14 maneiras de proteger seu site WordPress – passo a passo

Publicados: 2022-01-05

A segurança do WordPress deve ser uma prioridade para os proprietários de sites. Por quê? Porque há até 90.000 ataques em sites WordPress a cada minuto.

Se isso não for suficientemente preocupante, a cada semana o Google coloca na lista negra cerca de 20.000 sites de malware e 50.000 de phishing. E quando um site está na lista negra – e os usuários são forçados a concordar com os riscos – isso resulta em uma perda de cerca de 95% do tráfego.

Embora a versão mais recente do WordPress seja sempre a versão mais segura disponível, há mais coisas que você pode fazer no seu site para garantir que ele seja impenetrável para hackers e bots.

Aqui estão algumas dicas de práticas recomendadas para ajudar você a proteger seu site.

  1. Use um bom host
  2. Use apenas temas e plugins de qualidade
  3. Mantenha o núcleo, os temas e os plugins do WordPress atualizados
  4. Não use “Admin” como nome de usuário
  5. Use uma senha forte
  6. Usar autenticação de dois fatores
  7. Limitar tentativas de login
  8. Instalar um certificado SSL
  9. Alterar prefixo do banco de dados
  10. Protegendo arquivos wp-config.php e .htaccess
  11. Adicionar chaves de segurança
  12. Desativar edição de arquivo
  13. Impedir que arquivos PHP sejam executados
  14. Desativar XML-RPC seletivamente

1. Use um bom host

Um bom host é sua primeira linha de defesa contra ataques em seu site. Portanto, não opte automaticamente por hospedagem compartilhada barata. Em vez disso, faça sua lição de casa.

Escolha um host respeitável que suporte as versões mais recentes de tecnologias básicas da Web, como PHP e MySQL. Certifique-se de verificar se o seu host suporta PHP 7 – é a versão oficial do PHP recomendada para WordPress.

Considere escolher um host WordPress gerenciado. Esses serviços são configurados especificamente para o WordPress e cuidam de todos os aspectos técnicos importantes da hospedagem, incluindo segurança, backups, tempo de atividade e desempenho.

2. Use apenas temas e plugins de qualidade

De acordo com o WPScan, 52% das vulnerabilidades de sites são causadas por plugins, enquanto 11% são causadas por temas. Combine, isso é mais de 60% da segurança do WordPress

A maneira mais fácil de garantir que seus plugins e temas resistam a ataques é baixá-los apenas de fontes confiáveis. Isso inclui WordPress.org e provedores premium. O download de desenvolvedores desonestos que ocultam códigos maliciosos em seus temas e plugins pode comprometer seu site.

Se você não tiver certeza se um site do qual deseja fazer o download é seguro, procure depoimentos e avaliações para garantir que o produto desejado tenha qualidade de som.

Além disso, verifique se todos os plugins e temas que você usa também são bem suportados e atualizados regularmente. Se um plugin ou tema não é atualizado há muito tempo, é provável que contenha falhas de segurança que não foram corrigidas ou até mesmo código ruim que pode deixá-lo vulnerável a hacks.

Por fim, mantenha apenas plugins e temas que você realmente precisa e usa. Quanto mais você tiver, maior o risco de ser hackeado. Portanto, revise regularmente sua lista de plugins e temas e desative e exclua os que você não precisa.

3. Mantenha o núcleo, os temas e os plugins do WordPress atualizados

WordPress é um software de código aberto e desenvolvido e mantido por uma comunidade mundial de voluntários. A cada nova versão, quaisquer vulnerabilidades de segurança são corrigidas.

Por padrão, o WordPress instala automaticamente pequenas atualizações (ou seja, WordPress 4.9.4). Mas para versões principais (ou seja, WordPress 4.9), o ônus é de você atualizar manualmente para a versão mais recente.

Certifique-se de que seu site esteja sempre executando a versão mais recente do WordPress.

Essas atualizações principais são essenciais para a segurança e o desempenho do seu site. Portanto, certifique-se de fazer backup do seu site e aplicar as atualizações principais quando elas estiverem disponíveis.

Da mesma forma, também é importante atualizar regularmente todos os plugins e temas para que você esteja sempre usando as versões de software mais atualizadas e seguras.

4. Não use "Admin" como nome de usuário

Não use “admin” como nome de usuário do seu site. Versões anteriores do WordPress usavam “admin” como o nome de usuário padrão, tornando mais fácil para os hackers – uma peça a menos do quebra-cabeça para adivinhar durante um ataque de força bruta.

Mas as versões recentes do WordPress mudaram isso, dando aos usuários a oportunidade de inserir seu próprio nome de usuário durante a instalação. No entanto, algumas pessoas ainda optam por usar “admin” em vez de criar um nome de usuário original. Apenas não.

