Como proteger seu site WordPress com WordFence

Guia de instalação e configuração do WordFence Security

O Wordfence é uma ótima maneira de aumentar a segurança de um site WordPress, mas é um plugin bastante complexo.

Não é óbvio quando você o instala quais são as configurações ideais. Espero que este post esclareça tudo isso para você e ofereça as melhores configurações para a instalação do Wordfence.

Com este post, mostrarei como, usando o plugin Wordfence Security, você pode proteger seu site WordPress contra hackers, para que não precise mais se preocupar com isso. Vou mostrar como instalar o WordFence no seu servidor e configurá-lo com as configurações ideais. Do início ao fim, você deve levar cerca de 30 minutos para instalar e configurar corretamente o plugin do Wordfence Security.

Quando terminarmos, seu site estará protegido e você poderá relaxar sabendo que fez o possível para impedir que hackers tenham acesso a ele. Em primeiro lugar, vamos dar uma olhada na atividade dos hackers e no que eles estão procurando.

Por que os hackers querem invadir seu site WordPress?

Existem algumas razões para isso:

  • Eles querem roubar qualquer informação oculta que o site possa conter. Podem ser detalhes de clientes, endereços de email, detalhes de login em outros sites;
  • Eles querem derrubar seu site e deixar uma mensagem desagradável na página inicial;
  • Eles desejam instalar um vírus ou malware no seu servidor para que possam criar links com spam ou enviar vírus aos visitantes usando suas contas de email.

Então, como eles obtêm acesso?

  • Os hackers executam programas que constantemente fazem ping em sites. Depois que eles encontrarem um site, o software continuará tentando nomes de usuário e senhas de login aleatórios até obterem acesso;
  • Eles encontram um buraco no seu código ou em um dos plugins que você está usando. Essa é uma rota mais complexa para o seu servidor ou site, mas isso pode ser feito se você tiver uma vulnerabilidade no seu código. É por isso que é importante atualizar o Windows e também manter seu site e seus plugins atualizados quando novas versões são lançadas;
  • De maneira semelhante, hackers encontram uma violação de segurança no próprio servidor Web ou contas de FTP. Novamente, tentando combinações de admin, senha, etc, para nomes de usuário de login.

Wordfence: a melhor maneira um de proteger seu site WordPress

O Wordfence é um plugin gratuito (embora exista uma versão premium) que você pode instalar no seu site WordPress, o que ajuda a protegê-lo contra hackers e seus ataques. Se um hacker conseguir passar e instalar um malware, por exemplo, o WordFence também ajudará a removê-lo.

O Wordfence ajuda a proteger seu site das seguintes maneiras principais.

Firewall do terminal:

O Wordfence usa um Endpoint Firewall, que analisa todo o tráfego de dados antes de chegar ao seu site. Se ele detecta um hacker, ele o bloqueia antes que ele possa acessar seu site.

Scanner de malware:

O Wordfence possui um scanner de malware embutido que verifica regularmente seus arquivos, plugins e temas em busca de malware.

Ele também verifica suas páginas e posts em busca de links que os hackers podem ter inserido no código.

É claro que você pode atualizar para a versão premium do WordFence e obter ainda mais proteção. No momento da redação deste post, a versão premium custa US $ 99 por um site por ano.

Reparo de arquivo do WordFence:

O Wordfence possui um sistema de reparo de arquivos que permite:

  • Encontrar arquivos corrompidos;
  • Fazer o download do arquivo original para compará-lo ao arquivo alterado e ver as diferenças;
  • Exibir e reparar o arquivo de volta ao seu estado original.

O Wordfence também monitora ataques em tempo real.

Wordfence versão Premium ou não?

Então, qual é a diferença entre a versão gratuita e a versão premium?

Essas são as principais diferenças, embora o Wordfence altere isso de tempos em tempos se adicionarem recursos adicionais:

Lista negra de IP em tempo real

Isso bloqueia em tempo real todos os endereços IP conhecidos que estão atacando sites WordPress pelo mundo no momento.

Atualizações do firewall em tempo real

O WordFence monitora todo o tráfego na rede e atualiza novamente em tempo real as regras do firewall.

Bloqueio de país

Permite literalmente bloquear um país inteiro de acessar seu site.

Atualizações de assinatura de malware

O firewall e o scanner do WordFence dependem de assinaturas de malware para ajudar a identificar o malware no seu site. Com a versão premium, isso acontece em tempo real.

Atualizações automáticas

Atualizações para o WordFence conforme necessário. Usuários gratuitos esperam por isto por 30 dias.

