A segurança do WordPress é um dos tópicos mais importantes para qualquer proprietário de site. Esteja você gerenciando uma loja de comércio eletrônico ou 50 sites de clientes, sofrer uma violação de segurança pode significar perda de tempo, dinheiro e credibilidade – coisas que ninguém quer enfrentar.
Alimentando mais de um milhão de sites em todo o mundo, o WordPress é o favorito entre designers e desenvolvedores de sites. Mas, essa popularidade tem um preço. Isso torna os sites WordPress o alvo preferido dos hackers, tornando a segurança do WordPress uma grande preocupação para os proprietários de sites.
Embora não haja uma solução de segurança “tamanho único” para todos os sites WordPress, existem algumas práticas recomendadas que podem causar um grande impacto. Neste artigo, explicaremos por que os sites são invadidos, compartilharemos dicas de segurança fáceis de implementar em seu fluxo de trabalho e mostraremos como.
Naturalmente, isso nos leva à próxima pergunta sobre a segurança do WordPress.
WordPress é seguro?
A resposta curta: sim. Como plataforma, o WordPress é seguro. Seus desenvolvedores garantem periodicamente sua segurança e lançam atualizações e patches assim que uma vulnerabilidade é exposta para proteger os sites WordPress de hackers .
Mas a verdade é que nenhum site WordPress existe isoladamente. Ele usa plugins e temas de terceiros, é desenvolvido e gerenciado por pessoas que nem sempre seguem as melhores práticas de segurança do WordPress .
Um exemplo é quando os proprietários de sites não conseguem instalar as atualizações do WordPress e continuam a executar seus sites em versões desatualizadas e, portanto, conhecidas e vulneráveis.
Um bom plano de segurança do WordPress é uma base sólida de práticas de segurança que garantem que seja mais difícil para os hackers alcançar, obter acesso e danificar seu site.
Reunimos este guia de segurança do WordPress para que você saiba exatamente como proteger um site WordPress.
16 práticas recomendadas para segurança do WordPress
Vamos agora descer para16 das melhores práticas comprovadas de segurança do WordPress que podem manter seu site protegido contra hackers:
Use hospedagem segura
Sua hospedagem WordPress é responsável pela segurança no nível do servidor web do seu site. Quando se trata de segurança do site WordPress, tente mudar para uma hospedagem segura ou mais gerenciada. Uma das maneiras de começar é encontrar uma hospedagem que pode oferecer recursos de segurança, como certificação SSL, backups regulares e serviços de verificação de malware.
Empresas de hospedagem como Hostgator são as melhores opções para hospedar sites WordPress.
Além disso, se você estiver hospedando seu site em uma hospedagem compartilhada (que hospeda vários sites), provavelmente é um bom momento para mudar para hospedagem gerenciada com recursos de servidor dedicados. Com a hospedagem gerenciada, você melhora a velocidade do site e a experiência do usuário, o que pode ajudar a complementar seus esforços de SEO.
Crie senhas fortes
A medida de segurança mais fácil do WordPress é garantir que cada nova conta de usuário seja configurada com senhas fortes para impedir ataques de força bruta. Esses ataques obtêm acesso não autorizado à conta ao adivinhar as credenciais corretas do usuário. A melhor maneira de estar melhor preparado contra eles é criando senhas mais fortes e difíceis de adivinhar.
Senhas fracas como “12346” ou “senha” facilitam a vida dos hackers. Certifique-se de que suas senhas sejam alfanuméricas, com uma mistura de letras, números e caracteres especiais como @ ou _. Altere suas senhas regularmente (a cada 3 ou 6 meses), para que seu site permaneça protegido o tempo todo.
Ativar autenticação de dois fatores (2FA)
Embora senhas mais fortes sejam obrigatórias, adicionar outra camada de segurança, como um 2FA, é uma jogada inteligente para proteger seu site. No 2FA, uma senha única (OTP) ou código secreto é enviado ao seu dispositivo depois que você insere suas credenciais de login na primeira etapa. Você precisa inserir este código na segunda etapa.
Simplificando, o 2FA adiciona outra camada de proteção ao seu login.