Você deseja dificultar a penetração de invasores maliciosos em seu site, para que os ataques demorem mais e você ou seu provedor de hospedagem possam identificar quaisquer ataques antes que eles sejam bem-sucedidos e detê-los.

5. Use uma senha forte

Sempre crie senhas fortes e exclusivas para sua conta de administrador do WordPress, banco de dados, conta de hospedagem, endereço de e-mail e quaisquer contas de FTP. Assim como os nomes de usuário, as senhas são outra peça do quebra-cabeça para os hackers adivinharem, e quanto mais forte for sua senha, mais difícil será para os hackers acessarem seu site com sucesso.

Durante a instalação, o WordPress tentará forçar uma senha forte em você e solicitará que você marque uma caixa se inserir uma senha fraca. Embora você queira criar sua própria senha, ferramentas como o Secure Password Generator podem criar uma senha forte para você.

O Gerador de Senhas Seguras permite que você crie senhas únicas e aleatórias.

6. Use autenticação de dois fatores

Mesmo com um nome de usuário e senha fortes, os ataques de força bruta ainda são um problema para muitos sites. É aqui que a autenticação de dois fatores pode ajudar.

A autenticação de dois fatores adiciona outra etapa no processo de login, forçando os usuários a inserir um código enviado ao celular, além de inserir suas credenciais de login usuais. Isso pode impedir ataques automáticos e garantir que seu site não seja vítima de hackers.

Plugins como o iThemes Security podem implementar autenticação de dois fatores. Também existem plugins gratuitos, como a autenticação de dois fatores, que podem adicionar essa camada extra de segurança ao seu site.

O plug-in gratuito de autenticação de dois fatores permite adicionar facilmente outra camada de proteção ao fazer login no seu site.

7. Limite as tentativas de login

Por padrão, você pode tentar fazer login na sua conta do WordPress quantas vezes quiser. Embora isso possa ser conveniente para você se você se esquecer e nem sempre acertar sua senha na primeira ou mesmo na terceira tentativa, também é conveniente para os hackers que executam ataques de força bruta - dá a eles um número ilimitado de tentativas de decifrar sua combinação de nome de usuário e senha.

Isso pode ser facilmente corrigido limitando o número de tentativas de login com falha que um usuário pode fazer em seu site. Plugins gratuitos como WP Limit Login Attempts permitem limitar as tentativas de login e bloquear endereços IP temporariamente.

8. Instale um certificado SSL

Instalar um certificado SSL em seu site é uma obrigação, especialmente se você tiver uma loja de comércio eletrônico. Não apenas porque dificultará a interceptação de informações confidenciais entre os navegadores do usuário e seu servidor, mas porque o Google agora insiste que todos os sites devem ter um.

A partir de julho de 2018 com o lançamento do Chrome 68, as páginas da Web carregadas sem HTTPS serão marcadas como "não seguras". Isso significa que os usuários que tentarem acessar sites que não possuem um certificado SSL receberão um aviso de que o site não é confiável.

Este anúncio é importante porque, de acordo com a Cloudflare, mais da metade dos visitantes da web verão esses avisos.

Let's Encrypt é uma autoridade de certificação gratuita que fornece certificados SSL para proprietários de sites.

Obter um certificado SSL está se tornando cada vez mais fácil de fazer. A Let's Encrypt oferece certificados de código aberto gratuitos, enquanto as empresas de hospedagem geralmente fornecem um de graça (e às vezes até de graça).

9. Altere o prefixo do banco de dados

Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas no banco de dados do seu site. Isso significa que, se você estiver usando o padrão – que é um conhecimento comum do WordPress – os hackers podem adivinhar facilmente qual é o nome da sua tabela, tornando-a vulnerável a injeções de SQL.

Uma maneira simples de corrigir isso é alterar o prefixo para algo aleatório, como 5jiqtu69dg_ usando um gerador de string aleatório. Para atualizar o prefixo da sua tabela, abra o arquivo wp-config.php na raiz do diretório de arquivos do seu site e encontre esta linha:

 $table_prefix = 'wp_';

Usando meu exemplo, você substituiria a linha assim:

 $table_prefix = '5jiqtu69dg_';

Em seguida, você precisará atualizar o prefixo usado em seu banco de dados. Embora plugins de segurança como o iThemes Security possam ajudá-lo a fazer isso de maneira rápida e fácil, você pode aprender como fazer isso manualmente via phpMyAdmin aqui.

10. Protegendo arquivos wp-config.php e .htaccess

O arquivo wp-config.php do seu site, que geralmente está localizado na pasta raiz do seu site, contém informações críticas sobre sua instalação do WordPress, incluindo o nome, host, nome de usuário e senha do seu banco de dados. Enquanto isso, .htaccess é um arquivo oculto que define a configuração do servidor em nível de diretório, habilita links permanentes bonitos e permite redirecionamentos.