Verificações de reputação

Verifica se o seu site ou IP está listado nas listas negras de spam ou atividade maliciosa.

Como instalar e configurar o Wordfence

Uma coisa é instalar todos aqueles plugins sofisticados e outra (completamente diferente) é saber como configurá-los corretamente.

O WordFence não é diferente, pois é bastante complexo e algumas das regras pode fazer com que você simplesmente não entenda qual é a melhor configuração. Portanto, nesta seção, mostrarei como instalá-lo em um site novo usando a versão gratuita e, mais importante, como configurá-lo.

Então, vamos começar com:

  • Entre no seu painel de administrador do WordPress;
  • No menu à esquerda, selecione plugins;
  • Agora clique no botão “Adicionar novo”;
  • Digite “WordFence” na caixa de pesquisa no canto superior direito e pressione “Enter”.

Agora você deve estar vendo algo assim.

Clique em “Instalar agora” no WordFence Security e aguarde alguns segundos enquanto o plugin está instalando. O botão mudará para Ativar. Clique em “Ativar” assim que puder.

Depois de ativá-lo, esta pequena tela será exibida:

Digite seu endereço de e-mail e decida se deseja atualizações por e-mail ou não. Em seguida, marque a caixa e clique em “Continuar”.

A próxima tela permite que você atualize para premium. Aqui, você pode inserir sua chave premium (se já a tiver), ou apenas clicar em “Não, obrigado” (se não tiver), pois poderá atualizar mais tarde, se desejar.

O WordFence agora está instalado no seu site WordPress. Agora vem a parte em que todos encontram dificuldades. Como configurá-lo corretamente.

Configurando o Wordfence da maneira correta

Depois de ativar o plugin, ele aparecerá no seu menu à esquerda:

Se você clicar neste link, será direcionado para o painel e uma pop-up será exibida na versão atual com esta aparência

Quando você abre cada nova seção, uma dessas pop-ups mostra o que essa seção pode fazer. Você pode clicar em “Avançar“, “Avançar”, etc. Se quiser pode ler cada uma delas ou apenas fechá-las com o pequeno “x” no canto superior direito da caixa.

Para nossos propósitos, desejo que você clique em “Avançar” em todas as caixas e, em seguida, volte para o topo da página e selecione “CLIQUE AQUI PARA CONFIGURAR”

Isso abrirá esta caixinha para você:

Pressione o botão de download .HTACCESS e salve o arquivo em algum lugar seguro. Estamos fazendo o download do nosso arquivo .htaccess porque o WordFence fará alterações neste arquivo do servidor. Portanto esse é o seu backup, se algo der errado aqui.

Depois de baixá-lo, clique em “Continuar”. Na verdade, você não poderá clicar em “Continuar” até clicar em DOWNLOAD

Em seguida, você verá esta pequena mensagem:

Clique em FECHAR para voltar à área de trabalho do WordFence. Agora você verá isso:

Quero que você clique em “Sim, ative a atualização automática”.

Fez? Ótimo. Essa mensagem desapareceu e você deve voltar ao painel.

Olhando para o seu painel, agora você verá que o firewall está no modo de aprendizado. Isto é normal. Depois de concluir o aprendizado, ele mudará automaticamente para Ativado e Protegendo.

Agora, quero analisar todas as outras configurações que você precisa definir.

Definindo configurações avançadas do WordFence

Agora eu quero que você volte ao menu à esquerda e clique em “Todas as opções”. Como a imagem abaixo:

Isso levará você à página da imagem seguinte. Clique em Expandir tudo nesta página para que fique assim:

Existem muitas opções aqui e eu vou percorrer cada seção para que você possa configurá-las corretamente:

Licença do WordFence:

Esta você pode deixar como está. Você só mudaria isso se atualizasse para a versão premium e desejasse adicionar sua licença premium aqui.

Exibir personalização:

Defina sua personalização de exibição como esta com o item de menu “Todas as opções” selecionado.

Configurações gerais do WordFence:

Defina suas configurações gerais do WordFence como as minhas:

  • Adicione o endereço de e-mail para o qual você deseja enviar alertas;
  • Defina “Deixe o WordFence usar o método mais seguro para obter os endereços IP dos visitantes;
  • Pause atualizações ao vivo quando a janela perde o foco;
  • Defina o intervalo de atualização em segundos definido como 15;
  • Exclua tabelas e dados do WordFence na desativação.

Opções de notificação do painel:

  • Verifique se o Status da digitalização está marcado

Preferências de alerta por email:

Este você pode definir como quiser. É uma lista de coisas sobre as quais você será notificado por e-mail se elas ocorrerem.