Para sites WordPress, tudo o que você precisa fazer para habilitar o 2FA é instalar um plug-in 2FA como o Google Authenticator.
Adicione Captcha aos seus formulários
Como você provavelmente percebeu, bloquear a página de login do seu site é extremamente importante. Essa não é a única forma em que você deve se concentrar, no entanto. Não se esqueça dos comentários do blog, das páginas de checkout ou de qualquer outro formulário aberto no seu site!
Cada um desses formulários apresenta oportunidades para os hackers enviarem informações ao seu site, como links maliciosos em um comentário. Mesmo que não afete diretamente o desempenho do seu site, ter links obscuros criará uma experiência de usuário confusa e pode até prejudicar seus negócios.
Para evitar esse tipo de atividade, você pode instalar um plugin do WordPress como o Google Captcha (reCAPTCHA) da BestWebSoft .
Altere seu nome de usuário “admin” padrão
Você continua a usar seu administrador padrão do WordPress com o nome de usuário “admin”? Isso pode ser uma ameaça à segurança e pode facilitar ataques de força bruta em sua página de login.
A solução prática para proteger a página de login do WordPress é alterar o nome de usuário do administrador padrão para algo mais exclusivo e difícil de adivinhar. Outra opção é remover o usuário administrador padrão e criar um novo administrador com um nome de usuário exclusivo.
Evite ataques de força bruta
Lembra que discutimos ataques brutos no ponto 2? Bem, senhas fortes e 2FA não são suficientes para evitar ataques de força bruta, pois os hackers ainda podem criar novas maneiras de adivinhar as credenciais do usuário. Então, você precisa de mais para proteger suas páginas de login.
Seguem algumas medidas adicionais:
- Tente limitar o número de tentativas de login a um máximo de 3 ou 4.
- Configure todos os usuários (incluindo administradores) com nomes de usuário exclusivos.
- Oculte a página de login ou URL do WordPress.
- Use soluções de segurança como malware para bloquear ataques maliciosos proativamente
Mantenha seu site sempre atualizado
Não podemos enfatizar isso o suficiente – a maioria dos hacks bem-sucedidos acontece em sites WordPress com versões de software antigas ou desatualizadas. Portanto, continuar executando seu site em uma versão de software mais antiga pode ser um grande risco de segurança.
Os hackers costumam explorar falhas de segurança em versões mais antigas do WP para obter vantagem. Uma das práticas mais eficazes para garantir a segurança dos sites WordPress é atualizar regularmente o núcleo do WordPress, bem como os plugins e temas instalados para a versão mais recente do WordPress.
Faça backup regularmente do seu site
Embora não seja estritamente uma medida de segurança, a segurança do WordPress fica incompleta sem backups regulares dos arquivos do site e das tabelas do banco de dados. Ter um backup prático garante que você minimize o tempo de inatividade e o risco de perda de dados.
Embora você possa fazer backups manualmente, plug-ins de backup automatizados como BlogVault ou BackupBuddy podem ajudá-lo a agendar backups na frequência de sua escolha.
Adicionar um certificado SSL
O que faz um certificado SSL? Efetivamente, o SSL (ou Secure Socket Layer) criptografa todos os dados transmitidos entre seu site e o navegador do usuário.
Mova seu site de HTTP para HTTP seguro (ou HTTPS) para garantir a segurança de seus dados e dos visitantes de seu site. Há outra vantagem de mudar para HTTPS. Um site habilitado para SSL também é favorecido e classificado mais alto pelo mecanismo de pesquisa do Google.
Você pode obter uma certificação SSL de sua empresa de hospedagem atual – ou obtê-la independentemente usando plug-ins SSL de terceiros, como Let’s Encrypt ou DigiCert.
Fortaleça seu site WordPress
Se você pretendia proteger seu site de uma variedade de ataques online, as medidas de proteção do WordPress são medidas técnicas recomendadas pela equipe de segurança do WordPress.
Algumas das medidas de proteção incluem bloquear a execução de arquivos PHP, desabilitar a edição de arquivos e alterar as chaves de segurança, etc.
