Como proteger o WordPress? 16 Passos para deixar seu site seguro

secure WordPress
Shares

Se você lê nossos blogs regularmente, sabe que a segurança do seu site e da sua hospedagem é crucial. Ela consegue ser mais importante que a performance, arte do site e outras funcionalidades. Por isso, é muito importante quando você for criar um site, se certificar que ele é seguro. Mas, se o seu WordPress não estiver protegido, uma hospedagem e um servidor seguro não vão adiantar de nada.

O WordPress é vulnerável a ataques

Quanto mais famoso o aplicativo ou site, mais propêncio a ataques ele será. Atualmente, o WordPress alimenta mais da metade dos sites em todo o mundo. Seu sucesso foi determinado principalmente pela combinação de simplicidade e possibilidade de desenvolvimento. A estrutura aberta permite o desenvolvimento de sites por plug-ins.

Infelizmente esse número grande de instalações do WordPress, também traz resultados negativos. De acordo com o Wordfence, em 9 de Dezembro de 2021, mais de 1.5 milhões de sites construídos com WordPress, foram atacados. Mais de 13 milhões de ataques e tentativas de acesso ao painel de gerenciamento foram feitas num prazo de 36 horas.

Os criminosos virtuais estão sempre procurando por uma fraqueza no seu site ou aplicativo, por que assim, eles podem ter acesso a dados valiosos, como dados pessoais dos seus clientes, registros de cartões de créditos e etc. Também é interessante nós olharmos para um ponto muito relevante e comum quando o assunto é ataques a paginas WordPress. De acordo com o plug-in Sucuri, mais de 50% das páginas hackeadas, estavam com uma versão do WordPress antiga. A Keycdn.com também traz uma outra estatística, quase 56% das vulnerabilidades do seu site, são devido à temas e plug-ins desatualizados.

Como manter o WordPress seguro?

Mas somente atualizar uma aplicação não é garantia de segurança. É muito importante você seguir todas as nossas diretrizes de segurança, quanto mais medidas de proteção você seguir, mais seguro será seu site.

A parte boa é, que para alguns problemas, é necessários somente um conhecimento básico do painel phpMyAdmin, que é aonde você consegue editar os dados do seu banco de dados. Porém, uma operação incorreta em alguma tabela, pode resultar em falha na pagina ou até mesmo no site inteiro.

Outra atitude importante que você deve tomar quando se trata da segurança do seu site, é escolher um servidor seguro. Você tem duas opões: Hospedagem VPS ou a Hospedagem WordPress Segura. Eu particularmente, recomendo a segunda, pois, é projetada e construída exclusivamente para a proteção do WordPress contra ataques. Agora, sem mais delongas, vamos para a lista!

Atualize o WordPress

Parece clichê né? talvez seja, mas é sempre muito importante estar checando se seu WordPress não esta ficando velho. Desde a versão 3.7, o WordPress atualiza Temas, plugins e o CMS automaticamente. Ficar adiando suas atualizações é uma prática muito arriscada.

Mude o Prefixo padrão wp_ nas suas tabelas do Banco de Dados

Graças a um prefixo nas tabelas do banco de dados MySQL, o aplicativo pode reconhecer quais dados pertencem a ele. Afinal, vários aplicativos podem usar um banco de dados. Um dos pontos fracos do WordPress é que ele deixa o prefixo wp_ padrão no banco de dados; torna as coisas mais fáceis para os hackers. Portanto, altere esse prefixo para outro menos comum (Ex: xtmx4_).

Você pode fazer isso de duas maneiras – ao instalar o WordPress e após a instalação, fazendo login no banco de dados MySQL por meio do painel phpMyAdmin. Graças a esta mudança, um site feito em WordPress será menos suscetível a ataques de SQL Injection.


A alteração do nome do prefixo da tabela requer a modificação de entradas em duas tabelas do WordPress: xtmx4_options e xtmx4_usermeta. Você pode fazer isso por um dos dois comandos SQL (é necessário indicar os prefixos propostos por você):

  • SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
  • SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;

Lembre-se de modificar a linha com o prefixo no arquivo wp-config.php após esta alteração.