Relatório de atividade:

Para esta opção, selecione “Ativar widget de relatório de atividades no painel do WordPress”.

Opções de firewall

Opções básicas de firewall:

Como você pode ver na imagem seguinte, normalmente um site está fora do modo de aprendizado e em “Ativado e protegido”.

Opções avançadas de firewall:

Verifique se esta seção se parece com a imagem abaixo.

Regras:

Certifique-se de clicar no botão “Expandir todas as regras” e, em seguida, verifique se TODAS as regras do firewall estão marcadas.

Proteção de força bruta:

Defina a proteção de força bruta da seguinte maneira:

  • Bloquear após quantas falhas de login = 20
  • Bloquear após quantas tentativas de senha esquecidas = 20
  • Contar falhas em que período = 4 horas
  • Tempo que um usuário fica bloqueado = 4 horas
  • Bloquear imediatamente nomes de usuário inválidos = não ativado
  • Impedir o uso de senhas vazadas em violações de dados = ativado

Opções adicionais:

Para as configurações adicionais de força bruta, defina-as da seguinte forma:

  • Aplicar senhas fortes = ativado
  • Não deixe o WordPress revelar usuários válidos em erros de login = ativado
  • Impedir que os usuários registrem o nome de usuário ‘admin’ se ele não existir = ativado
  • Impedir a descoberta de nomes de usuário por meio de varreduras ‘/? Author = N’, a API oEmbed e a API REST do WordPress = marcada
  • Bloquear IPs que enviam solicitações POST com User-Agent e Referer em branco = não ativado
  • Verifique a força da senha na atualização do perfil = ativado
  • Participe da Rede de segurança do Wordfence em tempo real = ativado

Limite de taxa:

Para limitar a taxa, defina-os da seguinte forma:

  • Ativar limite de taxa e bloqueio avançado = Ativado
  • Bloquear imediatamente rastreadores falsos do Google = marcado
  • Como devemos tratar os rastreadores do Google = Os rastreadores verificados do Google têm acesso ilimitado
  • Se as solicitações de alguém excederem = 240 por minuto, limpe-o
  • Se as visualizações da página de um rastreador excederem = 240 por minuto, reduza-a
  • Se as páginas de um rastreador não encontradas (404s) excederem = 30 por minuto, bloqueie-o
  • Se as visualizações de página de um ser humano excederem = 240 por minuto, acelere-o
  • Se as páginas de um ser humano não encontradas (404s) excederem = 15 por minuto, bloqueie-o
  • Por quanto tempo um endereço IP é bloqueado quando quebra uma regra = 5 minutos

URLs da lista de permissões:

Em uma nova instalação, a seção URLs da lista de permissões estará vazia. O Wordfence adicionará URLs a esta lista e você também pode adicioná-los manualmente.

Opções de bloqueio

As opções de bloqueio em todo o país estão disponíveis apenas na versão premium; portanto, na sua instalação gratuita, será semelhante a isso.

Opções de digitalização

Programação de digitalização:

Defina o seguinte aqui para opções de digitalização:

  • Programar varreduras do Wordfence = Ativado
  • Deixe o Wordfence escolher quando digitalizar meu site (recomendado) = Ativado
  • Verificação personalizada

Opções gerais:

Defina as seguintes opções de digitalização:

Opções de desempenho:

Use as seguintes configurações de desempenho:

  • Use a varredura de poucos recursos (reduz a carga do servidor aumentando a duração da varredura) = Verificado
  • Limite o número de problemas enviados no email de resultados da verificação = 500
  • Limite de tempo em que uma verificação pode ser executada em segundos = vazio
  • Quanta memória o Wordfence deve solicitar ao digitalizar = 100
  • Tempo máximo de execução para cada estágio de verificação = 0

Opções avançadas de digitalização:

Você pode deixar esses dois em branco.

Opções da ferramenta

Opções de tráfego ao vivo:

Para as opções de tráfego ao vivo, defina-as como as da imagem abaixo:

As duas opções restantes nesta página são as opções de importação e exportação. Você pode salvar todas essas configurações e exportá-las e, se configurar um novo site, importe-as todas. É o que fazemos para os clientes e agiliza todo o processo.

Ótimo trabalho, você já concluiu todas as principais configurações do WordFence. O WordFence agora trabalhará para manter seu site protegido de todos os hackers existentes. Enviará por e-mail detalhes das verificações e possíveis ameaças. Como em todos os plugins do WordpRess, mantenha-o atualizado com as novas versões assim que estiverem disponíveis para você.

Se você precisar de ajuda com a instalação do seu site ou plugin, envie uma mensagem para nós.