Tudo o Que Você Precisa Saber Sobre a Segurança do WordPress (+20 Dicas de Reforço)

Se você está procurando um sistema de gestão de conteúdo completo e de primeira linha para impulsionar seu site, não procure mais além do WordPress.

WordPress é uma plataforma excelente e segura por si só, mas definitivamente há mais que você pode (e deve!) fazer para manter seu site seguro contra intenções maliciosas. Muitos desses aprimoramentos de segurança são fáceis de implementar e podem ser realizados manualmente em poucos minutos. Outros simplesmente requerem a instalação de um plugin específico.

Neste artigo, vou guiá-lo através de 20 estratégias diferentes para aumentar as defesas da sua fortaleza WordPress. Mas primeiro, vamos entender um pouco mais sobre por que a segurança do site deve ser importante para você.

Por que a Segurança do WordPress é Tão Importante

Escolher o WordPress como sua plataforma é uma excelente maneira de começar quando você está tentando criar um site. Não é apenas uma plataforma flexível e poderosa para construir sites — também é notavelmente segura como está.

Mas é claro, nenhuma plataforma pode ser 100% segura, e existem muitos motivos para se preocupar com a segurança do seu site WordPress:

• Popularidade – O WordPress impulsiona uma grande parte de todos os sites na internet, tornando-se um alvo principal para criminosos cibernéticos. Seu uso generalizado o torna uma plataforma atraente para explorar vulnerabilidades e obter acesso não autorizado a sites.
• Vulnerabilidades – Como qualquer software, o WordPress não é imune a vulnerabilidades. Hackers estão constantemente à procura de vulnerabilidades em temas do WordPress, Plugins e no software principal. Explorá-las pode levar a acesso não autorizado, violações de dados, desfiguração ou até mesmo controle completo de um site.
• Violações de dados – Sites WordPress frequentemente armazenam informações sensíveis dos usuários, como endereços de e-mail, senhas e dados pessoais. Uma violação de segurança pode expor esses dados confidenciais, levando a roubo de identidade, perda financeira ou até consequências legais (caramba!).
• Impacto em SEO – Um site WordPress comprometido pode ser usado para atividades maliciosas, como hospedar Malware, redirecionar visitantes para sites prejudiciais ou enviar emails de Spam. Os motores de busca podem sinalizar e penalizar tais sites, levando a uma queda significativa nos rankings e no tráfego orgânico assim que você recuperar o controle do seu site.
• Reputação e confiança – Se um site WordPress é comprometido e usado para fins maliciosos, pode danificar severamente a reputação do proprietário do site e erodir a confiança do usuário. Pense em uma loja de e-commerce, por exemplo. Se a loja não pode se comprometer a manter os dados pessoais dos compradores seguros, as pessoas simplesmente não comprarão lá (e quem pode culpá-las?).
• Tempo de inatividade e perda financeira – Um site hackeado pode experimentar um tempo de inatividade prolongado enquanto o proprietário do site trabalha para resolver a violação de segurança. Por sua vez, o tempo de inatividade pode resultar em perda de negócios, diminuição de receita e despesas adicionais para recuperação e restauração.

Dado esses riscos, investir em medidas de segurança do WordPress é essencial para proteger seu site e os dados de seus usuários. Idealmente, você deve dedicar tanto tempo e esforço à segurança quanto dedicou projetando seu site inicialmente (se não mais). Felizmente para você, caro leitor, existem muitas formas simples e rápidas de melhorar a segurança do seu site, bem como algumas técnicas mais complexas que você pode querer empregar — e abaixo, estamos cobrindo todas elas.

Principais Vulnerabilidades de Segurança do WordPress

Como diz o ditado, conheça o seu inimigo. Antes de mergulharmos em nossas dicas de segurança, vamos aprender mais sobre as vulnerabilidades de segurança das quais você precisa proteger seu site WordPress.