Impedir o acesso a esses arquivos críticos é fácil. Basta adicionar o seguinte ao seu arquivo .htaccess para proteger o wp-config.php:

 <Arquivos wp-config.php>
ordem permitir, negar
negar de todos
</Arquivos>

Alternativamente, você pode simplesmente mover seu arquivo wp-config.php para um diretório mais alto, pois o WordPress irá procurá-lo automaticamente lá.

Para interromper o acesso indesejado ao .htaccess, tudo o que você precisa fazer é alterar o nome do arquivo no código:

 <Arquivos .htaccess>
ordem permitir, negar
negar de todos
</Arquivos>

11. Adicionar chaves de segurança

As chaves de segurança e sais do WordPress criptografam as informações armazenadas nos cookies do navegador, protegendo senhas e outras informações confidenciais. Há quatro chaves de segurança no total: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY e NONCE_KEY .

Essas chaves de autenticação são basicamente um conjunto de variáveis ​​aleatórias e dificultam a quebra de suas senhas. Uma senha não criptografada como “wordpress” não exige muito esforço para os invasores quebrarem. Mas uma senha longa e aleatória como “L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye” é muito mais difícil de decifrar.

Adicionar chaves de segurança e sais é um processo manual e fácil de fazer. Aqui está como fazê-lo:

  1. Obtenha um novo conjunto de chaves de segurança e sais. Você pode gerá-los aleatoriamente aqui.
  2. Em seguida, atualize seu arquivo wp-config.php. Abra seu arquivo e role para baixo até encontrar a seção abaixo e substitua os valores antigos por suas novas chaves e sais:
 /**#@+
 * Chaves e Sais Únicos de Autenticação.
 *
 * Altere-as para diferentes frases exclusivas!
 * Você pode gerá-los usando o {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org serviço de chave secreta}
 * Você pode alterá-los a qualquer momento para invalidar todos os cookies existentes. Isso forçará todos os usuários a fazer login novamente.
 *
 * @desde 2.6.0
 */
define('AUTH_KEY', 'adicione variáveis ​​únicas aqui');
define('SECURE_AUTH_KEY', 'adicione variáveis ​​únicas aqui');
define('LOGGED_IN_KEY', 'adicione variáveis ​​únicas aqui');
define('NONCE_KEY', 'adicione variáveis ​​únicas aqui');
define('AUTH_SALT', 'adicione variáveis ​​únicas aqui');
define('SECURE_AUTH_SALT', 'adicione variáveis ​​únicas aqui');
define('LOGGED_IN_SALT', 'adicione variáveis ​​únicas aqui');
define('NONCE_SALT', 'adicione variáveis ​​únicas aqui');

/**#@-*/
  1. Salve seu arquivo wp-config.php. Você será automaticamente desconectado do seu site WordPress e precisará fazer login novamente.

12. Desative a edição de arquivos

O WordPress possui um editor de código interno para arquivos de plugins e temas. Embora isso seja útil para administradores que desejam fazer alterações rápidas nos arquivos, também significa que hackers e usuários de alto nível também podem fazer alterações nos arquivos. Você pode encontrar esse recurso acessando Aparência> Editor em seu administrador do WordPress.

Você pode desabilitar a edição de arquivos em seu arquivo wp-config.php. Basta abrir seu arquivo e adicionar esta linha de código:

 define('DISALLOW_FILE_EDIT', true);

Você ainda poderá editar seus plugins e temas via FTP ou cPanel, mas não no administrador do WordPress.

13. Impedir que arquivos PHP sejam executados

Uma pasta comum para hackers fazerem upload de malware no WordPress é wp-content/uploads, mas também wp-includes/ . Para evitar que os arquivos sejam executados nessas pastas, crie um novo arquivo de texto em um editor de texto e cole este código:

 <Arquivos *.php>
negar de todos
</Arquivos>

Em seguida, salve este arquivo como .htaccess e envie-o para suas pastas /wp-content/uploads e wp-includes/ via FTP ou cPanel.

14. Desabilite o XML-RPC seletivamente

XML-RPC, ou XML Remote Procedure Call, é uma API que ajuda a conectar aplicativos da Web e móveis ao seu site WordPress. Ele foi ativado por padrão no WordPress 3.5, mas desde então foi encontrado para amplificar significativamente os ataques de força bruta.

Por exemplo, se um hacker quisesse experimentar 500 senhas diferentes em seu site, normalmente ele teria que fazer 500 tentativas de login separadas. Mas com XML-RPC, o hacker pode usar a função system.multicall para tentar um grande número de combinações de nome de usuário e senha em uma única solicitação HTTP.

Embora seja fácil simplesmente desabilitar esse recurso para o seu site, isso significaria perder a funcionalidade de plugins como o Jetpack. Em vez disso, é melhor selecionar a maneira como você implementa e desativa o XML-RPC usando plugins especialmente projetados.