Mude o ID do Login e do Administrador

O Login padrão do WordPress é “admin” – isso deixa bem fácil de adivinhar para alguém que esta tentando entrar no seu painel. Durante a instalação, vale a pena trocar esse valor por um outro, menos “lógico” ao ponto de vista de usuários externos. Lembre-se que o Login não será mostrado nos artigos dos blogs, pois o nome de exibição é configurado individualmente no painel do WordPress.

Mude o login após a instalçao pelo phpMyAdmin, na tabela (seu prefixo)_users. No mesmo lugar, você vai mudar o ID da conta. É aconselhável inserir números grandes com uma sequência aleatória (e.g., ao invés de 33333, insira 158062)

Restrinja o acesso ao painel WordPress com .htacess

Restringir o acesso à página de login é uma solução muito sensata. No arquivo .htaccess, basta configurar as conexões permitidas para o endereço IP selecionado. Segue abaixo a fórmula correta para incluir no conteúdo:

  • AuthName “Example Access Control”
  • AuthType Basic
  • order deny, allow
  • deny from all
  • allow from IP_address

No lugar de “IP_adress”, insira o endereço a partir do qual você deseja acessar o painel.

Altere o endereço de login do back-end do WordPress

Scripts maliciosos atacan subpaáginas relacionadas ao conteúdo e sua edição. i.e., “/wp-admin”. Então, vale a pena considerar mudar o endereço para outro que seja mais amigável e menos óbvio para cyber-criminosos. Instale o plugin WPS Hide Login e o configure de acordo com as suas necessidades. O endereço do novo painel de login ficará disponível em segundos.

Outro tipo de proteção contra golpes na pagina de login do WordPress é fazer o uso do arquivo .htaccess na hospedagem e referência ao arquivo .htpasswd, no qual você configura os dados de acesso para exibir na página de login.

Mude o Método de Login para seu email

Mudar como a aplicação verfica o usuário aumenta a segurança do seu painel WordPress. Para fazer isso, instale o plugin WP Email Login e substitua o nome de login pelo endereço de e-mail atribuído ao usuário. Depois de salvar as alterações, altere o login padrão para um conjunto de caracteres aleatórios (especialmente, se você usou “admin”).

70 Best Free WordPress Themes in 2022

Ative a Aplicação Extra de Proteção na Hospedagem (WAF)

O Secure WordPress Hosting te protege com uma camada adicional de segurança – Um Firewall de uma aplicação web. Se você utiliza outro fornecedor, pergunte para ele sobre o WAF. Ele te protege contra ataques a vulnerabilidades relacionadas ao banco de dados MySQL ou com o uso scripts maliciosos.

Desative a edição de plugins e arquivos de temas

Você já personalizou seus temas e já iniciou os plugins? Proteja seus arquivos prevenindo possíveis edições no código do painel do WordPresss. Para fazer isso, adicione uma linha no arquivo wp-confing.php:

  • define (‘DISALLOW_FILE_EDIT’, true);

Desative o registro de usuário

O WordPress te permite registrar usuários por padrão, mas se só você gerência seu site, não tem necessidade de ter essa opção, e a melhor coisa a se fazer é bloquear isso nas configurações do WordPress. Essa é outra janela em potencial a ataques.

Ative a autenticação de dois fatores

Uma segurança adicional na hora do login, não machuca ninguém. Use o plugin de autenticação de dois fatores para configurar um login duplo ao painel. Depois de inserir um login e uma senha, você teria que digitar um código único enviado para o seu smartphone. Esta solução requer a instalação da aplicação Google Authenticator no seu smartphone, disponível em Android e iOS.

Plugins de segurança para WordPress – Por que não vale a pena usar eles?

