Se você tem um site WordPress, as chances são de que seu site está sendo atacado por hackers o tempo todo.
Eles estão constantemente procurando pontos fracos que os permitirão entrar, seja um plug-in ou um tema desatualizados ou uma senha fácil de descobrir. Uma vez dentro, eles podem obviamente fazer o wreakhavoc.
Apenas para provar o que estou falando, aqui está o que meu painel do WordPress diz agora.
É por isso que seus sites WordPress precisam ser absolutamente à prova de balas. Aqui estão as melhores maneiras de fazer isso com base nas minhas conversas de consultoria com empresas.
Obtenha o melhor nome de usuário e senha possíveis
Se eu já vi uma vez, já vi milhares de vezes. As pessoas criam sites WordPress com o nome de usuário e a senha definidos em "admin" e depois se perguntam por que foram invadidos.
Sua página de login é essencialmente a porta principal do seu site. Portanto, faz sentido tornar o mais difícil possível a entrada de um invasor. Você não deixaria a porta da frente da sua casa aberta, deixaria?
In_content_1 all: [300x250] / dfp: [640x360]->Muitos hosts da Web automatizam a configuração do WordPress para você e, quando o fazem, você deve especificar um nome de usuário diferente de "admin". Se você usa "admin", está facilitando o trabalho de um hacker para ele.
Obtenha um nome de usuário impossível de adivinhar por outra pessoa. Não use um nome de usuário usado em outro lugar na Internet. Alguém só precisa procurar no Google você para encontrar esses nomes de usuários.
Quanto à senha, faça um forte favor a si mesmo e obtenha um gerenciador de senhas. Um código-fonte aberto gratuito que eu recomendo é KeyPass. Em seguida, torne sua senha do WordPress com no mínimo 30 caracteres, com caracteres especiais lançados na mistura. Sim está certo. 30 caracteres.
Instale um plug-in de força bruta
Reforçando essa metáfora da porta, também faz sentido adicionar algumas travas de segurança. Para o WordPress, na minha opinião, você tem quatro opções - Google Authenticator, Authy, Bloqueio de Login ou reCAPTCHA.
Para ficar claro, o Google Authenticator e o Authy fazem a mesma coisa. Você recebe um código no seu smartphone e o insere na página de login. Sem ele, sua entrada é negada.
O bloqueio de login é um plug-in que limita o número de tentativas incorretas de login antes que o endereço IP da pessoa seja bloqueado por um determinado período de tempo que você especificar. Você pode até instalar isso junto com o Authenticator para obter segurança super-duper.
reCAPTCHA não é meu favorito, mas é melhor que nada. Também não é infalível, pois foi rachado antes. Mas como eu disse, melhor que nada. O reCAPTCHA força o usuário a digitar uma sequência de palavras ou clicar em determinadas figuras.
Verifique se todos os temas e plugins estão atualizados
O próximo passo é garantir que todos os seus temas e plugins sejam atualizados regularmente base. Novamente, qualquer vulnerabilidade - conhecida e desconhecida - pode ser usada por um hacker para explorar um site.
Você deve ficar de olho na página "Atualizações", na qual estão listadas todas as atualizações disponíveis. Isso deve ser feito diariamente. Você pode encontrar a página Atualizações como uma subguia na guia Painel.
Desativar temas e plugins desnecessários
Assim como você deve manter todos os temas e plug-ins atualizados, também desative os que não quiser Não é necessário.
Não há motivo para manter ativos os temas e plugins não utilizados, e isso só aumenta o risco de a avulnerabilidade ser descoberta suficientemente grande para permitir a entrada de um invasor. Portanto, exclua os temas que você não está usando. Eles sempre podem ser reinstalados mais tarde.
Quanto aos plug-ins, exclua-os completamente ou, no mínimo, os desative.
Não permita que ninguém crie contas de usuário
Se o site WordPress está sendo usado por uma empresa ou equipe de algum tipo, obviamente as contas de usuário serão necessárias. Mas se você é um usuário único do site, não permita que ninguém faça contas de usuário. Especialmente pessoas que você não conhece.
Você pode impedir que as pessoas façam isso acessando Configurações–>Geral. Vá até "Associação" e verifique "Qualquer um pode se registrar".
Faça o downgrade de todos os outros usuários autorizados
Se você precisar fornecer contas de usuário para as pessoas, verifique se elas têm a função de acesso apropriada.
Por exemplo, a pessoa que possui o site deve ser o administrador. Mas se alguém é um blog convidado, você só precisa ser listado como autor. Não conceda privilégios elevados a alguém se eles não precisarem.
Vá para Usuários ->Todos os usuáriose escolha para qual pessoa você deseja alterar. Em seguida, escolha na caixa suspensa.
Interrompa todos os diretórios do AccessTo com um arquivo Index.HTML
Você pode não saber disso, mas se criar um novo diretório em seu site, adicione arquivos a ele e não adicione um arquivo index.html, todos os conteúdos desse diretório podem ser visualizados publicamente.
Para impedir que isso aconteça, crie um arquivo de texto em branco e chame-o de index.html.Em seguida, faça o upload para o novo diretório. Qualquer tentativa de exibir o diretório agora fará com que a pessoa retorne à página de índice em branco.
Obtenha um certificado SSLC
Uma das melhores coisas que você pode criar para o seu site é obter um certificado SSL. O Google agora prioriza os sites SSL com maior prioridade nos resultados da pesquisa e, é claro, também protege o site.
O SSL simplesmente protege a conexão entre o navegador do usuário e o servidor da Web onde o site está localizado. Portanto, torna extremamente difícil para os hackers invadir a conexão e roubar dados.
Existem duas maneiras de obter um certificado SSL. Você pode comprar um, mas também pode adquiri-lo gratuitamente a partir de Vamos criptografar. Muitos hosts da web agora oferecem o Let's Encrypt como um serviço automatizado gratuito.
Faça backup do site YourWordpress TODOS OS DIAS
Finalmente, se o pior acontecer, e você estiver hackeado, precisará de uma maneira de obter seu site faça backup e execute o mais rápido possível. É por isso que você precisa de um backup diário de todos os arquivos de instalação.
De longe, a solução mais fácil para isso é o Mochila a jato, executado pelas mesmas pessoas que criaram o WordPress. Com apenas US $ 3,50 por mês para um site, é definitivamente o mais econômico.
Conclusão
Existem muitas outras maneiras de bloquear seu site, mas muitos deles envolvem codificação complexa ou instalação de plug-ins com opções complexas. Se você está começando neste tópico, é melhor abordar o básico primeiro, que é o que tentei abordar até hoje.