Neste post vamos mostrar um guia com orientações de segurança para manter seu site WordPress sempre atualizado e seguro
WordPress é um sistema livre e aberto de gestão de conteúdo para internet, baseado em PHP com banco de dados MySQL, executado em um servidor interpretador, voltado principalmente para a criação de páginas eletrônicas e blogs online. Wikipédia
Por ser uma ferramenta muito utilizada no mundo todo, também surge interesses de invasões.
Pontos para proteger um site WordPress
A seguir algumas práticas recomendadas ajudará a garantir que um site WordPress esteja pronto para enfrentar o ataque de hackers que estão sondando sites todos os dias:
- Escolha um provedor de hospedagem seguro e que prover suporte.
- Use HTTPS.
- Não use a palavra “admin” como seu nome de usuário de administrador.
- Reforce o uso de senhas fortes.
- Atualizar plugins e temas.
- Plano de backup do site.
- Minimize o uso de plugins.
- Autenticação de dois fatores.
- Instale um firewall do WordPress e um verificador de vulnerabilidades.
Vamos examinar cada um deles com um pouco mais de detalhes.
Provedor de hospedagem/host seguro e com suporte
A escolha de um host WordPress seguro é uma das considerações de gerenciamento de risco significativas para o seu projeto. Seu host WordPress desempenha um papel importante na segurança do seu site, portanto, você não pode escolher qualquer provedor de hospedagem. Você precisa escolher um que forneça várias camadas de segurança no nível do servidor.
Adicionar HTTPS/SSL
Até agora, a maioria dos sites está usando HTTPS, Mas se o seu site não estiver usando HTTPS, verifique com seu host da Web sobre como adicionar um certificado SSL gratuito.
Basta definir o endereço do WordPress e o endereço do site usando https:// . Isso pode ser feito na guia configuração gerais.
Se o site estiver atualizando de um estado inseguro para um seguro, vale a pena examinar o plug-in Really Simple SSL (usado por mais de 5 milhões de sites), pois ele realmente simplifica a conversão para HTTPS ao lidar com redirecionamentos e outras tarefas relacionadas.
O Really Simple SSL também ajuda a mitigar ameaças de segurança, como ataques de clickjacking e falsificação entre sites, fornecendo a opção de adicionar cabeçalhos de segurança.
Hoje em dia, instalar um certificado SSL é uma tarefa fácil.
Muitos hosts da web oferecem certificados SSL gratuitos – além disso, é um fator de classificação conhecido no Google.
Depois de converter para HTTPS, é uma boa ideia verificar se nenhuma página solicita links ou conteúdo HTTP.
A verificação de conteúdo misto é obrigatória.
O conteúdo misto ocorre quando os ativos inseguros do site (scripts, imagens, vídeos, etc.) são vinculados a páginas HTTPS .
Rastreie seu site com o Missing Padlock para identificar rapidamente instâncias de conteúdo misto e, em seguida, corrija os erros vinculando-os a ativos HTTPS.
Use um nome de usuário de administrador seguro
Um grande número de ataques de segurança contra a tela de login do WordPress é feito com o nome de usuário “Admin”.
Existem dois tipos principais de ataques que tentam quebrar a senha de login:
- Força bruta.
- Ataque de dicionário.
O ataque de força bruta ocorre quando o software de hacking automatizado tenta adivinhar a senha do administrador usando diferentes combinações de palavras, letras e números.
Um ataque de dicionário ocorre quando o software de hackers usa senhas comuns para tentar adivinhar o login do administrador.
Em muitos casos, o nome de usuário administrador que esses softwares usam é “Admin”.
Não usar a palavra “Admin” como nome de usuário é uma etapa simples que ajudará a proteger um site WordPress.
Para dar um passo adiante, você pode criar uma regra de firewall com o plug-in de segurança Wordfence para bloquear automaticamente qualquer humano ou bot que tente fazer login com o nome de usuário Admin.
