Um guia prático para segurança do WordPress

Com o surgimento de violações na segurança da Web, é essencial tomar medidas preventivas para manter seu site protegido contra intrusos. Então, se você tem um site WordPress, continue a ler. Forneceremos várias dicas e ferramentas que você pode usar para tornar seu site WordPress seguro e protegido.


“Isso não pode acontecer no meu site!” Esse é o pensamento geral que muitos de nós temos quando ouvimos que um hacker violou a segurança de um site.

Talvez a pessoa com o site invadido acredite que deve ter feito algo terrivelmente errado para vazar informações vitais. Talvez a pessoa tenha cometido o terrível erro de considerar a segurança de seu site uma garantia.

Você pode se sentir seguro usando uma plataforma de CMS e blog muito popular como o WordPress para o seu site. No entanto, é bom observar que a imensa popularidade global do WordPress é uma das principais razões pelas quais os hackers segmentam sites com base nesta plataforma.

O WordPress é uma plataforma altamente amigável, e isso o torna ainda mais vulnerável a ataques de hackers e spammers. Desde o início, você deve tornar a segurança uma prioridade para o seu site, juntamente com a hospedagem e o design da Web..

Aqui está um estudo aprofundado sobre as várias medidas que você precisa tomar para melhorar a segurança do seu site WordPress. Também veremos as principais dicas para proteger um site WordPress, os principais plugins de segurança do WordPress e as ferramentas de teste.

Você precisa perceber que nenhum site pode ser 100% seguro e mesmo as informações compartilhadas aqui não tornam seu site totalmente seguro. O objetivo final é ajudá-lo a tomar todas as precauções necessárias para manter seu site WordPress protegido contra a maioria dos ataques.

Noções básicas de segurança na Web

Você pode pensar que é altamente improvável que seu site seja invadido no futuro porque nunca enfrentou problemas de segurança no passado relacionados a malware, código malicioso ou até comentários de spam.

Porém, uma das coisas mais básicas a serem lembradas sobre segurança na Web é que você precisa permanecer ativo e não reativo. Isso significa que você deve tomar algumas medidas preventivas desde o início, em vez de acreditar que alguém não pode invadir seu site e trabalhar para melhorar sua segurança..

Além disso, antes de avançar para as etapas de segurança do WordPress, você precisa perceber a importância de ter essa segurança no lugar.

Muitas pessoas visitam seu site. Alguns deles podem se inscrever nos boletins de notícias do seu site e outros podem se registrar como membros dos fóruns do seu site. Os dados compartilhados por seus visitantes também são vulneráveis ​​a ataques se seu site for invadido. Portanto, é sua responsabilidade garantir a segurança dos dados do seu site, o que, por sua vez, protegerá os dados dos visitantes.

Se seu site WordPress atrai pouco tráfego, você pode argumentar que não há motivo para um hacker atacar seu site quando existem milhares de outros sites mais populares disponíveis online. Nesse caso, provavelmente é hora de você entender os motivos pelos quais um hacker pode tentar violar seu site.

Os hackers não estão preocupados se o seu site atrai apenas alguns visitantes porque, uma vez que eles obtêm acesso ao site, eles podem usar o servidor para enviar e-mails com spam. Eles fazem isso para ajudá-los a comercializar seus serviços, produtos ou sites.
Com o aumento desse tipo de atividade de spam do servidor invadido, as chances de o seu endereço IP ficar na lista negra aumentam imensamente. Como alternativa, os hackers podem preferir usar o servidor para suas próprias atividades no site porque seus endereços IP já estão na lista negra.

Além de perceber os motivos dos hackers, você também precisa entender as diferentes maneiras pelas quais um hacker ou um spammer pode atacar seu site. Isso ajudará você a planejar as atividades de seu site de forma que seu site se torne menos vulnerável a ameaças à segurança.

Eles podem atacar através de qualquer plugin ou tema do WordPress. De fato, há casos em que problemas com um plug-in de segurança permitiram que hackers atacassem um site que usava o plug-in. Além disso, os hackers podem tirar proveito de qualquer vulnerabilidade de segurança na sua plataforma de hospedagem e usar qualquer parâmetro de URL para acessar seu banco de dados..

Dessa forma, eles podem modificar seus dados, alterar sua senha ou até mesmo excluir dados. É surpreendente saber que muitos ataques acontecem por causa de uma senha fraca para acessar o painel de administração do WordPress ou mesmo para acessar o painel de controle de hospedagem.

Tendo desenvolvido um entendimento básico da necessidade de proteger seu site WordPress, agora você pode ler mais para aprender sobre as maneiras de aumentar a segurança do seu site..

