Mantendo seu site WordPress protegido de hackers em 2021

Mais de 100.000 sites são alvos de hackers todos os dias! Por isso, é fundamental manter o seu site WordPress seguro. Seu site pode ser um desses sites a qualquer momento. WordPress é bastante seguro. No entanto, muitos sites WordPress são vítimas de hackers. Isso tem menos a ver com o próprio WordPress e mais com a forma como você, como webmaster, cuida do seu site e configura sua segurança.

Mesmo se você se certificou de que seu site estava seguro ao lançá-lo, manter-se atualizado com a manutenção de segurança garantirá que seu site esteja devidamente protegido em todos os momentos.

Antes de começar, é uma boa ideia se familiarizar com alguns dos problemas comuns de segurança que os sites WordPress têm:

• Ataques de força bruta - Os ataques de força bruta são a razão pela qual é importante ter uma senha forte. Um invasor irá inserir informações de login repetidamente até obter a combinação correta de login para acessar seu site WordPress.
• Malware - abreviação de software malicioso, malware é o código usado para obter acesso não autorizado a um site para coletar dados confidenciais pertencentes ao proprietário da empresa e seus clientes ou contatos.
• Explorações de inclusão de arquivos - as explorações de inclusão de arquivos acontecem quando um código não seguro é usado para carregar arquivos remotos, o que dará aos hackers acesso ao seu site. Isso também fornecerá a eles acesso ao arquivo wp-config.php, que é essencialmente a espinha dorsal da instalação do WordPress. Se esse arquivo for comprometido, os hackers podem acessar as informações de login do banco de dados e a segurança da criptografia.
• Injeções de SQL - as injeções de SQL são um ataque ao seu banco de dados WordPress, por meio do qual o invasor obtém acesso ao seu banco de dados e, portanto, aos seus dados. Quando isso acontecer, o invasor será capaz de adicionar e alterar os dados, que podem incluir links maliciosos e spam.
• Cross Site Scripting - Cross Site Scripting é o problema mais comum com plug-ins e funciona por um invasor que encontra uma maneira de fazer a vítima carregar inadvertidamente páginas da web com scripts javascript inseguros.

O que acontece quando sua segurança é comprometida?

Os hackers podem roubar seus dados e quaisquer dados pertencentes a seus clientes, deixando esses dados expostos. O malware pode ser distribuído de seu site para os visitantes, o que pode prejudicar sua classificação de SEO e também a reputação de sua marca. E, finalmente, todo o seu site pode ser apagado, o que, se não for feito o backup, pode causar alguns problemas sérios.

Agora, a grande questão é: como você pode tornar seu site seguro contra hackers? Para sites WordPress, existem várias maneiras de tornar seu site mais seguro. Neste guia, vou mostrar algumas das mudanças básicas de segurança que você pode fazer, até os recursos de segurança mais detalhados do WordPress. Vamos mergulhar.

O que são configurações básicas de segurança?

A maioria dos sites nem tem o básico coberto, o que torna a proteção bastante desleixada. Aqui, abordaremos as coisas básicas que você pode fazer para aumentar a segurança do WordPress.

1. Fortes credenciais

Pode parecer bobagem, mas certificar-se de que você tem uma senha forte é sua primeira linha de defesa. Hoje as pessoas ainda usam senhas como Password123, que oferece muito pouca proteção. Pode ser tentador usar seu nome de usuário ou mesmo endereço de e-mail como senha, mas não use!

Uma senha forte será diferente do seu nome de usuário e / ou e-mail e inclui letras maiúsculas, bem como letras minúsculas, números e caracteres especiais (por exemplo,!, *,%).

Da mesma forma, você pode se surpreender ao saber que muitas pessoas estão usando admin como nome de usuário. Se estiver, é hora de mudar.

2. Hospedagem segura que usa uma conexão segura

Os hosts da Web são responsáveis ​​pela segurança do seu site tanto quanto você. Hoje em dia, a hospedagem é fornecida por meio de hospedagem em nuvem ou hospedagem compartilhada (verifique as melhores opções de hospedagem barata em WordPress). A hospedagem em nuvem hospeda vários sites em vários servidores, enquanto a hospedagem compartilhada hospeda vários sites em um servidor.

A hospedagem em nuvem é valorizada por seu alto nível de confiabilidade e segurança, pois não requer o compartilhamento de recursos limitados entre vários sites. Esse é o problema com a hospedagem compartilhada e quando os hosts empilham mais sites do que o servidor pode lidar, isso deixa os sites vulneráveis.