• Software, temas e Plugins desatualizados – Usar versões desatualizadas do WordPress, temas ou Plugins pode deixar seu site vulnerável a falhas de segurança conhecidas.
• Usernames e senhas fracos – Credenciais de login fracas facilitam o acesso dos hackers ao seu site. Evite usar nomes de usuário comuns como “admin” e escolha senhas fortes e únicas que incluam uma combinação de letras, números e símbolos.
• Ataques de força bruta – Ataques de força bruta envolvem tentativas repetidas de adivinhar suas credenciais de login. Você pode preveni-los limitando tentativas de login e usando autorização de dois fatores (mais sobre isso mais tarde neste artigo).
• Cross-site scripting (XSS) – Vulnerabilidades de XSS ocorrem quando scripts maliciosos são injetados em páginas da web, podendo comprometer os navegadores dos usuários ou dados de sessão. Muitos Plugins de segurança têm funcionalidades para prevenir XSS.
• Infecções por Malware – Malware pode ser injetado em seu site através de vulnerabilidades, temas ou Plugins infectados, ou arquivos comprometidos. Para evitar Malware, não instale Plugins sem verificar antes a reputação deles. E a varredura regular de Malware pode detectar infecções antes que tenham a chance de causar estragos em seu site.
• Backdoors – Um backdoor é um ponto de entrada oculto em um site que permite acesso não autorizado mesmo depois que medidas de segurança estão em vigor. Backdoors podem ser criados por atores maliciosos ou introduzidos acidentalmente através de temas comprometidos, Plugins, ou práticas de segurança fracas. Uma vez estabelecido um backdoor, ele pode conceder acesso não autorizado a um atacante, que pode então manipular o site, roubar dados ou realizar outras atividades maliciosas sem o conhecimento do proprietário do site.

Implementar plugins de segurança e outras melhores práticas pode proteger seu site dessas vulnerabilidades. Então, sem mais delongas, vamos ao que você veio buscar: dicas de segurança do WordPress práticas e como colocá-las em prática.

20 Dicas de Segurança para WordPress

Espero ter convencido você sobre a importância de manter um site WordPress seguro. Se não, vou ter que me reinscrever em Escrita Persuasiva 101. Por favor, não me faça fazer isso.

Ao longo deste artigo, vou apresentar 20 estratégias (juntamente com alguns dos melhores Plugins de segurança para WordPress) para tornar seu site mais seguro contra algumas das vulnerabilidades de segurança mais comuns e perigosas. Você não precisa implementar todas as sugestões desta lista (embora certamente possa!), mas quanto mais passos você tomar para proteger seu site, menor será a probabilidade de enfrentar um desastre no futuro.

1. Use um Hospedeiro de Qualidade

Você pode pensar no seu web host como a rua do seu site na Internet — é o lugar onde o seu site “mora”. E assim como uma boa área escolar é importante para o futuro do seu filho (dizem eles; eu me saí bem), a qualidade da base do seu site conta de muitas maneiras importantes.

Um provedor de hospedagem sólido pode influenciar o quão bem seu site se sai, quão confiável ele é, quão grande ele pode crescer e até como ele se posiciona nos motores de busca. Os melhores hosts oferecem uma variedade de funcionalidades úteis, suporte excelente e um serviço adaptado à sua plataforma escolhida.

Como você provavelmente já imaginou, a sua empresa de hospedagem também pode ter um impacto significativo na segurança do seu site. Existem vários benefícios de segurança em escolher entre as melhores empresas de hospedagem.

Como a Hospedagem pode melhorar a segurança do WordPress:

• Um host de qualidade atualizará constantemente seu serviço, software e ferramentas para responder às ameaças mais recentes e eliminar possíveis violações de segurança.
• Os hosts de web geralmente oferecem várias funcionalidades de segurança específicas, como certificados SSL/TLS e proteção contra DDoS. Você também deve ter acesso a um Firewall de Aplicação Web (WAF), que ajudará a monitorar e bloquear ameaças sérias ao seu site.
• Seu host de web provavelmente fornecerá uma maneira de fazer backup do seu site (em alguns casos, até realizando backups em tempo real para você), então, se você for hackeado, pode facilmente reverter para uma versão estável e anterior.
• Se o seu host oferece suporte confiável, 24 horas por dia, 7 dias por semana, você sempre terá alguém para ajudá-lo se encontrar algum problema relacionado à segurança.

