A lista de verificação de segurança abrangente do WordPress (como proteger seu site)

WordPress é um dos sistemas de gerenciamento de conteúdo (CMSs) de código aberto mais populares para a criação de comércio eletrônico, blog, portfólio e outros tipos de sites. Infelizmente, os hackers estão aproveitando o fato de o código do WordPress ser de código aberto.

Portanto, é essencial que você proteja seu site. Neste artigo, mostraremos como proteger um site WordPress contra hackers, bots, spam, malware e muito mais.

A importância da segurança do WordPress

Empregar a segurança adequada para um site WordPress protege seu site contra vários ataques cibernéticos. As informações privadas de você e de seus clientes estarão protegidas com um site seguro. Além disso, lembre-se de que você protege sua reputação protegendo seu site.

O WordPress oferece segurança integrada?

Por padrão, o WordPress redireciona todas as solicitações HTTP inseguras (redirecionamentos 301) para a versão HTTPS segura do seu site. Você pode proteger ainda mais o seu site WordPress instalando plug-ins de segurança.

Use um plugin de segurança WordPress

Os complementos do WordPress são uma ótima maneira de adicionar recursos extras úteis ao seu site de forma rápida e eficiente. Um dos complementos mais importantes que você pode instalar em seu site é um plugin de segurança. Com apenas alguns cliques, você adiciona uma camada extra de segurança ao seu site.

Alguns dos plug-ins mais populares que fornecem segurança para sites WordPress são:

  1. Mochila a jato: Este plugin é simples de instalar e oferece segurança abrangente para sites WordPress. Seus recursos incluem criação de backup em tempo real, proteção contra spam, proteção de força bruta e verificações de malware.
  2. Segurança Sólida Profissional: você pode adicionar uma camada extra de proteção ao seu site em segundos instalando este plugin. Os modelos de site de segurança sólidos permitem que você defina as configurações de segurança corretas para o seu site de comércio eletrônico rapidamente. Você pode monitorar atividades suspeitas, verificar plug-ins e temas vulneráveis ​​para aplicar atualizações, bloquear bots, reduzir spam e muito mais.
  3. Segurança Wordfence: Este plugin inclui um firewall WordPress, scanner de segurança e segurança de login. Também é fácil de usar.

Obtenha hospedagem WordPress segura da Hostinger

Todos os planos incluem certificados SSL gratuitos, backups diários e Solid Security Pro

Como proteger seu site WordPress (lista de verificação)

Agora, vamos dar uma olhada nas etapas que você pode seguir para proteger seu site WordPress.

1. Mantenha temas e plugins atualizados

Manter seus temas e plug-ins do WordPress atualizados deve sempre ser o número um na lista de verificação de segurança do WordPress. Ao fazer isso, você protege ativamente o seu site. Além dos problemas de compatibilidade, versões mais antigas de temas e plug-ins do WordPress podem apresentar falhas de segurança perigosas que colocam o seu site em risco.

Ler:  Alcançando e Manutenção dos requisitos de conformidade do PCI

2. Certifique-se de estar executando a versão mais recente do WordPress

De acordo com W3Techs, cerca de 43% dos sites têm WordPress como CMS. É por isso que os hackers estão sempre procurando falhas de segurança no WordPress. Estima-se que pelo menos 13.000 Sites WordPress são hackeados diariamente.

Portanto, ter a versão mais recente do WordPress deve estar na sua lista de verificação de segurança do WordPress. Cada vez que uma falha de segurança é detectada, a equipe do WordPress começa a trabalhar em uma atualização para corrigir o problema. Ao manter seu WordPress atualizado, você garante que seu site esteja estável e protegido contra hackers.

3. Use hospedagem WordPress gerenciada segura

Antes mesmo de começar a pensar na aparência do seu site WordPress, você deve escolher um bom provedor de hospedagem. Escolher um host WordPress seguro é talvez a etapa mais importante em sua lista de verificação de segurança do WordPress.

Procure um provedor de hospedagem que ofereça um bom atendimento ao cliente, leve as medidas de segurança a sério e tenha os melhores recursos na sua faixa de preço. Uma ótima opção é hospedagem WordPress gerenciada com Hostinger.

O que torna o Hostinger melhor do que outros provedores de hospedagem?

Por um lado, seu site carrega extremamente rápido. Além disso, você obtém um CDN integrado, detecção de malware, monitoramento de site e um firewall integrado que manterá seu site livre de ataques de hackers conhecidos, como negação de serviço distribuída (DDoS) e força bruta.