9 dicas de segurança para proteger seu site WordPress de hackers

Mantenha seu site WordPress atualizado

Se você continuar atrasando a atualização do seu site WordPress porque tem medo de perder dados devido a uma atualização incorreta, precisará imediatamente fazer backups. Depois de fazer um backup do seu site, você pode facilmente prosseguir e atualizar sua versão do WordPress para a mais recente. Você precisa fazer isso porque o WP corrige os erros de segurança da versão anterior com cada nova versão que se torna disponível.

Além disso, as informações do WordPress informam o público sobre essas correções, o que torna seu site desatualizado ainda mais vulnerável. Portanto, crie o hábito de usar a opção “Atualização disponível” regularmente depois de fazer login no painel de administração do WordPress.

Atualizar os temas e plugins usados ​​e excluir os não utilizados

Você precisa manter seu Plugins do WordPress e temas atualizados pelos mesmos motivos que você precisa para atualizar a versão geral do WordPress. Um hacker pode manipular facilmente um plugin ou tema desatualizado (através de falhas de segurança) para obter acesso ao administrador do seu site.

Portanto, não se preocupe com a compatibilidade do seu plug-in com o tema atual, mas use sempre as versões mais recentes dos dois.

Na mesma linha, verifique se a seção de plug-ins no painel de administração do WordPress contém apenas os plug-ins que você usa. Exclua os que você não usa, porque é menos provável que atualize esses plug-ins, e isso aumenta novamente a vulnerabilidade deles a ataques de segurança.

Observe que é importante “excluir” seus plugins não utilizados e não apenas “desativá-los”.

Evite baixar temas ou plugins de fontes desconhecidas

Você pode ser tentado a baixar alguns plug-ins ou temas premium de graça, mesmo que sejam de fontes desconhecidas.

Embora você se sinta empolgado com a obtenção de recursos avançados sem nenhum custo, pode esquecer de prestar atenção à ameaça à segurança que esses recursos podem trazer. Um plug-in de uma fonte desconhecida pode introduzir malware ou inserir código malicioso no seu site. Em vez de assumir um risco tão grande, é sempre aconselhável baixar apenas temas e plugins de fontes conhecidas.

Você pode usar o Plugin-Check ou Theme-Check para verificar o código dos seus plugins e temas, respectivamente. Um código mal escrito pode facilitar o acesso dos hackers ao seu site.

Se você não tem certeza absoluta da fonte e não sabe como verificar a qualidade do código, pode simplesmente optar pelos designs gratuitos do WordPress na plataforma WordPress.org.

Tenha um forte nome de usuário e senha de administrador do WordPress

Para criar seu site usando a plataforma WordPress, você obtém acesso ao painel de back-end. Por padrão, o WP gera um nome de usuário (admin) e uma senha forte para você fazer login neste painel de administração durante a instalação do WordPress. Mas, após a instalação, você deve alterar seu nome de usuário de administrador do WordPress para algo exclusivo para você.

Junto com isso, lembre-se de alterar a senha para algo desconhecido pelas pessoas ao seu redor ou pelos visitantes do seu site. Por exemplo, se o seu site revelar sua data de nascimento ou o nome do seu cônjuge, verifique se sua senha também não contém. Isso torna difícil para qualquer hacker adivinhar sua senha. Você também deve manter uma senha segura para sua conta do painel de controle.

Além disso, você pode tentar adicionar um CAPTCHA à sua página de login do WordPress para aumentar ainda mais a segurança do seu site. Isso garantirá que um bot ou script não possa obter acesso ao seu site por meio de um ataque de força bruta.

Adicionar uma autenticação de segurança do WordPress em duas etapas

Quantas senhas vou manter e manter a atualização regularmente? Você pode ter esta pergunta sobre como manter senhas fortes para vários pontos de entrada no seu painel ou painel de controle do WordPress.

Bem, você pode desfrutar de um login sem senha no painel do WordPress usando algo como o Plug-in de autenticação de dois fatores Clef. Com este plug-in, você pode usar seu telefone celular para autenticar seu login seguro no painel de administração do WordPress, juntamente com um PIN ou impressão digital. Portanto, mesmo que seu telefone esteja perdido, os detalhes da sua conta Clef permanecem seguros.

Ou você pode usar o Google Authenticator para garantir uma autenticação em duas etapas. Com isso, você precisa usar sua senha e inserir um código de login gerado exclusivamente que é enviado como SMS para o seu telefone.

Procure uma empresa de hospedagem segura

Ter a versão mais recente do site WordPress não importa se o hacker pode quebrar a versão antiga do PHP da plataforma que hospeda o site. Portanto, você precisa usar os serviços de hospedagem de um provedor de hospedagem na Web extremamente confiável.

