Como proteger seu site WordPress em 12 passos

Qualquer um concordará que manter a sua casa ou escritório protegido dos ladrões é de fundamental importância.

Seu site requer a mesma segurança, se não mais medidas de proteção, já que os “ladrões” digitais são invisíveis. Você não verá ninguém “entrando” nas instalações do site. No entanto, em apenas alguns segundos, você poderá perder todos os seus dados, até mesmo os direitos de acesso ao seu próprio site.

Os ataques cibernéticos são sempre dolorosos e estressantes. No entanto, se você possui um site que coleta várias informações dos usuários (especialmente detalhes de cartão de crédito), você tem a obrigação legal de proteger esses dados.

A melhor maneira de fazer isso é evitá-lo, e há inúmeras ferramentas, aplicativos e truques que você pode usar para tornar seu site mais seguro. Veja alguns:

Faça backups frequentes

Manter backups para o seu site é extremamente importante.

Ser hackeado é doloroso, mas perder todo o seu site é um pesadelo, e a lista de razões pelas quais isso pode ocorrer é longa.

Caso o pior aconteça, mantenha tudo em backup, tanto no servidor e como no seu disco local. Confie em nós, é muito mais fácil restaurar uma versão recente e não corrompida do seu site do que criar tudo do zero.

Felizmente, se você investiu em um bom provedor de hospedagem, eles fazem backups automatizados regulares do seu site.

Caso contrário, você pode optar por uma alternativa manual.

Atualize sempre

Você não gostaria de comer uma refeição preparada com ingredientes velhos e estragados, certo?

Então, por que você faria isso no seu site?

Executar o seu site ou blog com softwares, plugins e temas desatualizados compromete muito a segurança WordPress.

Como, atualmente, a maioria dos hacks são totalmente automatizados (rodam com bots que continuam escaneando a web, procurando vulnerabilidades para invadir) recomendamos atualizar seu WordPress, temas e plugins assim que as atualizações sejam lançadas.

Apenas certifique-se de fazer backup do seu site antes de qualquer atualização, caso ocorra um erro durante o processo.

Plugins

Adicionar recursos extras e funcionalidades ao seu site é sempre tentador e emocionante.

Porém, sempre se certifique de que, cada vez que você optar por fazer o download e instalar um plugin em seu site, faça o download de uma fonte legítima.

Verifique quando foi a última vez em que foi atualizado. Ou seja, se o autor do plugin  parou de trabalhar nele e enviar atualizações, é um mal sinal. Verifique a data de lançamento e o número de instalações já realizadas. Todas essas informações fornecem uma melhor compreensão do quão o plugin é confiável.

Nomes de usuário e senhas

Verdade seja dita, “admin” e “123456” ou até mesmo o seu aniversário não são nomes de usuário e senhas seguros para serem usados ​​em seu site.

Existem algumas regras simples que você deve ter em mente ao criar uma senha:

1. Tem que ser complexo: usar nomes de seus animais de estimação, times de futebol favoritos, apelidos, etc. não é suficiente. Às vezes, até usar palavras reais aleatórias também não é bom o suficiente. Tem que ser um conjunto de letras e dígitos aleatórios. E há muitas ferramentas de geração de senha disponíveis na web para você obter ajuda.

2. Tem que ser único: nunca reutilize senhas. Ela precisa ser única, para todas as plataformas. Mesmo se alguém invadir sua conta de e-mail, não deverá ter acesso ao seu site, FTP, conta do Facebook e muito mais.

3. Tem que ser longo: recomendamos configurar senhas com pelo menos 12 caracteres. Isso também ajuda na questão de limites de vezes que o invasor não consegue fazer login no seu site. Quanto maior for a sua senha, menor o risco de ser hackeado.

Além disso, é recomendável alterar suas senhas a cada 3 a 6 meses, incluindo suas credenciais de login para sua hospedagem e FTP.

