataques de clickjacking e garante que seu site não seja incorporado a outros sites usando <frame>.
• X-XSS-Protection : O X-XSS-Protection é um recurso interno dos navegadores Internet Explorer, Google Chrome, Firefox e Safari que bloqueia o carregamento das páginas se um script malicioso for inserido a partir de uma entrada do usuário.
• X-Content-Type-Options : X-Content-Type-Options é um tipo de cabeçalho de resposta HTTP com o valor nosniff que impede que os navegadores da Web detectem MIME uma resposta do tipo de conteúdo declarado.
• Política de referência: a política de referência é um cabeçalho de resposta HTTP que impede o vazamento de referência entre domínios.

Para adicionar cabeçalhos seguros HTTP no WordPress, basta adicionar as seguintes linhas de código em seu arquivo .htaccess .

Conjunto de cabeçalho Strict-Transport-Security "max-age=31536000" env=HTTPS
O cabeçalho sempre anexa X-Frame-Options SAMEORIGIN
Conjunto de cabeçalho X-XSS-Protection "1; modo=bloco"
Conjunto de cabeçalho X-Content-Type-Options nosniff
Política de referência de cabeçalho: no-referrer-when-downgrade

Agora vá para securityheaders.com para verificar se os códigos estão funcionando ou não. Não adicionamos "Política de segurança de conteúdo" porque isso pode danificar seu site. No entanto, é o suficiente para tornar seu site WordPress seguro.

De volta ao topo

Conclusão

Há muitas maneiras de fortalecer a segurança do WordPress , como: usar uma hospedagem gerenciada do WordPress, usar senhas fortes para contas, monitorar as atividades do usuário, usar um plug-in de segurança do WordPress, implementar SSL e HTTPS e muito mais.

A segurança do Harding WordPress não é ciência de foguetes. Você pode proteger facilmente seu site WordPress implementando as melhores práticas de segurança do WordPress que compartilhamos neste artigo. Ao implementá-los, você não apenas protegerá seu site WordPress, mas também impedirá que hackers acessem seu site.

Uma vez feito, você não precisa se preocupar com a segurança do WordPress. Além disso, você pode ser mais produtivo e livre de tensão.

AGORA é a sua vez . Leia o artigo completamente e implemente-os em seu site. Você ficará feliz por ter feito isso.

Perdemos alguma dica importante de segurança do WordPress para mencionar aqui? sinta-se à vontade para nos informar na seção de comentários.

Infográfico de segurança do WordPress