Esta lista deve fornecer um bom ponto de partida para trabalhar quando estiver procurando um host para o seu novo site. Você vai querer encontrar um que ofereça todas as funcionalidades e características necessárias, além de ter uma reputação de confiabilidade e desempenho excelente.

DreamPress é um serviço de Hospedagem Gerenciada do WordPress que é rápido, confiável, escalável e, claro, seguro. DreamPress inclui um certificado SSL/TLS pré-instalado e fornece um WAF dedicado projetado com regras criadas para proteger sites WordPress e bloquear tentativas de hack. Com seu plano de hospedagem, você também terá backups automatizados, suporte 24/7 de especialistas em WordPress, e Jetpack Premium — um plugin que pode adicionar muitos recursos de segurança adicionais ao seu site — sem custo adicional.

Com o DreamPress, você poderá descansar tranquilo sabendo que seu site está protegido. Nosso serviço de Hosting até cuida de muitas outras medidas de segurança desta lista — embora ainda encorajamos você a continuar lendo para aprender quais medidas adicionais você pode tomar para proteger seu site.

2. Registre Seu Domínio de Forma Privada

Para registrar um domínio, é necessário fornecer seu nome, endereço e número de telefone. Essas informações são usadas para rastrear a propriedade dos nomes de domínio e podem ser encontradas online com uma rápida pesquisa no diretório WHOIS.

Embora seja vital acompanhar essas informações para a saúde da internet, é razoável não querer suas informações pessoais online. É aqui que a Registro Privado entra em cena. Quando você registra um domínio com a DreamHost (ou outra plataforma de hospedagem segura, eu acho), você tem a opção de substituir suas informações pessoais pelos dados relevantes da plataforma de hospedagem — assim, ao consultar seu domínio no WHOIS, aparecerão o endereço e as informações de contato da DreamHost em vez das suas. Você pode até ativar esse recurso de segurança depois que seu domínio já foi registrado!

3. Altere Seu Nome de Usuário Admin

Quando você cria seu site, todo novo e brilhante, você recebe um Perfil de Usuário. A qualquer momento, você pode voltar e alterar seu Apelido ou preencher seu Nome Completo, mas para alterar seu nome de usuário é uma história diferente — você precisará criar um novo usuário e conceder a esse conta o papel de administrador. A desvantagem? Você precisa usar um endereço de e-mail diferente daquele usado por sua conta atual.

Você pode então alterar seu nome de usuário criando um novo usuário, dando a ele a função de administrador, atribuindo todo o seu conteúdo a ele e excluindo sua conta original. Quando seu nome de usuário anterior for excluído, você pode alterar o endereço de e-mail da sua nova conta, se desejar.

4. Ative um Firewall de Aplicação Web

Você provavelmente está familiarizado com o conceito de um firewall — um programa que ajuda a bloquear todo tipo de ataques indesejados ao seu site. Provavelmente, você tem algum tipo de firewall no seu computador. Um Web Application Firewall (WAF) é simplesmente um firewall projetado especificamente para sites. Ele pode proteger servidores, sites específicos ou grupos inteiros de sites.

Um WAF no seu site WordPress funcionará como uma barreira entre o seu site e o resto da web. Um firewall monitora a atividade de entrada, detecta ataques, malware e outros eventos indesejados, e bloqueia qualquer coisa que considere um risco de acessar o seu servidor web. #winning

Você tem várias opções para adicionar um WAF ao seu site (WordFence é uma escolha popular). Mas se você optou pelo nosso pacote DreamPress, pode relaxar; você não precisará de um firewall adicional. DreamPress inclui um WAF integrado que monitorará seu site contra ameaças e bloqueará usuários e programas maliciosos de obter acesso. Nenhuma ação é necessária de sua parte.