Bônus: Como verificar vulnerabilidades

Existem algumas maneiras diferentes de verificar vulnerabilidades em seu site: com um scanner de site online ou com um plug-in.

Com essas ferramentas online gratuitas, tudo o que você precisa fazer é inserir o URL do seu site e eles começarão a verificar seu site em busca de vulnerabilidades conhecidas:

WordPress Security Scan – Esta ferramenta verifica passivamente problemas básicos de segurança. Você precisará atualizar para um plano premium para testes avançados.

Sucuri SiteCheck – Verifique se há malware conhecido no seu site, status de lista negra, erros do site e software desatualizado. Com uma atualização premium, esta ferramenta fará limpeza de malware, proteção contra DDoS/força bruta, remoção de lista negra e monitoramento de segurança.

WPScan – Este scanner de vulnerabilidades WordPress de caixa preta hospedado no GitHub permite que você verifique seu site em busca de vulnerabilidades conhecidas com núcleo, plugins e temas. Você precisará usar o Terminal para executar este aplicativo. É gratuito para uso pessoal e patrocinado pela Sucuri.

Bônus: Melhores plugins de segurança do WordPress

Instalar um plugin de segurança em seu site WordPress adiciona outra linha de defesa contra possíveis ataques. Eles oferecem uma ampla variedade de recursos para ajudar a proteger seu site – incluindo varreduras de site – e podem notificá-lo quando seu site for comprometido.

Aqui estão os 3 principais plugins:

Wordfence

Plugin de segurança do Wordfence.

WordFence é um plugin de segurança gratuito extremamente popular com mais de 2 milhões de instalações ativas e uma opção premium disponível. Ele apresenta um “Feed de defesa contra ameaças” que extrai as mais recentes regras de firewall, assinaturas de malware e endereços IP maliciosos, mantendo o site do seu site.

Um firewall de aplicativo da web identifica e bloqueia tráfego malicioso, enquanto uma lista negra de IP em tempo real bloqueia todas as solicitações de IPs maliciosos, protegendo seu site e reduzindo a carga.

Este plugin protege contra ataques de força bruta limitando tentativas de login, impondo senhas fortes e outras medidas de segurança de login. Se encontrar algum tipo de infecção em seu site, ele o notificará por e-mail. Você também pode monitorar o tráfego do seu site em tempo real para verificar se ele está sob ataque.

Sucuri

Plugin de segurança Sucuri.

Para um plug-in de segurança gratuito, o plug-in de segurança da Sucuri fornece um conjunto abrangente de recursos, incluindo auditoria de atividades de segurança para que você possa ficar de olho em quaisquer alterações feitas em seu site, monitoramento de integridade de arquivos, verificação remota de malware, monitoramento de lista negra e medidas de proteção de segurança.

Uma seção de “ações de segurança pós-hack” do plug-in orienta você sobre as três principais coisas que você deve fazer após um comprometimento. Você também pode ativar as notificações de segurança para que, quando uma infecção for encontrada em seu site ou comprometida, você seja alertado imediatamente.

Ao atualizar para a versão premium, você obtém acesso a um firewall de site para proteção adicional.

Segurança iThemes

Plugin de segurança iThemes.

Enquanto a versão gratuita do iThemes Security ajuda a bloquear o WordPress, corrigir falhas comuns e fortalecer as credenciais do usuário, a versão pro apresenta praticamente todas as medidas de segurança que você pode precisar.

Há autenticação de dois fatores, agendamento de verificação de malware e registro de ações do usuário para que você possa acompanhar quando os usuários editam o conteúdo, fazem login ou logout. Você pode atualizar chaves de segurança e sais, definir a expiração da senha e adicionar o Google reCAPTCHA ao seu site.

Outros recursos incluem comparação de arquivos online, integração WP-CLI e escalonamento temporário de privilégios para que você possa conceder acesso temporário de administrador ou editor ao seu site.

Conclusão

Não existe uma maneira certa de proteger seu site WordPress contra ameaças de segurança. O melhor que você pode fazer é manter o núcleo, os temas e os plugins do WordPress atualizados e implementar várias soluções diferentes que corrigem vulnerabilidades, protegem arquivos críticos e forçam os usuários a fortalecer suas credenciais.

Agendar backups regulares também é uma obrigação. Você nunca sabe quando seu site pode sucumbir a um ataque, por isso é importante que você esteja pronto e tenha um plano para restaurar rapidamente seu site em caso de emergência.

Investir em um plug-in de segurança sólido que permite verificar vulnerabilidades em seu site, monitorar ações e alertá-lo quando algo não está certo também ajudará a fortalecer seu site e garantir que ele esteja bem protegido contra ameaças.