Se você está procurando uma maneira fácil de proteger seu site, pode usar a funcionalidade de proteção interna do WordPress que os plug-ins de segurança do WordPress, como o MalCare, contêm. Você pode usar o fluxo de trabalho de proteção do WordPress do MalCare para implementar a maioria das medidas de proteção com apenas alguns cliques por meio de seu painel.
Limite o acesso do usuário ao seu site.
O acesso ilimitado do usuário a áreas críticas do WordPress, como o painel do administrador, pode ser um grande risco de segurança. Quanto maior o número de usuários autorizados, mais fácil é para os hackers comprometer qualquer uma dessas contas de usuário e obter acesso ao site.
Uma maneira comprovada de tornar o WordPress seguro é limitar o acesso apenas a usuários confiáveis ou com direitos de administrador. Usuários com privilégios menores, como assinantes ou colaboradores, devem ser configurados com acesso restrito.
Use um plug-in de segurança do WordPress
Uma das razões pelas quais recomendamos um plug-in de segurança automatizado é que você não pode proteger manualmente seu site contra vários hacks 24 horas por dia, 7 dias por semana – o dia todo, todos os dias. Os plug-ins de segurança são projetados para verificar e detectar continuamente malware em seu site, para que possam detectar (e limpar) malwares ainda mais difíceis de detectar que você pode perder.
Há outra razão pela qual os plugins de segurança são provavelmente a melhor maneira de proteger um site WordPress. Plugins de segurança como Sucuri e MalCare, além da verificação e remoção de malware, também combinam a maioria das etapas mencionadas neste guia de segurança do WordPress.
Por exemplo, o plug-in de segurança MalCare combina as medidas de login do WordPress, como gerenciamento de usuários, 2FA etc.
Desativar XML-RPC no WordPress
Também conhecido como XML Remote Procedure Call, o recurso XML-RPC no WordPress permite que usuários remotos façam upload de arquivos para o seu site WordPress. Este é um recurso de versão mais antiga do WordPress, que ainda está ativo nas versões mais recentes. Como isso pode ser uma ameaça à segurança, é recomendável desabilitar esse recurso.
Tudo o que você precisa fazer é instalar e ativar o plug-in “Desativar XML-RPC” para sites WordPress.
Desativar navegação no diretório
Para sites auto-hospedados, o recurso de navegação no diretório é conveniente – mas pode ser explorado por cibercriminosos para procurar plug-ins/temas vulneráveis e arquivos de sites de back-end. Os hackers podem usar ferramentas de FTP para obter acesso ao diretório de instalação do WordPress e explorar os arquivos de back-end.
A melhor maneira é desabilitar a navegação no diretório usando a ferramenta FileZilla FTP. Você pode fazer isso adicionando uma linha ao seu arquivo “.htaccess”.
Opções -Índices
Ocultar versão do WordPress
Recomendado para todos os usuários do WordPress, ocultar ou remover a versão do WordPress pode ser eficaz para interromper a maioria dos ataques cibernéticos. Depois que os hackers conhecem sua versão do WordPress, eles podem explorar vulnerabilidades específicas dessa versão.
Você pode executar essa tarefa fazendo alterações manuais em seu código. Para fazer isso, você precisa colocar um código no arquivo function.php conforme mostrado abaixo:
Etapa 1: Na sua conta de host, navegue até a pasta public_html (cPanel > Gerenciador de arquivos > public_html).
Passo 2: Dentro da pasta public_html, acesse wp-content e selecione a pasta do seu tema ativo e procure o arquivo function.php.
Etapa 3: Clique com o botão direito do mouse no arquivo function.php e selecione Editar. Aqui, coloque o seguinte código.
[php]
function wpbeginner_remove_version() {
Retorna “;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);
[/php]
Salve essas alterações para remover o número da versão do WordPress de ser exibido em qualquer lugar do seu site.
Altere o prefixo do seu banco de dados
Os hackers podem facilmente atingir seu banco de dados do WordPress procurando por tabelas de banco de dados prefixadas com a notação padrão “wp_”. Você pode alterar facilmente esse prefixo padrão do banco de dados modificando o seguinte parâmetro no arquivo wp-config.php :
$table_prefix = ‘wp_’;
Cada uma dessas 15 medidas é projetada para melhorar a segurança do seu site WordPress. A seguir, veremos 6 vulnerabilidades comuns que continuam a afetar os sites do WordPress em 2022.