A DreamHost também oferece o DreamShield, nosso serviço interno de verificação de Malware. Quando você ativa o DreamShield em sua conta de hospedagem, faremos a verificação diária do seu site em busca de códigos maliciosos. Se encontrarmos algo suspeito, você será notificado imediatamente por email.

5. Implemente a Autenticação de Dois Fatores

Autenticação de dois fatores (que também é conhecida como autenticação de duas etapas e uma variedade de outros nomes semelhantes) refere-se a um processo de duas etapas que você precisará seguir ao fazer login no seu site. Isso leva um pouco mais de tempo e esforço, mas contribui significativamente para manter os hackers afastados.

A autenticação de dois fatores envolve o uso de um smartphone ou outro dispositivo para verificar seu login. Primeiro, você visitará seu site WordPress e inserirá seu nome de usuário e senha como de costume. Em seguida, um código único será enviado para o seu dispositivo móvel, que você deve fornecer para concluir o login. Isso permite que você prove sua identidade mostrando que tem acesso a algo exclusivamente seu — como um telefone ou tablet específico.

Como muitos recursos do WordPress, a autenticação de dois fatores é fácil de adicionar com um plugin dedicado. O plugin Two Factor Authentication é uma escolha sólida — ele é criado por desenvolvedores confiáveis, compatível com Google Authenticator, e permitirá que você adicione a funcionalidade de dois fatores ao seu site sem complicação.

Outra escolha é o Plugin Two-Factor, que foi principalmente desenvolvido pelos desenvolvedores centrais do WordPress e é bem conhecido por sua confiabilidade. Como qualquer plugin desta categoria, ele possui uma curva de aprendizado, mas ele realizará o trabalho e é incrivelmente seguro. Se você estiver disposto a gastar um pouco de dinheiro, também pode conferir a solução premium semelhante a Clef do Jetpack.

Independentemente da rota que escolher, certifique-se de planejar com antecedência com sua equipe, pois será necessário reunir números de telefone e outras informações para todas as contas de usuário. Com isso, sua página de login agora está segura e pronta para uso.

6. Tenha Cuidado ao Adicionar Novos Plugins e Temas

Uma das melhores coisas sobre o WordPress é a disponibilidade pronta de Plugins e temas para praticamente qualquer necessidade. Com essas ferramentas úteis, você pode fazer seu site ficar exatamente como deseja e adicionar quase qualquer recurso ou funcionalidade que você possa imaginar.

Nem todos os plugins e temas são criados igualmente, no entanto.

Desenvolvedores que não são cuidadosos ou não têm o nível adequado de experiência podem criar plugins que são não confiáveis ou inseguros — ou simplesmente péssimos. Eles podem usar práticas de codificação ruins que deixam brechas que hackers podem explorar facilmente ou interferir involuntariamente com funcionalidades cruciais.

Isso significa que você deve ser muito cuidadoso com os temas e Plugins que adiciona ao seu site. Cada um deve ser avaliado para garantir que seja uma opção sólida que não prejudique seu site ou cause problemas. Veja como selecionar ferramentas de qualidade:

• Leia avaliações – Verifique as avaliações e comentários dos usuários para saber se outros tiveram uma boa experiência com o Plugin ou tema.
• Suporte do desenvolvedor – Verifique quando foi a última atualização do Plugin ou tema. Se foi há mais de seis meses, provavelmente não é tão seguro quanto poderia ser.
• Simples assim – Instale novos Plugins e temas um de cada vez, assim se algo der errado, você saberá qual foi a causa. Além disso, lembre-se de fazer um backup do seu site antes de adicionar qualquer coisa a ele.
• Fontes verificadas – Obtenha seus Plugins e temas de fontes confiáveis, como os Diretórios de Temas e Plugins do WordPress.org, ThemeForest e CodeCanyon, e sites de desenvolvedores confiáveis.

