Como tornar um site WordPress seguro


Lançar seu próprio site WordPress hoje em dia é muito fácil. Infelizmente, não demorará muito para que os hackers comecem a atacar seu site.

A melhor maneira de tornar um site WordPress seguro é entender todos os pontos de vulnerabilidade decorrentes da execução de um site WordPress. Em seguida, instale a segurança apropriada para bloquear hackers em cada um desses pontos.

Neste artigo, você aprenderá como proteger melhor seu domínio, seu login do WordPress e as ferramentas e plug-ins disponíveis para proteger seu site do WordPress .

Crie um domínio privado

Hoje em dia, é muito fácil encontre um domínio disponível e comprá-lo por um preço muito barato. A maioria das pessoas nunca compra complementos de domínio para seu domínio. No entanto, um complemento que você deve sempre considerar é a proteção de privacidade.

Existem três níveis básicos de proteção de privacidade com GoDaddy, mas eles também correspondem às ofertas da maioria dos provedores de domínio.

  • Básico: oculte seu nome e informações de contato do diretório WHOIS. Disponível apenas se o seu governo permitir que você oculte as informações de contato do domínio.
  • Completo: substitua suas próprias informações por um endereço de e-mail alternativo e informações de contato para ocultar sua identidade real.
  • Ultimate: segurança adicional que bloqueia a verificação de domínio malicioso e inclui monitoramento de segurança de site para seu site real.

    Normalmente, atualizando seu domínio para um desses níveis de segurança requer apenas a escolha de atualizar em uma lista suspensa na página de listagem de seu domínio.

    A proteção básica de domínio é bastante barata (geralmente em torno de US $ 9,99 / ano) e níveis mais altos de segurança não são não é muito mais caro.

    Esta é uma excelente maneira de impedir que spammers roubem suas informações de contato do banco de dados WHOIS ou outras pessoas com intenção maliciosa que desejam obter acesso às suas informações de contato.

    Ocultar wp- Arquivos config.php e .htaccess

    Ao instalar WordPress pela primeira vez, você precisará incluir o ID administrativo e a senha do banco de dados SQL do WordPress no arquivo wp-config.php .

    Esses dados são criptografados após a instalação, mas você também deseja impedir que hackers editem esse arquivo e invadam seu site. Para fazer isso, localize e edite o arquivo .htaccess na pasta raiz do seu site e adicione o seguinte código na parte inferior do arquivo.

    # protect wpconfig.php
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    Para evitar alterações em. htaccess em si, adicione o seguinte ao final do arquivo também.

    # Protect .htaccess file
    <Files .htaccess>
    order allow,deny
    deny from all
    </Files>

    Salve o arquivo e saia do editor de arquivos.

    Você também pode considerar clicar com o botão direito em cada arquivo e alterar as permissões para remover o acesso de gravação inteiramente para todos.

    Ao fazer isso no arquivo wp-config.php não deve causar problemas, fazê-lo no .htaccess pode causar problemas. Especialmente se você estiver executando qualquer plug-in de segurança do WordPress que possa precisar editar o arquivo .htaccess para você.

    Se você receber algum erro do WordPress, poderá sempre atualizar as permissões para permitir o acesso de gravação no. arquivo htaccess novamente.

    Altere o URL de login do WordPress

    Como a página de login padrão para cada site do WordPress é yourdomain / wp-admin.php, os hackers usarão este URL para tentar hackear em seu site.

    Eles farão isso por meio do que é conhecido como ataques de “força bruta”, nos quais enviarão variações de nomes de usuário e senhas típicos que muitas pessoas normalmente usam. Os hackers esperam ter sorte e conseguir a combinação certa.

    Você pode interromper esses ataques mudando seu URL de login do WordPress para algo fora do padrão.

    Existem muitos plug-ins do WordPress para ajudá-lo a fazer isso. Um dos mais comuns é WPS Ocultar Login.

    Este plugin adiciona uma seção à guia Geralem Configuraçõesno WordPress.

    Lá, você pode digitar qualquer URL de login que desejar e selecionar Salvar alteraçõespara ativá-lo. Da próxima vez que você quiser fazer login no seu site WordPress, use este novo URL.

    Se alguém tentar acessar o URL antigo do wp-admin, será redirecionado para a página 404 do seu site.

    Observação: se você usar um plug-in de cache, certifique-se de adicionar seu novo URL de login à lista de sites nãopara armazenar em cache. Em seguida, certifique-se de limpar o cache antes de fazer login novamente em seu site WordPress.