As vulnerabilidades de um site WordPress
Como os hackers tiram proveito de versões desatualizadas, bancos de dados inseguros e funções de usuário impróprias? Aqui estão seis tipos de vulnerabilidades comumente infligidas em sites WordPress:
Injeção SQL
Este ataque é direcionado a usuários do WordPress que usam o banco de dados MySQL para armazenar seus registros. Depois que os hackers obtêm acesso ao seu banco de dados do WordPress, eles podem facilmente assumir o controle do seu site. Com injeções de SQL, os hackers podem criar contas de usuário suspeitas com direitos de administrador para comprometer seu site.
Script entre sites (XSS)
Normalmente, scripts entre sites ou ataques XSS são facilitados quando os usuários do WordPress instalam um plug-in vulnerável em seu site. Isso carrega um código JavaScript malicioso que pode roubar dados valiosos sem ser detectado. Plugins de formulário online são comumente usados para ataques XSS.
Phishing
Para ataques de phishing, os hackers geralmente exploram a presença de um plug-in/tema desatualizado ou credenciais de login fracas. Depois de obter acesso ao site WordPress, eles assumem o controle e enviam e-mails de spam (com links ou anexos de spam) para a base de usuários registrados. Por meio do phishing, eles podem enganar usuários genuínos para compartilhar detalhes de cartão de crédito ou comprar produtos falsificados.
Escalação de Privilégios
O que acontece quando os hackers assumem o controle de uma conta de usuário com privilégios mais baixos, como um assinante ou colaborador? Eles não podem infligir muitos danos, e é por isso que usam a escalação de privilégios para substituir os privilégios de usuário existentes. Esse tipo de ataque também é causado por vulnerabilidades de plug-ins que permitem que eles substituam as permissões padrão atribuídas a eles.
Hack farmacêutico
Também conhecidos como spam de SEO, os hacks farmacêuticos são possíveis devido a plugins/temas vulneráveis ou credenciais fracas. Depois de obter acesso ao site, os hackers instalam o malware favicon.ico para atingir páginas da Web de alto escalão e infectá-las com palavras-chave de spam. O objetivo é listar o site de destino para palavras-chave que vendem produtos farmacêuticos falsos ou proibidos.
Hack de palavra-chave japonesa
Muito parecido com hacks farmacêuticos, o hack de palavras-chave japonesas injeta palavras-chave japonesas de spam em suas páginas da web.
Quando suas páginas da Web são indexadas pelos mecanismos de pesquisa, elas acabam sendo listadas nos resultados da pesquisa para essas palavras-chave não relacionadas e com spam. Usuários desavisados clicam nos links e são redirecionados para sites não solicitados executados por hackers.
Por que a segurança do WordPress é importante
As seis vulnerabilidades comuns discutidas na seção anterior são apenas algumas das formas mais conhecidas de os hackers atacarem sites WordPress. Um hack danifica mais do que apenas um site; pode afetar todos os aspectos do seu negócio. Aqui estão apenas algumas das maneiras pelas quais um hack faz isso.
- Causar alterações em páginas cruciais, como sua página inicial ou página de destino, afeta gravemente a experiência do usuário do site
- Comprometer dados confidenciais, como registros de clientes, por meio de violações de dados
- Causando tempo de inatividade que pode afastar o tráfego do site e diminuir sua classificação nos mecanismos de pesquisa
- Arriscar a segurança de seus usuários
- E, finalmente, prejudicando as receitas e a reputação
Embora nenhuma medida de segurança possa garantir 100% de proteção contra hackers, seguir essas 16 práticas é o melhor que você pode fazer para dificultar a vida dos hackers.
Em questões de segurança do WordPress, “é melhor prevenir do que remediar” é mais do que apenas outro clichê. Essas medidas são uma parte tão importante do plano de manutenção do seu site quanto a criação de conteúdo ou o foco em SEO.
Espero que você ache essas 16 medidas fáceis de implementar em seu site WordPress. Ainda precisa de ajuda? sinta-se livre para entrar em contato conosco.