7. Atualize o WordPress Regularmente

Manter o WordPress atualizado é uma das coisas mais importantes que você pode fazer para proteger seu site. Atualizações menores e atualizações de segurança serão implementadas automaticamente, mas você pode precisar aprovar grandes atualizações independentemente (não se preocupe, isso é muito simples de fazer). Provavelmente é desnecessário dizer, mas a DreamHost cuida dessas atualizações para você, então você não precisa se preocupar.

Mas seu trabalho não está concluído só porque o WordPress está atualizado.

Você também precisará atualizar regularmente seus plugins, temas e outras instalações do WordPress para garantir que eles funcionem bem juntos e estejam protegidos contra as ameaças mais recentes. Felizmente, isso também é bastante fácil — basta ir ao seu painel do WordPress, procurar as notificações vermelhas que indicam que há temas ou plugins com atualizações disponíveis, e clicar em “Atualizar Agora” ao lado de cada um.

Você também pode atualizar seus plugins em lote, selecionando todos eles e depois clicando no botão de atualização, seja aqui ou no painel do WordPress.

8. Configure as Permissões de Arquivo

Vamos falar sobre técnica por um minuto.

Muitas das informações, dados e conteúdo no seu site do WordPress estão armazenados em uma série de pastas e arquivos no backend. Estes são organizados em uma estrutura hierárquica, e cada um recebe um nível de permissões. As permissões em um arquivo ou pasta do WordPress determinam quem pode visualizar e editá-lo. Elas podem ser configuradas para permitir acesso a qualquer pessoa, apenas a você, ou quase qualquer coisa intermediária.

As permissões de arquivo são representadas por um número de três dígitos no WordPress, e cada dígito tem um significado. O primeiro dígito representa um usuário individual (o proprietário do site), o segundo dígito para o grupo (por exemplo, membros do seu site) e o terceiro para todos no mundo. O número em si significa que o usuário, grupo ou mundo:

• 0: Não tem acesso ao arquivo.
• 1: Só pode executar o arquivo.
• 2: Pode editar o arquivo.
• 3: Pode editar e executar o arquivo.
• 4: Pode ler o arquivo.
• 5: Pode ler e executar o arquivo.
• 6: Pode ler e editar o arquivo.
• 7: Pode ler, editar e executar o arquivo.

Então, por exemplo, se um arquivo recebe um nível de permissão de 640, significa que o usuário principal pode ler e editar o arquivo, o grupo pode ler o arquivo, mas não editá-lo, e o resto do mundo não pode acessá-lo de forma alguma. É importante garantir que cada pessoa tenha apenas o nível de acesso aos arquivos e pastas do seu site que você deseja que ela tenha.

O WordPress recomenda configurar pastas com nível de permissão 755 e arquivos com 644. Você está bastante seguro seguindo estas diretrizes, embora possa configurar qualquer combinação que desejar. Só lembre-se de que é melhor não dar a ninguém mais acesso do que eles absolutamente precisam, especialmente para arquivos principais.

Você também deve ter em mente que suas configurações ideais de permissões dependerão um pouco do seu serviço de hospedagem, então você pode querer descobrir o que seu host recomenda.

Nota: Tenha muito cuidado ao fazer alterações nos seus níveis de permissões — escolher os valores errados (como o temido 777) pode tornar seu site inacessível.

E enquanto estamos neste assunto, é importante notar que o WordPress vem com um editor de código integrado que permite aos usuários editar arquivos de tema e Plugins/plugin diretamente da Área de Administração. Isso é útil quando você precisa, mas é um grande risco de segurança se seu site cair em mãos erradas. É por isso que você deve desativar a edição de arquivos com um plugin como Sucuri.

9. Mantenha o Número de Usuários do WordPress ao Mínimo

Se você está gerenciando seu site WordPress sozinho, não precisa se preocupar com esta etapa. Simplesmente não dê a ninguém mais uma conta no seu site, e você será a única pessoa que pode fazer alterações.