Aplicar senhas fortes
Não permita que ninguém, especialmente usuários com privilégios de administrador, crie uma senha que não seja forte.
Mesmo usuários com poucos privilégios de site, como o nível de assinante, podem se tornar um vetor de ataque. Portanto, é importante impor senhas fortes a todos que podem fazer login no site WordPress.
O popular plug-in iThemes Security WordPress, com mais de 1 milhão de usuários, oferece reforço de força de senha de login, bem como autenticação de dois fatores.
Uma política de segurança de senha que impõe senhas fortes também pode ser habilitada usando o plug-in de segurança Wordfence WordPress.
Atualizar plugins e temas
Algumas atualizações de plugins, temas e a própria instalação principal do WordPress são para corrigir (corrigir) vulnerabilidades.
A falha na atualização do software pode tornar o site vulnerável.
A maioria das atualizações funciona bem. Em raras ocasiões, uma atualização pode alterar algo no software que começa a entrar em conflito com outro plug-in ou tema, fazendo com que o site trave.
Se isso acontecer, é fácil reverter o site para um estado anterior se o backup do site tiver sido feito.
A melhor maneira de atualizar plugins e temas é testar o site e verificar se ele funciona como deveria com o software atualizado.
Mas se você não estiver preparando o site, a segunda opção é fazer backup do site e atualizá-lo.
Teste o site para garantir que tudo funcione. Se o site não funcionar corretamente, reverta-o com o backup.
A terceira opção é configurar todos os plug-ins para atualização automática para que você nem precise pensar nisso. Se algo quebrar, volte ao estado anterior.
Faça backup do seu site WordPress
Fazer backup de um site diariamente é fundamental.
Há muitas coisas que podem dar errado, e um backup salvará o dia quando algo catastrófico acontecer com o site.
UpdraftPlus WordPress Backup Plugin, com mais de 3 milhões de usuários, é uma solução popular e confiável.
Eu o uso em todos os meus sites e posso recomendá-lo com confiança.
Ele me salvou por ocasião de uma reformulação do site que não correu muito bem, permitindo-me restaurar facilmente o site para uma versão anterior.
Outra solução popular é chamada WP Rollback.
WP Rollback tem mais de 200.000 instalações, e as pessoas que criam o software são confiáveis e especialistas em WordPress.
Funciona bem com temas e plugins baixados do WordPress.org.
Minimize o uso de plugins
Cada plug-in instalado aumenta a chance de um deles expor o site a uma vulnerabilidade.
Além dos motivos de segurança, o uso de muitos plug-ins pode afetar o desempenho do site, além de aumentar a chance de que o código entre dois ou mais plug-ins entre em conflito e trave o site.
Planeje com antecedência quais plug-ins você deseja usar para realizar o que precisa.
Alguns plug-ins podem executar várias tarefas, eliminando a necessidade de instalar um plug-in autônomo para realizar essa tarefa.
Implemente a autenticação de dois fatores
A autenticação de dois fatores é assim chamada porque são necessárias duas formas de identificação para fazer login em um site WordPress com esse recurso ativado.
O primeiro fator é o nome de usuário e a senha.
O segundo fator é uma segunda forma de autenticação, geralmente com um aplicativo como Authy ou Google Authenticator que está no celular do usuário.
Portanto, mesmo que um hacker obtenha acesso ao nome de usuário e à senha, ele não poderá fazer login sem a segunda autenticação.
Existem muitos plugins do WordPress para escolher para adicionar esse recurso, incluindo:
WP 2FA
WP 2FA é uma escolha popular para adicionar autenticação de dois fatores.
Ele oferece suporte a vários métodos de autenticação de dois fatores, incluindo Google Authenticator, Authy, link de e-mail, OTP de e-mail e notificação por push.
Existem métodos adicionais, como autenticação de voz e WhatsApp, disponíveis na versão Pro.