No mercado você irá encontrar milhares de plugins que contem as mesmas ou até mais funcionalidades do que as citadas a cima, para a proteção de ataques “brute force” e de outros tipos. Eles poupam seu tempo (tudo o que você precisa fazer é instalar algum deles e configurar em minutos) e (na teoria) cuidará de varios problemas de segurança.

Mas, pode confiar? Não vamos esquecer que, eles não passam de plugins como todos os outros. E até mesmo plugins de segurança contém vulnerabilidades que pode tornar os ataques de hackers fáceis ao seu painel WordPress.

Plugins como Wordfence, Sucuri, ou iThemes Securit são tendencias, e oferecem vários recursos, parece tentador, mas a estatística do estudo WPwhiteSecurity é preocupante. Entre os 10 plugins WordPress mais vulneráveis em 2019, o Wordfence ficou em 4º lugar.

Faça cópias adicionais dos seus dados

Nos servidores UltaHost, o backup é realizado ciclicamente à noite, de forma pontual. Todos os arquivos e bancos de dados no backup refletem o estado do servidor em uma determinada hora. Em qualquer caso, o usuário pode restaurar os dados dos últimos 16 dias. É um dos melhores negócios do mercado, mas não deve ser uma surpresa. UltaHost tem uma política de segurança em primeiro lugar.

Se o seu site for dinâmico e você publicar muito conteúdo nele (por exemplo, na forma de um portal de anúncios), instale aplicativos adicionais de backup do WordPress. Um deles é o Updraft, graças a ele você pode programar um backup a cada 60 minutos. Lembre-se de fazer backups quando o tráfego estiver baixo, pois cada operação de backup é uma carga pesada para o servidor.

Remova plugins e temas desnecessários

O WordPress permite que você crie um site para qualquer finalidade. Não é de admirar que você esteja testando novos temas e plugins nele. Lembre-se de removê-los se não for usá-los. Mesmo plug-ins desativados, mas desatualizados, podem ser o motivo de um ataque ao seu site.

Baixe plug-ins apenas de uma fonte confiável. Não precisa necessariamente ser um repositório oficial do WordPress porque existem plugins premium que você pode baixar apenas no site do autor. Mas evite plug-ins de fontes não confiáveis, como e-mail ou serviços de arquivos gratuitos. Eles não tem nenhuma verificação.

Atualize os temas frequentemente

É a terceira fonte em potencial de problema que um site baseado em WordPress pode encontrar. Os desenvolvedores de temas devem lançar atualizações sempre que possível para corrigir bugs e vulnerabilidades de software. Tais bugs podem ser explorados por hackers e não devem ser subestimados.

Use um Certificado SSL

O WordPress fornece suporte completo para conexão HTTPS criptografada por meio do navegador. A partir de 2017, o aplicativo CMS exige que o servidor suporte esse protocolo. O certificado SSL também é essencial por causa da otimização de SEO.

Além disso, os navegadores mais populares (Google Chrome, Mozilla Firefox) marcam sites sem certificado SSL como “não seguros”. Do ponto de vista psicológico, isso equivale a desencorajar o usuário a visitar o site no futuro.

Use senhas longas

Quanto mais longa e variada for a senha, melhor. O WordPress oferece automaticamente para salvar a senha na forma de vários caracteres sem frases de dicionário. Normalmente, nesta etapa, queremos propor nossa senha, mas na maioria dos casos ela não será forte o suficiente.

Se você gostou desse artigo, então vai amar a plataforma de hospedagem segura da UltaHost. Tenha suporte 24/7. E uma infraestrutura poderosa focada em escalabilidade, performance, e segurança. Nos deixe te mostrar a diferença! Veja nossos planos de Hospedagem WordPress segura!

Previous Post
Why your Website fails to load (and how to fix it!)

Por que seu site Falha ao Carregar (Como consertar)

Next Post
eCommerce website optimization

Como escolher a melhor plataforma E-commerce?

Related Posts
 25% off   Enjoy Powerful Next-Gen VPS Hosting from as low as $5.50