Limitar as tentativas de login

Geralmente, o WordPress não tem limites quanto ao número de vezes que você pode tentar fazer login em seu site, oferecendo aos hackers várias opções para testar diferentes combinações de nome de usuário e senha e entrar no painel de administração.

Felizmente, você pode alterar isso facilmente e definir um número fixo de tentativas fracassadas de login.

Para fazer isso, você precisará fazer o download e ativar um plugin chamado Login LockDown.

Em seguida, na guia Configurações, acesse o plugin Login LockDown e preencha suas preferências: o número máximo de tentativas fracassadas de login, repetição do período de tempo, duração do bloqueio etc. Tudo é bastante simples e direto. Sugerimos configurar até 5 novas tentativas fracassadas, não mais que isso.

Aplicativos de segurança (pagos ou gratuitos)

Enquanto não sejam 100% à prova de hackers, a vida de um administrador WordPress é definitivamente muito melhor com eles.

Não importa se você optar por um plugin de segurança gratuito ou pago, os dois tipos fornecerão uma camada adicional de proteção ao seu site.

Os plugins de segurança tornarão seu site ou blog mais resistentes a ataques automatizados, que geralmente rastreiam a Web em busca de loops e vulnerabilidades.

Alguns plugins a serem considerados são:

1. WordFence: um dos mais populares plugins de segurança do WordPress. Ele verifica diariamente o seu site em busca de infecções por malware. Ele irá verificar todos os arquivos do núcleo, tema e plugins do WordPress. Se encontrar algum tipo de infecção, você receberá uma notificação por e-mail. É ótimo para evitar ataques de força bruta e infecções por malware.

2. iThemes Security: com uma instalação do tipo “1 clique”, você pode interromper ataques automatizados e proteger seu site. Ele também corrigirá várias falhas comuns de segurança em seu site. Ele rastreia a atividade dos usuários registrados e adiciona autenticação de dois fatores, configurações de importação/exportação, expiração de senha, verificação de malware e várias outras coisas.

3. Acunetix WP Security: um plugin gratuito que verificará seu site WordPress quanto a vulnerabilidades de segurança e sugerirá medidas corretivas para proteger as permissões de arquivo, a segurança do banco de dados, suas senhas e proteção de administrador. Ele também ocultará a identidade do CMS do seu site.

4. BulletProof Security: outro plugin com instalação do tipo “1 clique”. Ele adiciona segurança de firewall, segurança de banco de dados, segurança de login e muito mais. Uma excelente ferramenta para monitorar a segurança do seu site.

5. Sucuri: uma autoridade globalmente reconhecida em todos os assuntos relacionados à segurança de sites, com especialização em Segurança do WordPress. A Sucuri oferece serviços de ajuda para aqueles que já foram hackeados, bem como proteção contra ataques. Você também pode experimentar o scanner de segurança WordPress gratuito para uma auditoria completa do estado de segurança atual do seu site.

Estas são apenas algumas ótimas ferramentas disponíveis para você testar. Há muito mais. Apenas lembre-se do conselho mencionado acima na seção “Plugins” sobre sempre realizar o download de fontes confiáveis ​​e prestar atenção ao número de instalações e atualizações.

Use HTTPS (certificado SSL)

Antes de mergulharmos mais profundamente neste assunto, deixamos claro dois fatos:

1. O certificado SSL não tornará seu site mais seguro contra tentativas de invasão.

2. A menos que você tenha um sistema de pagamento online em seu site ou um banco de dados de usuários incorporado (ou seja, os usuários tenham uma conta e compartilhem quaisquer informações pessoais, especialmente detalhes financeiros/de cartão), você realmente não precisa de um certificado SSL.

Um certificado SSL garante uma conexão criptografada segura entre um navegador (o visitante do site) e um servidor (seu site), protegendo, portanto, detalhes importantes trocados durante cada sessão (como detalhes de cartão de crédito ou senha, etc.)