Segurança de login do Wordfence
Wordfence é uma marca confiável. seu plug-in autônomo de autenticação de dois fatores suporta Authenticator, Authy, 1Password e FreeOTP.
Além disso, plugins de segurança como Wordfence e iThemes Security também têm opções para ativar a autenticação de dois fatores.
Instale um plug-in de segurança do WordPress
Os plug-ins de segurança são úteis porque podem fechar quaisquer brechas de segurança e bloquear os hackers que estão tentando tirar proveito dessas vulnerabilidades.
Existem dois tipos de plugins de segurança do WordPress:
- Fortalecimento e varredura de segurança.
- Firewall.
Aqui estão algumas ferramentas que eu recomendaria.
sucos de segurança
Sucuri é uma escolha confiável para um plugin de segurança. É de propriedade da GoDaddy.
A Sucuri verifica um site em busca de malware e oferece opções para proteger o site contra explorações.
Escolher o Sucuri é fácil porque ele complementa um plugin de firewall, como o Wordfence.
A versão paga também inclui um firewall.
Proteção Jetpack
O Jetpack Protect é criado pela Automattic, a empresa por trás do WordPress.com, Akismet, WPScan e WooCommerce, entre outros.
O Jetpack Protect executa uma verificação diária de malware do núcleo, plug-ins e temas do WordPress.
Este plug-in gratuito é relativamente novo – foi transformado em um plug-in autônomo em 2022.
Wordfence Security – Firewall, verificação de malware e segurança de login
Wordfence é uma escolha popular para a segurança do WordPress. Existem mais de 4 milhões de instalações ativas.
O Wordfence atua como um firewall para proteger um site contra-ataques de hackers e pode banir bots de hackers automatizados e hackers reais em tempo real se a atividade se adequar ao padrão de um hacker.
Os usuários podem configurar o firewall Wordfence com regras que podem bloquear hackers imediatamente.
O Wordfence também ajuda a proteger um site contra hackers, fornecendo autenticação de dois fatores e desativando a execução do PHP em pastas onde o PHP não deve ser executado.
Outro benefício do Wordfence é que o plug-in envia lembretes por e-mail quando um plug-in precisa de uma atualização.
A versão paga do Wordfence recebe regras de firewall para proteção contra as mais novas explorações assim que o Wordfence as conhece.
Segurança iThemes
O iThemes Security é um plug-in completo que verifica e protege um site, além de bloquear bots ruins como um firewall. Existem mais de um milhão de instalações ativas.
O iThemes lida com muitas atividades relacionadas à segurança, o que o torna uma escolha popular para aqueles que preferem um plugin para fazer tudo.
Tome medidas adicionais de segurança do WordPress
Estas são as etapas adicionais para criar uma forte postura de segurança.
Verifique sua versão do PHP
PHP é o software em que o WordPress é executado.
Versões desatualizadas do PHP podem expor um site a vulnerabilidades de segurança.
Certifique-se de que a versão do PHP usada não atingiu o status de fim de vida (EOL).
Verificar vulnerabilidade online
Aqui estão três ferramentas online que verificam vulnerabilidades ou informam se um site foi invadido:
- Sucuri Malware and Security Checker: Verifica um site para verificar se há vulnerabilidades.
- Status do site de navegação segura do Google: mostra se o Google encontrou uma vulnerabilidade em um site.
- Verificador de vulnerabilidade de JavaScript: testa se um site está usando JavaScript vulnerável.
O futuro da segurança do WordPress
Os hackers estão atacando todos os sites, independentemente do sistema de gerenciamento de conteúdo (CMS) usado.
WordPress é o CMS mais popular do mundo, o que o torna um alvo popular de hackers.
Felizmente, o WordPress tem uma enorme comunidade trabalhando para mantê-lo seguro, o que é uma vantagem que outras plataformas não possuem.
Todos os proprietários de site WordPress devem considerar reservar um tempo para garantir que medidas sejam tomadas para manter seus sites WordPress totalmente seguros.