8 melhores plug-ins de segurança WordPress para bloquear seu site

O WordPress domina 35% de todos os sites da Internet, o que o torna um alvo atraente para agentes mal-intencionados em todo o mundo.

Se você deseja proteger seu site ou os sites de seus clientes, um plug-in de segurança dedicado pode fazer muito do trabalho pesado por você.

Para ajudá-lo a escolher o melhor plug-in de segurança do WordPress para suas necessidades, coletamos oito ótimas opções que podem ajudar no fortalecimento da segurança, firewalls e verificação de malware.

Vamos nos aprofundar, começando com uma rápida visão geral do que a maioria dos plug-ins de segurança do WordPress realmente faz.

A segurança do WordPress é um tópico bastante amplo, então quando digo “plugin de segurança do WordPress”, isso pode abranger uma gama de recursos diferentes.

Portanto, antes de entrar nos plug-ins, vamos examinar quais são esses diferentes recursos de alto nível para que você saiba o que cada uma dessas ferramentas está fazendo.

A proteção de segurança básica é uma espécie de pega-tudo para "alterações de configuração ou ferramentas que tornam seu site WordPress mais seguro".

Por exemplo, plug-ins de segurança geralmente ajudam a proteger sua página de login com recursos como:

• Limitando tentativas de login
• Autenticação de dois fatores
• Alterando o URL de login do WordPress
• Aplicar senhas fortes
• Configurando expirações de senha
• Adicionando um CAPTCHA

Todas essas são táticas de endurecimento.

Outras estratégias de proteção populares incluem monitorar os arquivos principais do WordPress para detectar se algo foi alterado, desativar recursos do WordPress como XML-RPC, interromper a enumeração de usuários, etc.

Outra tática que você verá muito mencionada é um firewall.

Essencialmente, um firewall de site é algo que fica entre o seu site WordPress e seus visitantes. Visitantes regulares não têm problemas para usar seu site, mas se o firewall detectar atividade maliciosa (via endereço IP, ações, etc.), ele bloqueará esse visitante antes que possa causar um problema.

Com o WordPress, você verá isso chamado de firewall de aplicativo da web ou WAF.

É importante observar que nem todos os firewalls são iguais. Ou seja, só porque dois plug-ins oferecem um “firewall”, isso não significa que essas ferramentas sejam automaticamente iguais, porque um firewall é tão bom quanto as regras que segue.

Alguns plug-ins de segurança do WordPress, como o Wordfence, estão constantemente atualizando suas regras de firewall em tempo real para se ajustar às ameaças de segurança emergentes. Outros são basicamente um conjunto estático de regras que nunca mudam. Ambos podem ser úteis - apenas aquele será mais eficaz em protegê-lo de novos tipos de vulnerabilidades.

Outra parte popular dos plug-ins de segurança do WordPress é a verificação de malware. Você provavelmente está familiarizado com esse conceito de execução de varreduras em seu próprio computador.

Basicamente, a ferramenta verificará seu site em busca de código malicioso e retornará um relatório de tudo o que encontrar.

Novamente, a eficácia da verificação de malware depende de suas regras e abordagem. Ou seja, só porque dois plug-ins fazem “varredura de malware”, isso não os torna iguais.

Primeiro, assim como acontece com os firewalls, você tem diferenças nas regras de detecção. Um scanner de malware depende de “assinaturas de malware” para identificar malware. Portanto, se o seu scanner de malware não tiver uma assinatura para uma ameaça emergente, ele pode não ser capaz de detectá-la.

Em segundo lugar, você tem a abordagem. Alguns plug-ins / ferramentas, como a popular ferramenta Sucuri SiteCheck, varrem apenas o front-end do seu site. Isso pode detectar malware detectável no front-end do seu site, mas não detecta o malware que está escondido em seu servidor.

Para detectar malware que não está se manifestando no front-end do seu site, você precisa usar um scanner de malware que verifica todos os arquivos do seu servidor.

Com essa introdução fora do caminho, vamos ajudá-lo a escolher o melhor plugin de segurança do WordPress para suas necessidades.

Aqui estão os oito plug-ins que veremos:

1. Sucuri
2. Segurança iThemes
3. Tudo em um WP Segurança e Firewall
4. BulletProof Security
5. Mochila a jato
6. SecuPress
7. Cerber Security
8. Wordfence

Sucuri é outra ferramenta popular de segurança de sites. A Sucuri tem duas partes:

1. Um plugin grátis no WordPress.org
2. Um firewall pago, monitoramento e serviço de limpeza de hack

O plug-in gratuito do WordPress.org o ajuda principalmente com o fortalecimento da segurança básica.

Ele lhe dará várias regras e dicas que você pode aplicar, como desabilitar o plugin do painel e edição de tema e bloquear a execução do PHP em certos diretórios sensíveis.

Outros recursos de segurança incluem a capacidade de:

• Monitore a integridade dos arquivos principais
• Rastrear tentativas de login malsucedidas
• Receba notificações de alerta de segurança para várias ações
• Liste scripts e iframes em seu site.

Além disso, o plug-in também vem com o serviço Sucuri SiteCheck para verificação de malware. No entanto, é importante entender que este serviço apenas verifica o front-end do seu site em busca de problemas - ele não verifica os arquivos no seu servidor como algumas outras verificações de malware. Você também não precisa do plugin para usar esta ferramenta - você pode executá-lo no site da Sucuri.

Para obter mais segurança, o plug-in pode ajudá-lo a se conectar ao serviço de firewall pago da Sucuri. Este firewall é um WAF baseado em nuvem com regras atualizadas regularmente da equipe da Sucuri. O firewall também permite:

• Colocar na lista de permissões ou na lista negra determinados endereços IP
• Bloquear países inteiros
• Proteja áreas confidenciais (como seu painel / login do WordPress) com CAPTCHAs, autenticação de dois fatores ou senhas adicionais.

O serviço pago da Sucuri também pode ajudar a proteger seu site contra ataques DDoS.

Preço: O plugin Sucuri é 100% gratuito. O firewall Sucuri custa US $ 19,98 por mês e toda a plataforma Sucuri (que inclui detecção e limpeza de malware) custa US $ 299,99 por ano.

O iThemes Security é um plugin de segurança freemium de… iThemes - daí o nome. Se você não estiver familiarizado, iThemes é um desenvolvedor popular por trás de uma variedade de plug-ins, incluindo BackupBuddy. A iThemes foi adquirida pela Liquid Web em 2018.

A iThemes Security está focada no fortalecimento da segurança do WordPress. Ele permite que você se conecte ao serviço Sucuri SiteCheck para detecção de malware de front-end - mas você poderia simplesmente executar esse recurso no site da Sucuri, portanto, não é realmente uma verificação de malware embutida.

Ele não anuncia um firewall, mas inclui recursos que permitem bloquear alguns bots e endereços IP. Há também um recurso de “proteção de força bruta de rede” que pode bloquear automaticamente endereços IP que tentaram usar força bruta em outros sites WordPress.

Quanto ao fortalecimento da segurança, o iThemes Security pode ajudá-lo a proteger seu processo de login com recursos como:

• Limite as tentativas de login
• Alterar o URL de login do WordPress
• Google reCAPTCHA (pago)
• Autenticação de dois fatores (paga)
• Aplicação de senha forte
• Expiração de senha (pago)

Ele também oferece um modo “Ausente” pelo qual você pode basicamente bloquear seu site durante os momentos em que você não o acessa.

Outros recursos de proteção de segurança incluem:

• Detecção de alteração de arquivo
• Alterar o prefixo do banco de dados
• Desative a edição de arquivos no painel
• Registro de ação do usuário ( pago )
• Alterar o caminho do conteúdo wp

Se você precisa gerenciar vários sites WordPress, ele também tem uma integração com o iThemes Sync.

Preço: Versão gratuita em WordPress.org. A versão paga começa em $ 80.

All In One WP Security & Firewall é um popular plugin de segurança para WordPress 100% gratuito.

Ajuda a implementar diversos recursos de proteção de segurança diferentes, como:

• Altere o prefixo do banco de dados WordPress
• Monitorar permissões de arquivo
• Desativar a edição de arquivos no painel
• Monitoramento de integridade de arquivo
• Ocultar o número da versão do WordPress

Também inclui recursos para proteger seu processo de login, como:

• Limite as tentativas de login
• Forçar o logout de usuários após um determinado período de tempo
• Adicionar reCAPTCHA para proteção de login
• Colocar na lista de permissões determinados endereços IP
• Parar a enumeração do usuário

Ele também fornecerá um “medidor de força de segurança” para ajudá-lo a melhorar a segurança do seu site.

All In One WP Security & Firewall inclui o que chama de firewall, mas não é tão robusto como algo como Wordfence ou Sucuri. É mais um conjunto estático de regras - não se adapta a ameaças emergentes como aqueles outros plug-ins.

Preço: 100% gratuito no WordPress.org.

BulletProof Security é outra opção que oferece uma abordagem completa para a segurança do WordPress com:

• Endurecimento
• Firewall
• Verificação de malware

A versão gratuita oferece endurecimento básico, como:

• Segurança de login
• Alterar o prefixo da tabela do banco de dados
• Log de segurança
• Backup de banco de dados

Ele também inclui verificação de malware na versão gratuita, enquanto a versão paga inclui proteção em tempo real com AutoRestore | Quarantine Intrusion Detection and Prevention System (ARQ IDPS) da BulletProof Security.

A versão paga também adiciona outros recursos, como:

• Monitoramento de banco de dados e verificação diferencial
• Proteção de upload
• Firewall de plug-in

A interface do usuário parece bastante desatualizada e não é tão agradável quanto outras ferramentas, mas o BulletProof Security é bem visto quando se trata de sua eficácia.

Preço: Versão gratuita em WordPress.org. A versão paga começa em $ 69,95.

Jetpack é um plugin multifuncional popular da Automattic, o mesmo pessoal por trás do WordPress.com e do WooCommerce.

Ao contrário de todos os outros plug-ins desta lista, o Jetpack não se concentra apenas na segurança do WordPress, mas inclui muitos recursos de segurança em seus planos gratuitos e pagos.

A versão gratuita ajuda a proteger seu login do WordPress com proteção de força bruta e a opção de usar o login seguro do WordPress.com. Ou seja, você pode fazer login em seu próprio site WordPress usando suas credenciais do WordPress.com.

Com os planos pagos, você também obtém acesso a backups e varreduras de malware (anteriormente, esses recursos eram chamados de VaultPress. Agora, o VaultPress foi mesclado com o Jetpack).

Os recursos de backup e digitalização estão interligados, o que é parte do que os torna únicos. Com a maioria das ferramentas de verificação de malware, a ferramenta verifica os arquivos no seu servidor WordPress real. Isso é bom para detectar malware, mas também consome recursos no servidor do seu site ativo.

Com o Jetpack, o Jetpack primeiro faz o backup do seu site em um local externo. Em seguida, ele verifica a cópia de backup do seu site em busca de malware, o que significa que não afetará o desempenho do seu site ativo.

Como parte de suas verificações, o Jetpack procura:

• Alterações nos arquivos principais do WordPress
• Conchas baseadas na web
• Vulnerabilidades de TimThumb

Se o Jetpack encontrar algo malicioso, ele pode ajudá-lo a reparar o problema.

Preço: Alguns recursos estão disponíveis na versão gratuita. A verificação de malware está disponível no plano Premium e superior, que começa em US $ 9 por mês. Isso também dá acesso a muitos outros recursos do Jetpack.

SecuPress é outro plugin de segurança WordPress conhecido que vem em uma versão gratuita e paga.

SecuPress foi originalmente lançado pela WP Media, a mesma empresa por trás do popular plugin WP Rocket. No entanto, a WP Media mais tarde liberou a propriedade para o atual proprietário (que foi um dos co-fundadores da WP Media). Basicamente, é uma longa maneira de dizer que você verá algumas semelhanças de design com o WP Rocket, mas os dois não são mais a mesma entidade.

Com a versão gratuita, você pode:

• Bloquear endereços IP e bots ruins
• Proteja seu login de ataques de força bruta
• Esconder a página de login
• Oculte suas versões do WordPress e WooCommerce
• Gerenciar XML-RPC e API REST
• Registrar ações importantes do usuário

Você também obtém um firewall na versão gratuita.

A versão premium adiciona recursos adicionais, como:

• Autenticação de dois fatores para proteger seu login
• Recursos antispam
• Backup para banco de dados e arquivos
• Detecção de temas ou plug-ins com vulnerabilidades de segurança conhecidas
• Varredura de malware PHP
• Bloqueio de país (geolocalização)
• Agendamento de tarefas

Um recurso que se destaca no SecuPress é a interface. Ele tem a interface mais agradável de todas as ferramentas desta lista, o que é especialmente interessante se seus clientes irão vê-lo. Novamente, você pode definitivamente ver a influência do WP Rocket na interface.

Preço: Versão gratuita em WordPress.org. A versão paga começa $ 65.

Cerber Security é outro popular plugin de segurança WordPress completo que vem com:

• Fortalecimento da segurança
• Firewall
• Verificação de malware

Em primeiro lugar, ele contém regras de proteção de segurança, como:

• Alterando a página de login do WordPress
• Desativando o PHP na pasta de uploads
• Parando a enumeração do usuário
• Limitando tentativas de login
• Monitorando a integridade do arquivo
• Autenticação de dois fatores

Você também pode configurar regras, como bloquear automaticamente qualquer endereço IP que tente fazer login com um nome de usuário inexistente. Você também pode criar políticas baseadas em funções personalizadas, como exigir dois fatores para usuários administradores e desconectá-los automaticamente após um certo tempo.

Como parte do firewall, você obtém um inspetor de tráfego em tempo real, onde pode ver tudo o que está acontecendo em seu site, incluindo o monitoramento de sessões logadas e visitantes. Você também obtém regras de bloqueio geográfico.

Finalmente, você obtém varreduras de malware, incluindo a capacidade de agendar varreduras para serem executadas automaticamente.

Se você precisa gerenciar vários sites, ele também inclui um recurso Cerber.Hub que permite gerenciar vários sites a partir de um painel. Este painel é auto-hospedado, ao contrário do Wordfence. Você designará um site WordPress como o “Mestre” e, em seguida, “escravizará” outras instalações para esse painel mestre.

Preço: Versão gratuita em WordPress.org. A versão paga começa em $ 99.

Primeiro, o WordPress inclui toneladas de ferramentas para ajudar no fortalecimento da segurança básica do WordPress, como:

• Desativando a execução de código no diretório de uploads
• Escondendo sua versão do WordPress
• Parando a enumeração do usuário

Você também obtém uma guia de Segurança de login dedicada a partir da qual você pode controlar medidas de segurança de login, como:

• Usando autenticação de dois fatores (para todos os usuários ou apenas algumas funções de usuário)
• Desativando autenticação XML-RPC
• Adicionando reCAPTCHA à página de login
• Limitando tentativas de login malsucedidas (isso faz parte do firewall)
• Aplicar senhas fortes

Wordfence também inclui seu próprio WAF . A equipe do Wordfence está continuamente adicionando novas regras em tempo real para se ajustar às ameaças emergentes. Você também pode configurar como o firewall funciona, como colocar certos endereços IP e serviços na lista de permissões.

Você também pode bloquear imediatamente os endereços IP que tentam acessar determinados URLs confidenciais. E com a versão premium, você pode bloquear países inteiros com segmentação geográfica.

Por fim, você também obtém verificações detalhadas de malware. Essas verificações podem verificar todos os arquivos em seu servidor, bem como verificar outros problemas de segurança, como:

• Links maliciosos em comentários
• Usuários administradores recém-criados
• Temas ou plug-ins desatualizados
• Senhas fracas

Portanto, é uma espécie de “verificação geral de falhas de segurança do WordPress” que também inclui verificação de malware.

Você também obtém regras para configurar a frequência e a profundidade da varredura, o que pode ajudá-lo a controlar os recursos do servidor que as varreduras consomem.

Se você estiver gerenciando muitos sites WordPress ( como sites de clientes ), o Wordfence também inclui uma ferramenta Wordfence Central que permite gerenciar a segurança de todos os seus sites a partir de um local central. Você também pode criar modelos de configurações do Wordfence que você pode aplicar rapidamente a novos sites e receber alertas quando algo acontecer em qualquer um dos seus sites.

O plugin principal do Wordfence e a maioria dos recursos são gratuitos. No entanto, há uma diferença notável quando se trata das regras que o Wordfence usa para seu firewall e varreduras de malware.

Com a versão premium, você obtém atualizações em tempo real dessas regras. Portanto, assim que o Wordfence detecta uma ameaça (o que é bastante proativo ), o Wordfence imediatamente adiciona essas regras ao seu site.

No entanto, com a versão gratuita, essas atualizações de regras são atrasadas em 30 dias.

Preço: Wordfence está disponível gratuitamente em WordPress.org. A versão paga começa em US $ 99 para uso em um único site, com descontos por volume para um número maior de sites.

Não! Não por um tiro longo.

Embora todos esses plug-ins de segurança certamente ajudem a proteger seu site, a segurança do WordPress não é tão simples quanto instalar um plug-in e encerrar o dia.

Isso não significa que os plug-ins de segurança não sejam úteis - significa apenas que, se você não estiver fazendo as pequenas coisas direito, mesmo um plug-in de segurança não será capaz de salvá-lo.

Uma das coisas mais importantes que você pode fazer é atualizar imediatamente o software principal do WordPress , seus plug-ins e seu tema - especialmente para versões de segurança menores (por exemplo, WordPress 5.4.X ).

De acordo com o relatório da Sucuri de 2019 Hacked Website , cerca de metade de todos os sites WordPress estavam executando uma versão desatualizada do software principal quando o site foi infectado. Além do mais, 44% dos sites hackeados estavam executando um plugin desatualizado.

Resumindo, as seguintes ações são tão importantes, senão mais importantes, do que usar um plug-in de segurança do WordPress:

• Atualizar prontamente seu site e suas extensões para lançamentos de segurança.
• Tenha cuidado com as extensões que você escolher (e nunca instale plug-ins anulados de fontes questionáveis).
• Usando senhas fortes, especialmente em contas de administrador.

Para obter mais dicas, confira nosso guia completo sobre como proteger seu site WordPress .

E se você não tiver certeza de qual plugin escolher, certamente não irá errar com o Wordfence como primeira opção.