Isso não quer dizer que a hospedagem compartilhada seja ruim. Hosts responsáveis ​​sempre usarão uma conexão segura e nunca darão a um servidor mais do que ele pode suportar. Agora pode ser um bom momento para verificar seu host e descobrir se você precisa fazer uma troca.

3. Autenticação de dois fatores

Uma correção de segurança simples é habilitar a autenticação de dois fatores ao fazer login em seu painel. Isso adicionará uma camada extra de segurança ao seu site e é muito fácil de ativar em suas configurações.

A autenticação geralmente é um código via SMS ou e-mail. Alguns acham chato ter que passar por uma etapa extra para fazer o login, mas vale a pena pela proteção extra.

3. Certificados SSL

Não tem certeza se seu site possui um certificado SSL? Um site que possui um SSL apresentará https: / no início de seu endereço da web e, muitas vezes, seu navegador dirá que o site não é seguro. Os certificados SSL permitem que os visitantes da web saibam que seu site é seguro, portanto, seus dados estão protegidos ao usar o site.

A maioria dos provedores de hospedagem agora inclui certificados SSL em seus custos de assinatura, mas se você não tiver um, você pode pagar por um através do seu host ou pode usar o certificado Let's Encrypt grátis (veja como adicionar SSL grátis manualmente ao site WordPress).

Como proprietário de um site, você deve verificar os diferentes tipos de SSL ao selecionar um certificado SSL para o seu site. Por exemplo, se um site de comércio eletrônico tem vários subdomínios, você deve pensar em obter um certificado SSL curinga.

Existem muitas marcas de certificados de renome disponíveis que podem ajudá-lo a estabelecer a confiança no site, como AlphaSSL, Comodo, GlobalSign, DigiCert. Você pode escolher qualquer um, pois todas as marcas de renome atendem a certificados SSL autenticados.

4. Faça backup do seu site

Não importa o quão forte seja a segurança do seu site, ele nunca será 100% à prova de balas. É por esta razão que o backup do seu site (veja a comparação de plug-ins de backup do WordPress) é um dos requisitos absolutos na segurança de sites. Se o inevitável surgir, você pode ter certeza de que não terá que começar seu site do zero.

Você pode usar um plug-in de backup como o Duplicator (veja como migrar o site WordPress usando o Duplicator), BackupBuddy (verifique a revisão do BackupBuddy), WPvivid (consulte a revisão do WPvivid), 10 Backup da Web (verifique 10 a revisão da Web), etc.

Outra maneira de fazer backup de seus dados é sincronizando qualquer aplicativo ou software que você usa com os mesmos dados. Por exemplo, você pode fazer backup de seus contatos sincronizando Mailchimp e Office 365, isso permitirá que você mantenha os dados de contato seguros e protegidos.

5. Plugins e temas

Os sites WordPress funcionam com temas e muitos plug-ins que também exigem atualizações. Essas atualizações são essenciais para manter seu site funcionando sem problemas, mas também para corrigir quaisquer bugs ou problemas no software. Muitas empresas têm sites que funcionam em versões mais antigas de software e nem mesmo sabem disso.

Outro problema é o uso de temas e plug-ins nulos, eles contêm código modificado e não são confiáveis. Usar plug-ins anulados pode colocar seu site em risco.

6. Atualize sua versão do PHP

Qualquer site que execute uma versão muito antiga do PHP está exposto a riscos de segurança. Um PHP desatualizado pode deixar seu site WordPress vulnerável. É uma boa ideia verificar se o seu está executando na versão mais recente do PHP. Você pode encontrar sua versão verificando a solicitação de cabeçalho em seu site, usando vários plug-ins ou por meio de seu cPanel, se sua hospedagem o usar.

7. Aperfeiçoando sua área de administração

A área de administração do WordPress essencialmente dá ao usuário a capacidade de acessar e executar certas tarefas em seu site e muitas vezes fica desprotegido. Por esse motivo, é a área de segmentação mais comum de um site WordPress.

Você pode aumentar a segurança nisso adicionando medidas extras de autenticação ao seu diretório de administração. Você pode adicionar autenticação de dois fatores e limitar as tentativas de login para adicionar outra camada de segurança e deter os hackers.

Você pode dar um passo adiante e alterar o URL de login do WordPress. O URL padrão para sites WordPress é domain.com/wp-admin ou /login.php, o que torna mais fácil para os hackers tentarem ataques de força bruta em seu login de administrador.

Embora não seja uma grande correção de segurança, alterar a URL torna difícil para os invasores acessarem o site. Você pode alterar o seu URL de login usando um plugin como o iThemes Security (veja a comparação do iThemes com o WordFence), Hide My WP (verifique o desempenho do Swift com a comparação do Hide My WP), etc.