Entretanto, existem muitos motivos para adicionar outra conta de usuário ao seu site: Você pode querer permitir que outros autores contribuam com conteúdo, ou você pode precisar de pessoas para ajudar a editar conteúdo e gerenciar seu site. Você pode até ter uma equipe inteira de usuários que acessam regularmente seu site WordPress e fazem suas próprias alterações.

Isso pode ser benéfico (ou até necessário). No entanto, também é um potencial risco de segurança.

Quanto mais pessoas você permitir em seu site, maior a chance de alguém cometer um erro, causar problemas ou simplesmente ser um inconveniente. É por isso que você deve manter o número de usuários do seu site o mais baixo possível sem prejudicar sua capacidade de crescimento. Em particular, tente limitar o número de administradores e outros papéis de usuário com altos privilégios.

Aqui estão algumas outras melhores práticas:

• Limite cada usuário apenas às permissões necessárias para eles realizarem seu trabalho.
• Incentive os usuários a usar senhas fortes.
• Tente manter um administrador e um pequeno grupo de editores.
• Remova usuários que deixaram o site ou que não precisam mais de acesso.
• Deslogue regularmente usuários inativos (o plugin Inactive Logout é ótimo para isso!).
• Considere baixar um plugin como Members, que oferece uma interface de usuário para o sistema de funções e capacidades do WordPress.

10. Limite de Tentativas de Login

Todo mundo esquece sua senha às vezes. Mas boas notícias! Por padrão, o WordPress permite um número ilimitado de tentativas.

Mas isso é realmente uma boa notícia? Ataques de força bruta, ou ataques onde um hacker tenta qualquer número de senhas, são uma das formas mais comuns de os hackers ganharem acesso a contas privadas. Sem limite para tentativas de login, um hacker ou bot poderia tentar todas as senhas possíveis sem consequências.

Primeiro, verifique seu Firewall de Acesso à Web (WAF) para limitar o número de tentativas de login que um usuário pode fazer. Se seu firewall já estiver configurado, um limite já estará em vigor, mas você também pode usar um plugin separado para isso! Tanto o Login Lockdown quanto o Cerber Limit Login Attempts registram o endereço IP e a Marca temporal para cada tentativa de login fracassada, permitem limitar o número de tentativas fracassadas permitidas em um determinado período de tempo e bloqueiam endereços IP que excedem o limite. Ambos Plugins são gratuitos, mas o Login Lockdown é mais simples e mais amigável para iniciantes. Se você precisar de um sistema mais robusto, o Cerber Limit Login Attempts é o caminho a seguir, permitindo não apenas listagem branca/preta de IP, mas também notificando os administradores se um determinado número de bloqueios for atingido.

11. Acompanhe a Atividade da Sua Área Administrativa

Se você tiver vários usuários, manter o controle do que todos estão fazendo no site é uma boa ideia. Rastrear a atividade na sua área administrativa do WordPress ajudará você a identificar quando outros usuários estão fazendo coisas que não deveriam — e pode ajudar a detectar quando usuários não autorizados obtiveram acesso.

Mas você também precisa de uma ferramenta para ajudá-lo a ver quem está por trás de diferentes atividades no site — como quando alguém faz uma alteração não autorizada ou uma nova instalação suspeita. Para isso, você precisa de outro plugin. Simple History faz jus ao seu nome ao criar um registro de alterações e eventos no seu site, fácil de entender e simplificado.

Para obter recursos de rastreamento mais abrangentes, confira o WP Security Audit Log, que registra praticamente tudo o que acontece em seu site e oferece Serviços Adicionais premium.

12. Proteja Sua Página de Login com Senha

A página de login é a maneira mais provável para hackers acessarem seu site, portanto protegê-la é uma excelente forma de proteger o resto do seu site. Isso pode ser um pouco técnico, mas ainda vale a pena aprender. Use este tutorial para aprender como criar um arquivo htaccess e adicionar um prompt de senha à sua página de login. Um login para seu login — o que eles vão pensar em seguida?