4. Configure um firewall

As chances de seu site WordPress ser hackeado diminuem drasticamente se você tiver um firewall.

Firewalls comuns incluem:

  • Firewall Apache: Inclui um módulo mod_security que é amplamente utilizado como firewall.
  • Firewall DNS (sistema de nomes de domínio): protege sua rede contra domínios maliciosos e impede que os usuários acessem sites maliciosos.
  • WAF (firewall de aplicativos da Web): controla o tráfego HTTP de entrada e monitora e bloqueia tentativas de conexão potencialmente maliciosas.
  • Firewall NAT (tradução de endereço de rede): somente um dispositivo que esteja em uma rede privada segura pode acessar o servidor.
  • Firewall de filtragem de pacotes: as solicitações recebidas são monitoradas com base nas portas, protocolos e endereços IP.

5. Obtenha um certificado SSL

Um certificado SSL (Secure Sockets Layer) protege a integridade do seu site e garante transações online seguras com seus clientes. Depois de publicar seu site, a instalação do certificado SSL deve ser a próxima etapa na lista de verificação de segurança do WordPress.

Em seguida, ative o redirecionamento HTTPS, para que os visitantes sempre acessem seu site usando a conexão segura. O protocolo HTTPS criptografa os dados transmitidos entre o servidor de hospedagem e os visitantes. Em outras palavras, protege todos os dados trocados.

6. Adicione segurança extra à página de login

Siga as próximas etapas para proteger seu site WordPress por meio de sua página de login.

1. Use uma senha forte

Inúmeras violações de sites foram bem-sucedidas devido a senhas roubadas. Para evitar isso, defina uma senha forte que contenha no mínimo 16 caracteres. Certifique-se de que a senha inclua caracteres maiúsculos e minúsculos, números, caracteres especiais e separadores.

Ler:  Como usar o Hubspot CRM para produtividade no WordPress

Não use a mesma senha para seu painel wp-admin, bancos de dados, conta de protocolo de transferência de arquivos (FTP) e conta de hospedagem. Os hackers usam bots para verificar se uma senha roubada de uma conta online também é usada com outras contas.

Você pode criar facilmente diferentes senhas fortes usando alguns dos vários geradores de senhas online ou usando Gerenciador de usuários WP.

Além disso, é melhor se você for o único acessando e mantendo seu site WordPress. Se você precisar conceder acesso a outros usuários, limite o acesso deles desativando as permissões de administrador para edição de arquivos. Ao fazer isso, seu site permanecerá seguro e o conteúdo poderá ser atualizado regularmente por diferentes usuários.

2. Limite as tentativas de login

Uma das melhores maneiras de proteger seu site WordPress contra ataques de força bruta é limitar as tentativas de login. As configurações padrão do WordPress permitem tentativas de login ilimitadas. Os hackers usam isso a seu favor, implantando bots para adivinhar senhas.

Dependendo dos servidores e dos recursos dos invasores, eles podem verificar de alguns milhares até um bilhão de senhas por segundo.

Isso pode ser simplesmente evitado limitando as tentativas de login. Por exemplo, você pode bloquear temporariamente o usuário que teve três tentativas de login malsucedidas.

Limitar as tentativas de login é fácil. Tudo que você precisa fazer é instalar o Limitar tentativas de login recarregadas Plug-in WordPress. Uma versão gratuita do plugin será suficiente.

Depois de instalar o plugin, basta abrir as configurações e configurar após quantas tentativas fracassadas você deseja bloquear usuários.

3. Desconecte automaticamente usuários inativos

Os hackers podem usar um método de sequestro de cookies para violar seu site. É por isso que é essencial definir um logout automático para todos os usuários ociosos.

A maneira mais fácil de implementar a configuração para desconectar automaticamente usuários inativos é instalar o Logout inativo plugar. Depois de instalar o plugin, vá até a página de configurações do plugin e defina após quantos segundos deseja desconectar o usuário inativo.

7. Faça backup do seu site regularmente

Uma das melhores maneiras de proteger o seu site WordPress é fazer backup frequente do seu site e de bancos de dados importantes. Você não quer se encontrar em uma situação em que seu site seja hackeado ou entre em conflito com o tema do plug-in e não tenha um backup armazenado com segurança para restaurá-lo.