Como implementar uma segurança mais forte?

Aqui estão algumas recomendações para um nível mais alto de segurança para o site WordPress.

1. Instale um plug-in de segurança do WordPress

Você deve estar se perguntando se há um plug-in bacana que possa instalar para ajudar a tirar o peso da segurança de seus ombros. A boa notícia é que existem muitos. A vantagem de usar esses plug-ins são seus vários recursos, bem como a opção de verificar a instalação do WordPress em busca de arquivos modificados que possam indicar uma tentativa de hacking. Esses plug-ins também apresentam:

• Informações WHOIS sobre os visitantes do site
• Autenticação de dois fatores
• reCAPTCHAs
• Verificação de malware
• Expiração de senha - forçando você a redefinir sua senha após um determinado período de tempo.
• Firewalls de segurança do WordPress

Embora eles possam não resolver todos os seus problemas de segurança, um plug-in pode ajudar a adicionar outra camada de defesa e prevenir tentativas de hacking. Eu recomendo considerar os seguintes plug-ins: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (veja a análise do MalCare), etc.

2. Oculte sua versão do WordPress

Quanto menos informações estiverem disponíveis sobre você e a configuração do seu site, mais difícil será para os hackers atacarem você. Ocultar a versão do seu site impedirá que os hackers identifiquem o seu site como sendo executado em uma versão mais antiga.

Uma solução mais simples é garantir que seu site esteja sempre atualizado, mas se você quiser tomar precauções, pode ocultar sua versão do WordPress adicionando código ao arquivo functions.php de seu tema.

3. Permissões de arquivo

Permissões de arquivo são um conjunto de regras usadas por seu servidor da web para controlar o acesso aos arquivos em seu site. Ter as permissões erradas pode interromper o funcionamento do seu site, mas também pode permitir que hackers acessem, reescrevam e alterem esses arquivos.

Os valores recomendados para permissões de arquivo são os seguintes: Todos os arquivos devem ser definidos como 644 e todos os diretórios devem ser definidos como 755 ou 750. Os diretórios nunca devem ser definidos como 777.

4. Segurança de banco de dados

Seu banco de dados receberá o nome do seu site. Portanto, se o seu site for chamado de richie rich, seu banco de dados será denominado wp_richierich. Ao alterar isso para algo não relacionado, ele impede que os hackers consigam adivinhar o nome do seu banco de dados.

Outra maneira de aumentar a segurança é alterando o prefixo padrão da tabela do WordPress. Por padrão, o WordPress usa wp_ como o prefixo que usa para criar seu banco de dados. Durante a instalação, você pode alterar esse prefixo e é recomendável fazer isso para tornar mais difícil para os hackers adivinharem os nomes do seu banco de dados.

5. Prevenção DDoS

DDoS é um tipo de ataque de negação de serviço que não prejudica o seu site, mas o desativa por horas ou até dias. Embora isso possa não causar nenhum dano ao seu site, pode prejudicar o seu negócio se você confiar que seu site estará totalmente operacional o tempo todo. Você pode evitar um ataque DDoS usando segurança de terceiros, como Securi ou Cloudflare.

6. Proteja seu arquivo wp-config.php

Como mencionei antes, o arquivo wp-config.php é o arquivo mais importante na instalação do WordPress. Se comprometido, o hacker pode obter o login do seu banco de dados, o que lhes dará acesso completo ao seu site.

Isso pode parecer assustador, mas não se preocupe, você pode aumentar a segurança em seu arquivo wp-config.php alterando as permissões do arquivo. Os arquivos no diretório raiz são geralmente definidos como 644, o que permite ao proprietário ler e gravar os arquivos e pode ser lido por usuários no proprietário do grupo e por todos os outros.

Se você deseja negar o acesso a outros usos, os arquivos devem ser configurados para 440 ou 400. É importante ter em mente que certas plataformas de hospedagem terão permissões diferentes. Isso ocorre porque o usuário não tem permissão para gravar os arquivos. Nesse caso, é uma boa ideia entrar em contato com seu provedor de hospedagem para ter certeza de quais são as permissões.

Mantendo Seu Site WordPress Seguro

Existem muitos motivos pelos quais os sites do WordPress são hackeados. Limpar um site WordPress hackeado não é impossível, mas ao tomar medidas preventivas, você pode diminuir suas chances de ter um site hackeado para que você não precise se preocupar em limpar seu site ou, na pior das hipóteses, construir um novo local na rede Internet.