E se você estiver hospedando conteúdo que nem todos precisam ver, você pode proteger com senha outras partes do seu site. Para postagens de blog e outras páginas, você pode adicionar proteção por senha acessando páginas >> opção todos os posts. Clique em “editar” e você verá a opção de alterar a visibilidade para “Protegido por Senha”. Basta publicar e badabing-badaboom, essa página está bem protegida!

13. Oculte Sua Página de Login

Adicionar proteção por senha à sua página de login é ótimo, mas ainda melhor é se os hackers não conseguirem encontrá-la. Alterar suas páginas wp-admin e wp-login é fácil e ajuda a dissuadir hackers que podem facilmente encontrar sua página de login se você mantiver as configurações padrão.

Existem vários Plugins que podem redirecionar a página de login padrão para outra página de sua escolha. Muitos Plugins oferecem isso como parte de um pacote maior (por exemplo, Defender também inclui um scanner de Malware e firewall). Mas se você está procurando algo simples, experimente WPS Hide Login, que apenas oculta seu login. Só não se esqueça de adicionar a sua nova página de login aos favoritos para que você possa encontrá-la.

14. Atualizar PHP

Assim como a América depende da Dunkin’ (não nos cite nisso), o WordPress funciona com PHP. Atualizar o WordPress não é suficiente para manter seu site seguro — você precisa garantir que também está usando a versão mais recente do PHP.

Normalmente, cada versão do PHP é suportada por pelo menos dois anos após sua data de lançamento, o que significa que as vulnerabilidades são tratadas pelos engenheiros que projetaram o código. Quando o código fica desatualizado (ou atinge seu EOL ou “fim da vida útil”), é hora de atualizar, ou você corre o risco de estar exposto a preocupações de segurança, redução de desempenho e inúmeros bugs.

Para ver qual versão do PHP você está usando atualmente, faça login no seu site WordPress e selecione Ferramentas >> Saúde do Site. Navegue até Informações e depois Servidor, e veja sua versão atual do PHP.

15. Proteja o Banco de Dados do Seu WordPress

Deixar qualquer coisa nas configurações padrão é um benefício para hackers, e por padrão, o WordPress usa wp_ como prefixo para todas as suas tabelas relacionadas. Boas notícias! Se você está usando o Instalador com Um Clique, você já possui um prefixo de letras e números aleatórios. Contanto que termine com um sublinhado, o sistema está satisfeito. Melhores notícias! Mesmo que seu WordPress já esteja instalado, ele pode ser elegível para o Instalador com Um Clique, desde que o site seja totalmente hospedado e atenda a algumas outras diretrizes.

Observe apenas que quebrar algo pode ser tão fácil quanto um sublinhado ausente. Felizmente, há uma versão padrão do arquivo wp-config.php disponível no Núcleo do WordPress, então você pode reconstruir rapidamente e facilmente — seja você tentando alterar o prefixo do banco de dados manualmente, ou com um serviço como o phpMyAdmin.

16. Adicionar Perguntas de Segurança

As perguntas de segurança são frequentemente negligenciadas, mas elas dão um impulso extra à sua segurança. Dependendo do Plugin que você escolher, você poderá escolher entre as perguntas de segurança existentes ou criar as suas próprias.

17. Oculte a Sua Versão do WordPress

Segurança por Obscuridade — se eles não conseguem encontrá-lo, eles não podem hackeá-lo!

Oculte qual a versão do WordPress que você está usando (ou oculte que você está usando o WordPress por completo) alterando o código do cabeçalho. Se isso parece muito técnico, use um plugin como WPCode. Apenas certifique-se de alterar o código e não apenas editar as informações de exibição nas configurações do seu tema — esses trechos de código só retornarão na próxima atualização do tema.