Você pode fazer backup facilmente do seu site WordPress usando alguns dos plug-ins de backup gratuitos ou premium do WordPress. A maioria dos plug-ins gratuitos de backup do WordPress fornecerá a opção básica de backup com um clique.

A maioria dos plug-ins premium de backup do WordPress incluem:

  • Backups automáticos, agendados e criptografados.
  • Backups em tempo real, que fazem backup do seu site após cada modificação.
  • Backups de banco de dados.
  • Armazenamento de backup extra.
  • Clonagem e migração de sites com um clique.
  • Integração de serviços de terceiros para seu armazenamento de backup.
  • Recursos de segurança adicionais, como detecção de malware.

Alguns dos melhores plug-ins de backup do WordPress são Atualização Plus, BlogVault, Duplicadore Backup do Jetpack.

Hostinger tem uma excelente política de backup. Todos os planos de hospedagem na web Hostinger incluem backups diários gratuitos criados automaticamente que são mantidos em um servidor de backup remoto. Seus backups estarão totalmente seguros, pois serão acessíveis apenas pelos sistemas internos do Hostinger e pela equipe de suporte.

Ler:  O que postar no LinkedIn como agência

8. Altere o nome de usuário do administrador do padrão

Durante a instalação do WordPress, você será solicitado a inserir seu nome de usuário. Nunca pule esta parte – certifique-se de escolher um nome de usuário personalizado. Se o seu nome de usuário for “admin”, altere-o imediatamente. Usar o nome de usuário padrão torna você mais vulnerável a ataques de força bruta.

9. Use autenticação de dois fatores (2FA)

Não importa quão forte seja sua senha e quantas vezes você a altere, há inúmeras maneiras de ela ser comprometida. Usar sua senha como método único de autenticação não é seguro o suficiente.

Vários plug-ins de autenticação em duas etapas estão disponíveis no site WordPress. Os plug-ins de autenticação de dois fatores são fáceis de instalar e usar.

Alguns dos mais populares são:

10. Desative a edição de arquivos

No painel wp-admin, você pode editar arquivos, temas e plugins. Se alguém mal-intencionado obtiver acesso aos seus arquivos, seu site estará em perigo. Portanto, você deve desativar a edição de arquivos.

Isso pode ser feito em questão de segundos com um pouco de código. Insira isto em seu arquivo wp-config.php:

// Não permitir edição de arquivo define( ‘DISALLOW_FILE_EDIT’, true ); define(‘DISALLOW_FILE_MODS’, verdadeiro);

Se você não quiser mexer no código, alguns plug-ins de segurança do WordPress permitem desativar a edição de arquivos com apenas um clique. Exemplos incluem MalCare e Segurança tudo-em-um (AIOS).

11. Desative a execução de arquivos PHP

Os hackers podem enviar arquivos maliciosos para o seu site e comprometê-lo. Mas é simples desabilitar a execução de arquivos PHP (Hypertext Preprocessor) para impedir a execução de scripts PHP maliciosos.

Tudo que você precisa fazer é criar um arquivo de texto .htaccess em seu computador e inserir o seguinte código dentro dele:

Ordem Permitir,Negar Negar de todos

Em seguida, carregue o arquivo de texto .htaccess para seus diretórios /wp-content/uploads e /wp-includes com um cliente FTP ou através do aplicativo FileManager em seu painel cPanel. Fazer isso impedirá que arquivos PHP sejam executados nesses diretórios.

12. Proteja seu banco de dados

O banco de dados WordPress é o centro de um site WordPress. Ele armazena quase tudo encontrado em um site WordPress, desde postagens e páginas até usuários e outras opções de sites personalizados. Portanto, os bancos de dados WordPress são um dos maiores alvos dos hackers.

Siga estas etapas para proteger seu banco de dados WordPress:

  1. Altere o nome de usuário de administrador padrão se você o ignorou durante a instalação.
  2. Limite os privilégios do usuário.
  3. Altere o ID de administrador padrão.
  4. Altere o prefixo padrão do banco de dados.
  5. Sempre crie backups antes de fazer qualquer alteração no banco de dados.
  6. Exclua tabelas personalizadas se você remover uma extensão de site.

13. Desative a navegação no diretório

Para desabilitar uma visão da estrutura de seus diretórios e estruturas de arquivos para outros usuários, que poderiam procurar possíveis falhas de segurança, você deve desabilitar a navegação em diretórios.