    Instale um plug-in de segurança do WordPress

    Há muitos Plug-ins de segurança do WordPress para escolha. De todos eles, Wordfence é o mais comumente baixado, por um bom motivo.

    A versão gratuita do Wordfence inclui um poderoso mecanismo de verificação que procura ameaças de backdoor, código malicioso em seus plug-ins ou em seu site, ameaças de injeção de MySQL e muito mais. Também inclui um firewall para bloquear ameaças ativas, como ataques DDOS.

    Ele também permitirá que você interrompa ataques de força bruta, limitando as tentativas de login e bloqueando os usuários que fazem muitas tentativas de login incorretas.

    Existem algumas configurações disponíveis na versão gratuita. Mais do que o suficiente para proteger sites de pequeno e médio porte da maioria dos ataques.

    Há também uma página de painel útil que você pode revisar para monitorar ameaças recentes e ataques que foram bloqueados.

    Use o WordPress Password Generator e 2FA

    A última coisa que você deseja é que os hackers adivinhem sua senha facilmente. Infelizmente, muitas pessoas usam senhas muito simples que são fáceis de adivinhar. Alguns exemplos incluem o uso do nome do site ou do próprio nome do usuário como parte da senha, ou a não utilização de caracteres especiais.

    Se você atualizou para a versão mais recente do WordPress, tem acesso a poderosas ferramentas de segurança por senha para proteger seu site WordPress.

    A primeira etapa para melhorar a segurança da sua senha é acessar cada usuário do seu site, rolar para baixo até a seção Gerenciamento da conta e selecionar o botão Gerar senha.

    Isso irá gerar uma senha longa e muito segura que inclui letras, números e caracteres especiais. Salve esta senha em algum lugar seguro, de preferência em um documento em uma unidade externa que você possa desconectar do computador enquanto estiver online.

    Selecione Sair em qualquer outro lugarpara garantir que tudo as sessões ativas são fechadas.

    Finalmente, se você instalou o plugin de segurança do Wordfence, você verá um botão Ativar 2FA. Selecione isto para habilitar a autenticação de dois fatores para seus logins de usuário.

    Se você não estiver usando o Wordfence, você precisará instalar qualquer um desses plug-ins 2FA populares.

    • Google Authenticator
    • Autenticação de dois fatores
    • Autenticação de dois fatores Rublon
    • Autenticação Duo de Dois Fatores

      Outras considerações importantes sobre segurança

      Existem mais algumas coisas que você pode fazer para proteger totalmente o seu site WordPress.

      Ambos o Plugins WordPress e a própria versão do WordPress devem ser atualizados o tempo todo. Os hackers frequentemente tentam explorar vulnerabilidades em versões mais antigas do código em seu site. Se você não atualizar os dois, estará deixando seu site em risco.

      1. Selecione regularmente Plug-inse Plug-ins instaladosem seu painel de administração do WordPress. Revise todos os plug-ins para um status que diz que uma nova versão está disponível.

      Quando você vir um desatualizado, selecione atualizar agora. Você também pode considerar a seleção de Habilitar atualizações automáticas para seus plug-ins.

      No entanto, algumas pessoas têm medo de fazer isso, pois as atualizações de plug-ins às vezes podem corromper seu site ou tema. Portanto, é sempre uma boa ideia testar as atualizações do plug-in em um site de teste local do WordPress antes de ativá-las em seu site ativo.

      2. Ao fazer login no painel do WordPress, você verá uma notificação de que o WordPress está desatualizado se você estiver executando uma versão mais antiga.

      Novamente, faça backup do site e carregue-o em um site de teste local em seu próprio PC para testar se a atualização do WordPress não interrompe seu site antes de atualizá-lo em seu site ativo.

      3. Aproveite as vantagens dos recursos de segurança gratuitos do seu host. A maioria dos hosts da Web oferece uma variedade de serviços de segurança gratuitos para os sites que você hospeda lá. Eles fazem isso porque não apenas protege seu site, mas também mantém todo o servidor seguro. Isso é especialmente importante quando você está em uma conta de hospedagem compartilhada em que outros clientes têm sites no mesmo servidor.

      Isso geralmente inclui segurança SSL grátis instalações para o seu site, backups grátis, a capacidade de bloquear endereços IP maliciosos e até mesmo um verificador de site gratuito que irá regularmente examine seu site em busca de qualquer código malicioso ou vulnerabilidade.

      Executar um site nunca é tão simples quanto instalar o WordPress e apenas postar conteúdo. É importante tornar o seu site WordPress o mais seguro possível. Todas as dicas acima podem ajudá-lo a fazer isso sem muito esforço.

      Postagens relacionadas:


      27.10.2020