Assim se seus usuários não compartilham quaisquer dados confidenciais com o seu site a necessidade de usar o HTTPS é mínima. Mas lembre-se que um certificado SSL é importante para SEO.

Nota: embora existam vários guias e tutoriais sobre como migrar de HTTP para HTTPS, e tudo parece fácil e direto, recomendamos consultar o suporte técnico antes de alternar para HTTPS, pois isso pode causar vários erros e links de sites quebrados, se não realizada corretamente.

Use um serviço CDN

Um CDN é uma Content Delivery Network que fornece nós de servidores alternativos (espalhados por todo o mundo) que proporcionam uma resposta e tempo de download mais rápidos para seus usuários.

As redes CDN são obrigadas a cumprir normas de segurança específicas para proteger os dados dos usuários, e muitas estarão em redes de nuvem que oferecem maior proteção contra ataques DDoS e outras ameaças de segurança.

E, embora isso seja usado principalmente para melhorar a velocidade do site e aumentar seu SEO, você achará isso útil ao implementar o Certificado SSL em seu site (o que demora um pouco mais em comparação com o handshake TCP não criptografado).

Não precisa ser velocidade ou segurança. Deve ser os dois.

Se você tem um site complexo e um orçamento maior, pode optar por algo como o MaxCDN. Caso contrário, o CloudFlare é um CDN gratuito que funcionará bem.

Oculte sua página de administração

Altere o URL da sua página de login.

Para hackear seu site, um hacker precisa primeiro encontrar sua página de login. Se você optar por ocultá-la dos mecanismos de busca e não indexá-lo, aqueles hackers terão dificuldade em encontrar um possível ponto de entrada.

Uma maneira de fazer isso é simplesmente modificar o URL da sua página de login. Você pode fazer isso com a ajuda do plugin WPS Hide Login ou usando o plugin Protect WP-Admin.

Altere o prefixo do banco de dados do WP

Muito provavelmente, o seu site WordPress usa o prefixo wp_ padrão para todas as tabelas no seu banco de dados, facilitando o acesso a hackers.

Para reforçar a segurança do seu site, recomendamos que você altere isso, embora, se não for executado corretamente, você corre o risco de quebrar seu site. Por favor, procure ajuda de um desenvolvedor para isso.

Desative edição de arquivos

Na sua área de administração do WordPress, você pode encontrar um editor de código embutido que permite fazer alterações nos arquivos do seu tema e plugins.

Embora um proprietário de site experiente possa achar esse recurso útil, uma pessoa com intenções maliciosas pode usá-lo para colocar todo o seu site em risco.

Recomendamos desativá-lo. Você pode fazê-lo através do seu arquivo wp-config.php ou do plugin da Sucuri.

Para desativar o seu editor de código WP através do wp-config.php, você precisará adicionar o seguinte código ao arquivo:

//Disallow file edit
define(‘DISALLOW_FILE_EDIT’, true);

1 Site – 1 Hospedagem

Não importa o quão conveniente e fácil possa parecer hospedar todos os seus sites em um único plano de hospedagem (se você tiver um plano “ilimitado”).

Não é recomendável fazer isso, pois oferece mais oportunidades de ataque para um hacker.

Quando o hacker encontrar uma vulnerabilidade de segurança para um dos seus sites, é muito mais fácil infectar o restante deles. E enquanto você está tentando limpar um site, ele é reinfectado pelos outros.

Por isso, o processo de recuperar seus sites e conteúdo será mais trabalhoso e doloroso.

Para usuários avançados que usam planos de hospedagem D]dedicada, recomendamos a instalação de um firewall de aplicativo da web (WAF) e Security Shield.

As 12 etapas de como proteger seu site WordPress descritas acima podem ajudar você a melhorar significativamente a segurança do seu site ou blog. E, embora não protejam 100% dos ataques, elas certamente ajudarão você a evitar qualquer atividade aleatórias e automatizadas de hackers.

Talvez você goste de

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *