13 mitos de segurança do WordPress | Proteja seu site de ser hackeado!

Publicados: 2019-03-23

Embora o WordPress seja o lar de uma vasta comunidade de usuários de todo o mundo e seja a melhor plataforma de gerenciamento de conteúdo, esse ponto número um coloca um alvo em suas costas e muitos mitos de segurança do WordPress aparecem.

Você encontrará muitos conselhos de segurança sobre como proteger seus sites, bem como maneiras de melhorar a segurança do WooCommerce, mas isso levou a muitos mitos que não fazem nada de benéfico para proteger seu site. Algumas dessas dicas podem até deixá-lo mais vulnerável a ataques.

Mitos de segurança do WordPress

Vamos examinar os 13 principais mitos de segurança do WordPress e o que você pode fazer para proteger seu site WordPress de maneira adequada.

1. Oculte suas páginas wp-admin ou wp-login e ninguém poderá encontrar o URL de login

A lógica por trás dessa ideia é impedir que hackers em potencial hackem coisas que eles não conseguem encontrar. Se o seu URL de login não for o padrão WordPress / wp-admin / URL, você não está protegido contra ataques de força bruta? Embora ocultar o URL do wp-admin possa ajudar a interromper alguns ataques, não irá detê-los todos.

A razão pela qual essa estratégia não funciona é porque existem outras maneiras de fazer login em seus sites WordPress além da maneira normal de usar um navegador de Internet, como API REST ou XML-RPC. Isso significa que mesmo se você alterar a URL de login do WordPress , um plugin ou tema que você usa ainda pode vincular à URL alterada.

Embora ocultar o recurso de back-end seja bom o suficiente para evitar a maioria das tentativas de acesso direto, aqueles que encontrarem seus URLs wp-admin ou wp-login personalizados ainda podem ser redirecionados para suas páginas de login.

ocultar url de login do wordpress

Outro motivo pelo qual isso não funciona é que ocultar o back-end completamente danificaria seu site. Tudo que você instala assume que wp-admin estará no URL.

Ocultar o URL de login pode obscurecer, mas não pode alterar completamente o link real para seus logins do WordPress, e personalizar o URL de login pode realmente causar muitos problemas, pois muitos temas, plug-ins e aplicativos codificam o wp-login.php em seus código base.

Se esses plug-ins, temas, etc. não conseguirem encontrar o link, eles encontrarão um erro. Uma solução mais confiável seria usar autenticação de dois fatores e negar senhas comprometidas.

2. Oculte o número da versão do WordPress e o nome do tema para proteção extra

A ideia por trás dessa tática é que, se os hackers tiverem essas informações, eles poderão usá-las para acessar seu site.

Ocultar as informações da versão do WordPress ou o nome do tema não o manterá protegido contra violações de segurança, pois há muitos bots procurando vulnerabilidades conhecidas no código em execução no seu site.

ocultar o número da versão do plugin wordpress

Em vez de ocultar essas informações, certifique-se de que a instalação do WordPress esteja sempre atualizada para garantir que você tenha os patches de segurança mais recentes instalados.

3. Renomeie seu diretório wp-content e você estará seguro

Seus plug-ins, temas e pasta de uploads de mídia estão todos contidos no diretório wp-content do seu site. Há uma tonelada de código e informações lá para serem usados, portanto, é claro, prudente proteger essas informações.

No entanto, alterar o nome do diretório de conteúdo não adicionará realmente essa camada extra de proteção ao seu site. Usando ferramentas de desenvolvedor de navegador, o nome do seu wp-content pode ser encontrado mesmo se você alterá-lo.

renomear diretório de conteúdo wordpress

Renomeá-lo pode até causar conflitos com plug-ins que possuem um caminho de diretório wp-content embutido que precisam ser usados ​​para funcionar.

A única razão pela qual você deve se preocupar com o diretório wp-content é se ele contém um plugin ou tema com uma vulnerabilidade que pode ser explorada. A melhor maneira de evitar isso é manter seus temas e plug-ins atualizados para evitar vulnerabilidades de segurança.

4. Hacking só acontece em sites grandes

Mesmo que o seu site WordPress seja pequeno com baixo tráfego, é vital ser proativo quando se trata de proteger o seu site.

O hacker não se importa com o quão grande ou ocupado um site é. Qualquer site vulnerável pode se tornar um hub para sites mal-intencionados, e-mails de spam ou até mesmo para mineração de bitcoins. A chave é a vulnerabilidade, e não o tamanho do site ou os níveis de tráfego.

Você pode atenuar isso mantendo sempre os plug-ins, temas e o próprio WordPress atualizados e instalar um plug-in de segurança confiável para o WordPress. Hospedagem de qualidade e autenticação de dois fatores também são partes importantes para manter os invasores afastados.

5. WordPress não é uma plataforma segura

Você pode ter ouvido essa afirmação antes, mas simplesmente não é verdade. O WordPress, sendo um dos principais sistemas de gerenciamento de conteúdo online hoje, não chegou onde está agora sem medidas de segurança sólidas e confiáveis.

A maior vulnerabilidade vem dos usuários e pode ser evitada com medidas de precaução tomadas pelos proprietários do site. A razão número um para hacks são softwares desatualizados, e a maioria dos plug-ins será corrigida regularmente para corrigir vulnerabilidades em potencial em seu código.

Certifique-se sempre de manter seus temas e plug-ins atualizados. Quando um site é hackeado, não é uma falha do WordPress - é um lapso de vigilância do usuário que o deixa aberto a ataques .

6. Atualizações regulares sempre mantêm seu site seguro

Embora atualizar seus plug-ins e temas regularmente seja vital para manter a segurança em seu site, não é uma cura para tudo para a exploração potencial de seu site. O WordPress tem muitos plug-ins e temas disponíveis, e um grande número deles não foi atualizado por dois ou mais anos.

atualização do tema wordpress

Plug-ins que não receberam manutenção regular adequada podem conter recursos desatualizados que diminuem o tempo de carregamento ou, pior ainda, interrompem seu site.

Verifique se seus plug-ins recebem suporte ativo para mantê-lo seguro contra possíveis explorações e remova plug-ins antigos que não recebem mais suporte para minimizar o risco de hacking.

7. Os backups sempre corrigirão o seu site

Os backups são uma das soluções mais comuns para corrigir sites comprometidos. Embora um backup completo do site (verifique os melhores plug-ins de backup gratuitos do WordPress) permita que você restaure o seu site, ele deixa você com as mesmas vulnerabilidades de segurança que comprometeram o seu site em primeiro lugar.

  • Nome
  • Versão gratuita
  • Versão paga
    Com atualizações e complementos adicionais
  • Backup completo do site
    É possível fazer backup de todo o site com todos os arquivos
  • Backups de banco de dados
    É possível fazer backup apenas do banco de dados
  • Backups para Dropbox
    É possível salvar arquivos de backup no Dropbox
  • Backups para Amazon S3
    É possível salvar arquivos de backup no Amazon S3
  • Backups para o Google Drive
    É possível salvar arquivos de backup no Google Drive
  • Backups para FTP
    É possível salvar arquivos de backup em FTP
  • Backups para Rackspace
    É possível salvar arquivos de backup no Rackspace
  • Notificação de Email
    Notificação por e-mail quando o backup é criado
  • Altera apenas backups
    Para reduzir os recursos do servidor e economizar espaço, apenas novas alterações são adicionadas ao backup
  • Backups programados
  • Backups em tempo real
    Os arquivos de backup são criados sempre que você faz alterações em seu site
  • Migrar site
    Copie o site ou mova-o para um novo host
  • Restauração de arquivo individual
    Restaurar arquivos / arquivos individuais do backup em vez de tudo
  • Restaurar backup da interface
  • Verificação de segurança e malware
    Opções para pesquisar vírus e outras infecções
  • Reparo e otimização de banco de dados
    Opções para otimizar banco de dados wordpress
  • Suporte multisite
  • Preço para versão paga
    Com todos os complementos e recursos (plano mais barato para 1-2 sites)
  • BackWPup
    Ele também tem uma versão premium / paga com complementos e atualizações adicionais
  • Apenas na versão paga
  • 75 $
    Para plano padrão
VERIFICA
  • BackUpWordPress
    Ele também tem uma versão premium / paga com complementos e atualizações adicionais
  • Disponível apenas com addon pago cujo preço é em torno de $ 24
  • Disponível apenas com addon pago cujo preço é em torno de $ 24
  • Disponível apenas com addon pago cujo preço é em torno de $ 24
  • Disponível apenas com addon pago cujo preço é em torno de $ 24
  • Disponível apenas com addon pago cujo preço é em torno de $ 24
  • 60 $
    Para plano pessoal
VERIFICA
  • UpdraftPlus
    Ele também tem uma versão premium / paga com complementos e atualizações adicionais
  • Disponível apenas com addon pago cujo preço é cerca de 15 $
  • Addon pago
    Disponível apenas com addon pago cujo preço é cerca de 30 $
  • Addon pago
    Disponível apenas com addon pago cujo preço é cerca de 25 $
  • 99 $ (número ilimitado de sites)
    Para plano de desenvolvedor com todos os addons e para um número ilimitado de sites
VERIFICA

Então, como você conserta isso? Não confie apenas em backups para consertar seu site após um hack bem-sucedido, pois você perderá dados e registros , como transações que ocorreram após seu último backup.

Para salvar suas informações, esteja atento à aplicação de patches em falhas reais de código antes de ser vítima de uma tentativa de hacking bem-sucedida.

8. Alterar o prefixo da tabela do WordPress melhora a sua segurança

Esta é uma recomendação comum. Alterar o prefixo das tabelas do banco de dados do WordPress evitará ataques de injeção de SQL. No entanto, não é tão simples quanto alterar o “wp_” para um valor diferente.

Ainda não há nenhuma prova de que esse método fará algo para melhorar a segurança do seu site. E pode colocar todo o seu site em risco se não for executado com perfeição.

alterar o prefixo do banco de dados do wordpress

Medidas como essa são consideradas “teatro de segurança” porque fazem com que você sinta que está se esforçando muito para melhorar sua segurança e, na verdade, consegue muito pouco. Para proteger seu site contra ataques de injeção de SQL , é necessária uma abordagem de segurança em três frentes.

Você precisará de um Firewall de aplicativo da Web eficaz além de corrigir e atualizar continuamente seus plug-ins, temas e núcleo. E, é claro, certifique-se de monitorar seu site em busca de tentativas de login suspeitas ou malware.

9. Meu site tem um certificado SSL, por isso é totalmente seguro

Algo a ter em mente sobre os certificados SSL é que a segurança que eles fornecem é puramente transacional. Ele apenas protege as informações passadas entre o seu site e seus visitantes - coisas como informações de cartão de crédito e dados pessoais (veja como adicionar certificado SSL grátis ao site WordPress).

instalar certificado SSL wordpress

No entanto, os certificados SSL não protegem arquivos e dados que estão no próprio site . Para cobrir os dados de seu site, é vital ter um Firewall de aplicativo da Web e certificar-se de que seus plug-ins, temas e arquivos principais estejam atualizados.

10. Meu site é seguro; Eu uso CDN ou firewall em nuvem

Redes de entrega de conteúdo, ou CDNs, e serviços de firewall em nuvem como Cloudflare, Incapsula ou Sucuri protegem seus sites redirecionando o tráfego para seus servidores e filtrando o tráfego por regras de firewall. Se o seu tráfego for compatível com as regras do firewall, ele segue para o seu site.

Embora você possa pensar que esta é a maneira perfeita de evitar a exposição da localização real do servidor do seu site, o endereço IP de origem do seu site ainda pode denunciá- lo e pode ser difícil de obscurecer, se não impossível.

wordpress-cdn-owners-compare
  • Rede de distribuição de conteúdo
  • Proteção contra os maiores ataques volumétricos
  • Visibilidade total da camada de aplicativo
  • Mitigação de ataques contra servidores DNS
  • Proteção de serviços de infraestrutura não web
    (FTP, SMTP, VOIP, etc.)
  • Detecção e mitigação de ataques de camada de aplicativo
  • Personalização instantânea e propagação de regras de segurança
  • Visibilidade e controle em tempo real
  • Proteção de endereços IP de origem contra ataques DDoS
  • Monitoramento de ataque DDoS externo para infraestrutura de rede
  • Compressão e minificação
  • Otimização de conteúdo e rede
  • Cache de conteúdo estático e gerado dinamicamente
  • Servir recursos em cache diretamente da memória física
  • Cache de nível secundário em SSDs para atualizações de cache em tempo real
  • Firewall de aplicativo da Web compatível com PCI (WAF)
  • Controle de acesso
  • Sistema de monitoramento baseado em reputação de IP
  • Personalização de autoatendimento de regras de segurança
  • Propagação de regra de segurança de 60 segundos
  • Proteção backdoor para proteger contra infecção por malware
  • Integração API
  • Autenticação de dois fatores para evitar senhas roubadas
  • Balanceamento de carga de servidor global
  • Balanceamento de carga do servidor local da camada de aplicativo
  • Failover de site de camada de aplicativo
  • Monitoramento de integridade da camada de aplicativo em tempo real
  • Regras de entrega de aplicativos
    (por exemplo, redirecionamentos baseados em cookies, cabeçalho, etc)
  • Sistema de ingressos
  • Suporte por telefone
  • Suporte HTTP / 2
    HTTP / 2 é a evolução mais recente do protocolo HTTP, que oferece melhorias significativas na velocidade de carregamento e na capacidade de resposta do site.
  • Data centers
  • Origem-Pull
  • Push (upload para servidores CDN)
  • Eliminar / Eliminar tudo
  • Gzip
  • Honra todos os cabeçalhos de servidor de origem
  • Pode substituir os cabeçalhos do servidor de origem
  • Definir cabeçalhos de cache para arquivos enviados
  • CNAMEs personalizados
  • HTTPS
  • Proteção Hotlink
  • Bate-papo ao vivo
  • Backups grátis
  • Integração com WordPress
  • Preço
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • Incapsula
  • Sempre
  • 30
  • Reenviar da origem ou comprimir na borda
  • O certificado compartilhado é gratuito em todos, exceto no plano gratuito.
  • O certificado compartilhado é gratuito em todos, exceto no plano gratuito.
  • Integra-se independentemente do WordPress. Você precisa alterar as configurações de DNS. Você receberá todas as instruções por e-mail e no painel do Incapsula.
  • Planos gratuitos e pagos
    Um plano gratuito inclui proteção de bot, controle de acesso, proteção de login, CDN e Otimizador, análise de site e suporte da comunidade. Um plano PRO pago começa em US $ 59 por mês e inclui os mesmos recursos do plano gratuito, além de suporte SSL, desempenho avançado e suporte por e-mail.
Incapsula
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • CloudFlare
  • Manual
  • 86
  • Integra-se independentemente do WordPress. Você só precisa se cadastrar no CloudFlare e, em seguida, atribuir novos servidores DNS ao seu nome de domínio. CloudFlare pega a partir daí.
  • Planos gratuitos e pagos
    Eles oferecem um plano básico gratuito adequado para pequenos sites e blogs e pacotes pagos que variam de $ 20 a $ 200.
CloudFlare CDN
akamai-vs-incapsula-vs-maxcdn
  • Akamai
  • Mais de 100.000
  • Reenviar da origem ou comprimir na borda
  • Para obter os preços dos produtos da Akamai, você precisa entrar em contato com eles.
Akamai
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • MaxCDN
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • MaxCDN começará a oferecer DDOS e WAF em breve
  • 75
  • O CDN lida com o gzip
  • Depois de configurar sua zona pull, você pode integrar MaxCDN por meio do plug-in de cache. Por exemplo W3 Total Cache, Super Cache ou WP Rocket.
  • De $ 9 / mês a $ 299 / mês
    Também existe um preço personalizado por gigabyte
MaxCDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • KeyCDN
  • 25
  • Somente se o servidor de origem faz o Gzip
  • Após a configuração, você pode integrar através do plugin de cache. Por exemplo W3 Total Cache, Super Cache ou WP Rocket.
  • Pay As You Go
    Você não precisa comprar nenhum pacote. Preço a partir de $ 0,04 / GB
KeyCDN

Esse tem sido um problema comum com provedores de firewall em nuvem, e a solução simples é implementar medidas de segurança de endpoint em seu site. Se você proteger seus dados em seu ponto de origem, essa é a melhor defesa direta contra hackers e outras formas de ataque.

11. O bloqueio de IP mantém os hackers afastados

Existem serviços úteis online para registrar logins suspeitos e rastrear os endereços IP, e podem até mesmo bloquear esses IPs completamente.

Embora você possa pensar que o bloqueio de IP é um método eficaz de impedir que hackers acessem seu site, os hackers mudam constantemente os IPs e geralmente operam a partir de vários IPs simultaneamente para atingir seus objetivos.

Quando você bloqueia um endereço IP, eles podem simplesmente mudar para o próximo que alinharam. Pior ainda, não bloquear IPs corretamente pode travar seu site, o que pode ser demorado para consertar.

12. Um nome de usuário e senha seguros são tudo que você precisa

Embora um nome de usuário de administrador exclusivo e uma senha forte e complexa sejam vitais para a segurança adequada do seu site, não é um método infalível para impedir hackers em potencial.

Uma tática comum usada para violar sites é usar bots para percorrer milhares de senhas comuns com o nome de usuário “admin” padrão.

Certifique-se de alterar seu nome de admin e incorporar vários tipos de caracteres em sua senha , incluindo letras maiúsculas e minúsculas, números, pontuação e outros símbolos exclusivos que a tornarão mais difícil de decifrar.

Lembre-se, porém, de que uma combinação eficaz de nome de usuário / senha não protegerá de tudo. Os hackers têm outros meios de atacar seu site, incluindo vulnerabilidades em temas ou plug-ins desatualizados, violações de dados e até mesmo esquemas de phishing.

13. Basta desabilitar plug-ins / temas que você não usa

Este é um erro comum que muitos proprietários de sites cometem. Em vez de remover plug-ins antigos, eles os desabilitam. No entanto, mesmo plug-ins e temas inativos podem ser explorados devido à falta de atualizações ou correções de segurança.

Embora você possa atualizar plug-ins e temas desabilitados, a melhor opção é remover coisas que você não precisa para minimizar os riscos de segurança.

Conclusão dos mitos de segurança do WordPress

Existem muitos motivos pelos quais os sites do WordPress são hackeados. Depois de ler esses mitos de segurança do WordPress, otimizar a segurança em seu site pode parecer um pouco assustador. Nem sempre é fácil dizer se as medidas de segurança serão eficazes e o que é simplesmente "teatro de segurança".

Manter o seu site WordPress seguro é muito importante, assim como evitar o roubo de conteúdo. Embora não haja como garantir que um site seja 100% invulnerável a ataques, existem várias práticas e precauções que você pode incorporar ao gerenciamento e manutenção do site que podem minimizar o risco de invasão e proporcionar tranquilidade.

Para estar seguro, é melhor instalar o plugin de segurança do WordPress como o iThemes Security, WordFence, MalCare, Swift Security ou Hide My WP que fornecem um vasto número de configurações e opções que você pode ativar para proteger seu site e implementar camadas de segurança. Para obter mais informações, consulte a análise de segurança do iThemes, análise do MalCare, Wordfence vs segurança do iThemes, Segurança do Swift vs Hide My WP.