18. Prevenir Hotlinking

Hotlinking é o ato de roubar largura de banda ao usar arquivos hospedados em um site e vinculá-los a outro. Por exemplo, vamos supor que alguém desenhe uma tirinha bastante inteligente, e algum outro site queira exibi-la sem permissão. Eles poderiam vincular diretamente a tirinha em vez de hospedá-la em seus próprios servidores, custando mais largura de banda ao site original e, portanto, mais dinheiro.

Para prevenir hotlinking, você pode optar por rejeitar certos domínios, permitir apenas certos domínios ou remover completamente a capacidade de fazer hotlinking, tudo isso fazendo algumas alterações no seu arquivo htaccess. Você pode até incluir um trecho no seu arquivo .htaccess que direciona todas as tentativas de hotlinking para uma página ou imagem de sua escolha — talvez uma que diga, “Pare de fazer hotlinking, aproveitador!”

19. Proteção DDoS (Desativar XML RPC)

Um ataque de Negação de Serviço Distribuído (ou DDoS) ocorre quando um hacker usa múltiplos sistemas para enviar um enorme volume de dados e sobrecarregar seu alvo. Isso pode desacelerar e derrubar o alvo — imagine um enorme congestionamento para o seu site onde nenhum tráfego legítimo consegue entrar.

Sabemos que a paciência é difícil de encontrar online, com o usuário médio esperando apenas 3 segundos para uma página carregar antes de clicar para sair, então quanto mais rápido você puder identificar e resolver um ataque ao seu site, melhor.

Embora prevenir um ataque DDoS possa parecer assustador, um dos primeiros passos que você pode tomar é remover ou desativar quaisquer Plugins antigos ou não utilizados. Plugins são incrivelmente úteis, mas ao aumentar a funcionalidade, eles também têm acesso ao seu site que pode ser explorado. Por uma vez, baixar mais plugins não é a solução!

XML-RPC permite o acesso ao WordPress através do aplicativo em seu dispositivo móvel. Se você não usa seu smartphone para fazer alterações no seu site do WordPress, provavelmente não precisa desta funcionalidade ativada. Desativá-la envolve adicionar um pequeno trecho de código ao seu arquivo htaccess, e você estará mais seguro por isso.

20. Varredura de Malware

Malware (abreviação para Software Malicioso) se esconde em aplicações que parecem seguras para que o usuário não saiba que seu computador ou site foi infectado.

A verificação de Malware é uma defesa importante que funciona usando software anti-malware para identificar e isolar arquivos suspeitos até que você decida se eles precisam ser removidos. Se uma ameaça for detectada, um bom scanner de Malware eliminará qualquer vestígio dela do seu computador o mais rápido possível. Felizmente, vários plugins de firewall já vêm com a verificação de Malware integrada, então certifique-se de verificar seus Plugins de segurança para ver o que eles oferecem.

Se você tem a DreamHost como sua plataforma de hospedagem, você pode ativar DreamShield para realizar a verificação diária de Malware para você.

Segurança do WordPress: Trancando a Porta

Se seu site for hackeado, você passará horas (talvez até dias) tentando reparar os danos. Você pode perder dados permanentemente ou ver suas informações pessoais comprometidas — ou pior: os dados de seus clientes.

É por isso que você deve dedicar tempo e energia suficientes para garantir que seu site seja seguro. Caso contrário, você apenas corre o risco de perder negócios valiosos e tempo precioso.

Estas dicas de segurança do WordPress devem ajudar. Algumas são ajustes simples, enquanto outras afetam todo o seu site. Mas se você está procurando uma mudança impactante que você pode fazer hoje para manter seu site seguro, certifique-se de que ele está hospedado em um servidor WordPress seguro.

Hospedagem DreamPress (com migração gratuita do WordPress) é especialmente projetada para o ambiente WordPress. Além disso, se você algum dia encontrar um problema de segurança, estamos preparados para ajudar com backups automáticos diários, uma varredura diária de Malware e nossa equipe de suporte composta por especialistas em WordPress! Pronto para proteger seu site de ameaças e vulnerabilidades? Saiba mais sobre a hospedagem DreamPress hoje.