Seu host deve ter a capacidade de estender o suporte para as versões mais recentes do MySQL e PHP. Ele também deve ter um sistema eficiente de detecção de intrusões para identificar qualquer ataque a tempo e oferecer ao seu site um firewall de aplicativo da Web para aumentar a segurança.

Restringir o número de tentativas de logon

Os hackers usam ataques de força bruta para quebrar a senha usada para fazer login no painel do WordPress. Eles tentam continuamente tentativas aleatórias de login até conseguirem.

Mesmo se sua senha for forte, ajuda a identificar quantidades excessivas de tentativas de login e restringir os endereços IP que fazem essas tentativas. Você pode então banir esses endereços IP por um período definido. Você pode fazer isso usando plugins como Bloqueio de Login ou Solução de Segurança de Login.

Agendar backups frequentes do seu site

Essa é uma etapa importante, pois ajuda você a invadir ou comprometer o site. Quando alguém invadir seu site, você poderá facilmente voltar à versão anterior do seu site que não foi comprometida. Você também pode usar qualquer uma das soluções automatizadas para backups, como VaultPress ou BackUpBuddy.

Mantenha seu espaço de administrador do WordPress bem protegido

Apenas um número selecionado de pessoas precisa ter acesso ao seu painel de administração. Além disso, sempre que possível, tente limitar a permissão para aqueles que acessam seu painel. Isso ajudará a reduzir a ameaça de ataques de fontes desconhecidas.
Você também precisa garantir que outras pessoas tenham acesso limitado ou inexistente à pasta WordPress / wp-admin / ou ao arquivo wp-login.php. Você pode permitir o acesso ao seu próprio endereço IP adicionando o seguinte trecho de código no arquivo .htaccess:

ordem negar, permitir
Negar de todos
Permitir de zz.zz.zz.zz

No código acima, você simplesmente precisa substituir “zz.zz.zz.zz” por seu próprio conjunto de endereços IP para diferentes locais ou dispositivos.

Se você não lida com endereços IP estáticos, esse método pode não funcionar para você. Nesses casos, você pode usar os plug-ins discutidos acima para limitar as tentativas de login.

Plugins de segurança do WordPress para detectar códigos maliciosos no seu site

Se um hacker atacar seu site, ajudará a limitar o dano ou tomar medidas oportunas se você souber sobre ele imediatamente. Então, vamos ver alguns dos principais plug-ins de segurança do WordPress que podem detectar códigos maliciosos inseridos no seu site.

Proteção de site do WP AntiVirus

Este plugin popular, oferecido pelo SiteGuarding.com, ajuda a detectar e remover qualquer vírus ou código malicioso encontrado no seu site WordPress. Ele verifica itens como arquivos de plug-in, arquivos de temas e todos os envios para detectar rapidamente ameaças à segurança, incluindo backdoors, adware, spyware, rootkits, worms, cavalos de Tróia e ferramentas de fraude.

Se você continuar baixando temas e plugins de sites de torrent (em vez de comprar as cópias originais dos desenvolvedores), precisará desse tipo de plug-in para obter melhor segurança.

Segurança do Wordfence

Este plug-in oferece segurança gratuita de classe corporativa, protegendo seu site contra malware e possíveis hacks. Ele verifica se o seu site já tem uma infecção e faz uma verificação profunda no servidor do código-fonte do seu site.
Ele compara o código ao Repositório Oficial do WordPress para plugins, núcleos e temas. Ele não apenas protege seu site contra a maioria das ameaças, mas também o torna 50 vezes mais rápido do que antes.

O Wordfence também permite o bloqueio em tempo real de atacantes conhecidos. Isso significa que, se um hacker atacar esse plug-in em outro site, ele também será bloqueado automaticamente do seu site..

Ele pode bloquear uma rede inteira de endereços IP maliciosos quando existe a ameaça de códigos maliciosos serem inseridos no seu site. Além disso, ajuda a bloquear ameaças na forma de raspadores, rastreadores e bots identificados durante as verificações de segurança. Ele também procura cavalos de Tróia, códigos suspeitos, backdoors, URLs de phishing, malware, vulnerabilidade HeartBleed etc..

Se você é um usuário premium, também pode bloquear países e agendar verificações com frequência para períodos específicos.

Exploit Scanner

O Exploit Scanner está sempre atento a algo suspeito nos arquivos e banco de dados do seu site WordPress, incluindo postagens e tabelas de comentários.

Ele também verifica os plug-ins usados ​​por nomes de arquivos enganosos ou incomuns. Se encontrar algum código ou arquivo malicioso, este plug-in fornecerá um relatório detalhado ao administrador do site e deixará a ele remover o código malicioso..