Tudo que você precisa fazer é adicionar a próxima linha de código ao arquivo .htaccess, que você pode encontrar no diretório raiz da instalação do WordPress:

Opções Todos -Índices

Ao desativar a navegação no diretório, você reduziu significativamente a possibilidade de seu site WordPress ser hackeado.

14. Proteja seu arquivo .htaccess

O arquivo .htaccess permite controlar as permissões dos arquivos. Isso significa que você pode definir permissões de acesso especiais para todos os arquivos e tipos de arquivos. Para proteger seu arquivo .htaccess, vá até o diretório raiz e insira o seguinte código.

Observe que você precisa ativar a opção “mostrar arquivos ocultos” em seu Gerenciador de Arquivos cPanel para poder vê-lo:

Ler:  Revisão do WP 2FA: o site WordPress mais bem avaliado pelos usuários...

ordenar permitir, negar negar de todos satisfazer todos

O código que você inseriu bloqueará o acesso de todos que não têm privilégios de administrador aos arquivos começando com .hta e protegerá seu arquivo .htaccess.

15. Exclua temas e plug-ins inativos

Plug-ins antigos e não utilizados estão cheios de vulnerabilidades e podem ser facilmente explorados. Para evitar que hackers explorem seu site dessa forma, remova todos os temas e plug-ins que você não está usando. Além disso, certifique-se de atualizar frequentemente aqueles que você está usando.

16. Altere o link de login padrão do WordPress

O URL de login padrão do WordPress é domainname.com/wp-admin. Se você deixar o link de login nas configurações padrão, será mais fácil para os hackers implantarem um ataque de força bruta.

Se você já limitou as tentativas de login, o link de login padrão não deve representar um grande problema. Mas uma camada extra de precaução é sempre uma boa ideia.

17. Desative o protocolo XML-RPC

O protocolo de chamada de procedimento remoto Extensible Markup Language (XML-RPC) foi criado pela primeira vez para permitir a comunicação entre o WordPress e outros sistemas. Por exemplo, se você estava usando um aplicativo WordPress em seu dispositivo móvel, estava usando o protocolo XML-RPC.

Hoje em dia, o protocolo XML-RPC está desatualizado e a API REST permite que o WordPress se comunique com outros sistemas.

A maior desvantagem de usar o protocolo XML-RPC em seu site WordPress é que ele apresenta uma falha de segurança. Ao limitar as tentativas de login em seu WordPress, você não limitou as tentativas de login XML-RPC.

Embora existam plug-ins WordPress para desativar o protocolo XMLRPC, o protocolo pode ser facilmente desativado usando o arquivo .htaccess. Abra seu arquivo .htaccess.

Logo abaixo de , insira este código:

# Inicia o bloqueio de XMLRPC Order Deny,Allow Deny from all permit from 127.0.0.1 errordocument 401 default errordocument 403 default errordocument 404 default errordocument 411 default # Conclui o bloqueio de XMLRPC

Se você precisar habilitar o acesso XML-RPC para um endereço IP específico, basta adicionar o endereço IP abaixo. Por exemplo:

# Iniciar bloqueio de XMLRPC Ordem Negar, Permitir Negar de todos permitir de 127.0.0.1 permitir de 192.168.1.1 errordocument 401 default errordocument 403 default errordocument 404 default errordocument 411 default # Concluir bloqueio de XMLRPC

18. Oculte o número da sua versão do WordPress

Se os hackers puderem ver o número da sua versão do WordPress, eles saberão antecipadamente quais são os problemas de segurança do seu site. Por causa disso, a maioria dos plug-ins de segurança premium inclui uma opção para ocultar o número da sua versão do WordPress.

No entanto, você pode ocultar facilmente o número da sua versão do WordPress adicionando a próxima linha de código ao arquivo functions.php que pode ser encontrado no diretório do seu tema:

remove_action(‘wp_head’, ‘wp_generator’);

Proteja seu site WordPress contra vulnerabilidades

Agora que examinou nossa lista de verificação de segurança do WordPress, você sabe como proteger um site WordPress. Certifique-se de manter tudo atualizado, alterar todas as senhas com a maior frequência possível e verificar regularmente se há malware em seus dispositivos locais.

Procurando um provedor de hospedagem seguro para o seu site WordPress? Então confira a hospedagem WordPress gerenciada da Hostinger.

Tornamos a configuração do seu site fácil e acessível, e nossa equipe de suporte ao cliente está sempre disponível. Confira nossos pacotes de hospedagem e entre em contato conosco para começar hoje mesmo.

Novas publicações:

Recomendação