Sucuri Security

Este é um conjunto de ferramentas de segurança abrangente para detecção de malware, proteção de segurança e monitoramento de integridade de segurança. É um ótimo suporte para os recursos de segurança do seu site existente.

Algumas funções importantes deste plug-in incluem monitoramento de integridade de arquivos, monitoramento de lista negra, auditoria de atividades de segurança, verificação remota de malware, proteção de segurança e ações de segurança executadas pós-hacks, notificações de segurança e firewall do site.

Como digitalizar seu site WordPress em busca de malware oculto?

Como o WordPress é uma plataforma de código aberto, é facilmente suscetível a infecções ou injeções de malware por hackers. Algumas das maneiras comuns pelas quais os hackers podem injetar malware no seu site incluem o seguinte:

  • Pharma Hacks (injeções de spam no seu banco de dados ou arquivos)
  • Phishing (aquisição de informações confidenciais, como endereços de email, senhas e nomes de usuário)
  • Redirecionamentos maliciosos (redirecionando os visitantes do seu site para outra página do site em que há um arquivo infectado ou código malicioso baixado)
  • Injeções de arquivos e bancos de dados (adição de código malicioso no banco de dados ou arquivos do seu site)
  • Backdoors (acesso à sua área administrativa ou conta FTP)
  • Todos os hackers desejam garantir que o proprietário do site não saiba que invadiu o site dele. Isso permite que os hackers infectem os visitantes do site através de spam contínuo por um período mais longo.

Portanto, seu objetivo é continuar pesquisando qualquer malware oculto no seu site que você não conheça e se livrar dos arquivos ou pastas infectados.

Você pode fazer isso usando plug-ins populares do WordPress para verificação de malware, como os listados abaixo:

Use o Sucuri SiteCheck Scanner para verificar a existência de malware em potencial. Basta ir ao site aqui e insira o URL do seu site. Esse scanner gratuito realizará uma verificação abrangente do seu site em busca de malware, erros no site, status da lista negra e software desatualizado.

A única desvantagem é que você precisa executar essa verificação manualmente com a versão gratuita. Você pode atualizar para os planos premium e receber alertas via Twitter, email ou RSS, sempre que detectar malware.

Remova seu site de qualquer lista negra se um hacker usar seu servidor para enviar spam por um longo tempo. Os serviços premium também ajudam a remover o malware. Você pode até tentar o plug-in de segurança Sucuri discutido anteriormente para proteção aprimorada contra malware.

Use o Scanner anti-malware para procurar malware, vírus, backdoors e ameaças conhecidas semelhantes, além de removê-los automaticamente. Um dos principais recursos premium deste plug-in é corrigir a página wp-login.php para impedir ataques de força bruta.

Além disso, você pode usar qualquer um dos plug-ins de segurança do WordPress discutidos acima para identificar código malicioso.

Ferramentas de teste de segurança de sites

Para proteger seu site contra ataques, você precisa testar constantemente o nível de segurança do seu site usando certas ferramentas de teste, como:

Wapiti detecta vulnerabilidades (divulgação de arquivos, injeção de banco de dados, injeção de scripts entre sites, configurações fracas de .htaccess e muito mais) em seu site. Essa ferramenta usa a abordagem de verificação da caixa preta.

Isso significa que ele não estuda o código-fonte do aplicativo, mas verifica as páginas da Web em busca de formulários e scripts nos quais ele pode injetar dados. Ele injeta cargas úteis para identificar os scripts que são vulneráveis. Ele fornece relatórios em vários formatos, como HTML, XML, Texto e JSON.

Google Nogotofail testa o tráfego de rede de um site para detectar e corrigir conexões TLS ou SSL fracas e tráfego de texto não criptografado sensível em vários dispositivos. Você também pode configurá-lo como um servidor VPN ou servidor proxy ou mesmo um roteador.

Você pode experimentar o scanner e testador de código aberto chamado Vega. Essa plataforma baseada em GUI está em Java e funciona com as plataformas OS X, Windows e Linux. Consiste em um proxy interceptador para executar inspeção tática e um scanner automatizado para realizar testes rápidos.

Essa ferramenta pode ser usada para identificar scripts entre sites (XSS), injeção de SQL e vulnerabilidades semelhantes.
Esperamos que essas dicas e informações sobre a segurança do WordPress o ajudem a melhorar a segurança do seu site em grande medida.

Você já experimentou alguns plug-ins ou métodos que aumentam consideravelmente a segurança do seu site WordPress? Compartilhe sua experiência e continue divulgando a importância da segurança do site entre sua rede.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map