O que é melhor do que um site bem construído? Um site bem construído com segurança robusta.
Fique comigo, pois vou descobrir algumas das melhores práticas de segurança para o seu site WordPress. Eles não são apenas amigáveis para iniciantes, mas essas práticas são altamente acessíveis, se não totalmente gratuitas.
Ao final deste artigo, você terá um plano de ação para proteger seu site contra todos os tipos de ameaças cibernéticas. Então, aperte o cinto e vamos começar!
últimas postagens
Seu site WordPress é seguro?
Embora o WordPress seja considerado o CMS mais popular até hoje, essa reputação vem com algumas consequências. Usado por mais 35% dos sites na internet, o WordPress se torna um alvo favorito para ataques de malware. Somente em 2018, a Sucuri informou que cerca de 23.000 sites WordPress foram vítimas de violações de segurança.
Isso significa que o WordPress tem um sistema de segurança terrível?
De jeito nenhum! Pelo contrário, a principal causa das violações de segurança do site é a falta de conscientização de segurança dos usuários.
Como um CMS respeitável, o WordPress faz sua parte publicando patches de segurança e atualizações de software regularmente. Apesar disso, essas atualizações farão pouca diferença, a menos que você saiba o que fazer com elas.
Em suma, você desempenha um papel significativo na segurança do seu site.
Agora que você conhece sua função e responsabilidade como webmaster, é hora de explorar o que você pode fazer para melhorar a segurança do seu site. Dê uma olhada nas melhores práticas de segurança abaixo e tente implementá-las em seu site.
Use nomes de usuário e senhas fortes
Criar credenciais de login fortes pode ser a prática de segurança mais fácil que qualquer um pode executar, mas muitos usuários ainda não conseguem fazê-lo. Acredite ou não, 23,2 milhões de contas ainda usam “123456” como senha. O mesmo problema se aplica aos nomes de usuário, onde muitos usuários usam os nomes de usuário padrão como “admin” e “administrador”.
Se você precisar de ajuda para criar senhas fortes, há muitas geradores de senha lá fora, você pode usar gratuitamente. Quanto aos nomes de usuário, você pode incorporar números e caracteres especiais nas palavras-chave para torná-las mais exclusivas.
O uso de credenciais de login fracas tornará seu site vulnerável a ataques de força bruta. Esse tipo de ataque cibernético usa uma abordagem de tentativa e erro para adivinhar suas credenciais de login. Portanto, é melhor evitar o uso de palavras-chave comuns para suas informações de login.
Se você tem o hábito de esquecer a senha, considere usar Última passagem para lembrar e usá-lo com um clique. Quanto aos nomes de usuário, você pode incorporar números e caracteres especiais nas palavras-chave para torná-las mais exclusivas.
Ocultar login do WordPress
Esse truque simples pode proteger seus sites WP de invasores que visam ataques de força bruta. Usar WPS Ocultar login plugin gratuito para alterar o URL de login para algo único.
Ativar autenticação de dois fatores
Depois de proteger suas credenciais de login de administrador, você pode melhorar ainda mais o processo de login ativando a autenticação de dois fatores. Esse processo de segurança cria uma camada extra de proteção que exige que os usuários obtenham um código exclusivo de um aplicativo de autenticação. Ao implementá-lo em seu site, apenas usuários com as credenciais de login e o código corretos podem fazer login em suas contas.
O WordPress tem muitos plugins de autenticação de dois fatores para escolher. Alguns dos melhores incluem Autenticador do Google, Autenticação de dois fatorese Dois fatores.
Alterar o prefixo do banco de dados do WordPress
A base de dados do site é o alvo preferido dos ataques de injeção de SQL. Esses tipos de ataque cibernético forçam o banco de dados a executar código malicioso, permitindo que hackers modifiquem ou eliminem os dados nele livremente. Como os ataques de injeção de SQL compreendem cerca de 80% das tentativas de hackers lançados por mês, você não deve encarar essa ameaça de ânimo leve.
Um dos fatores que tornam seu banco de dados propenso a ataques de injeção de SQL é o uso do prefixo de banco de dados padrão wp_. Usando um banco de dados previsível, o prefixo permite que hackers adivinhem os nomes de suas tabelas e causem estragos em seu banco de dados. Portanto, eu recomendo que você altere o mais rápido possível.
Aqui está um detalhado guia sobre como alterar o prefixo do banco de dados do WordPress. Você também pode tentar o Mudar o plugin de prefixo de tabela.
Desabilitar o relatório de erros do PHP
A função de relatório de erros do PHP ajuda você a localizar erros nos arquivos PHP muito mais rapidamente. No entanto, também permite que outras pessoas vejam as vulnerabilidades do seu site. Portanto, recomendo que você desative essa função completamente.
O WordPress desativa a função de relatório de erros por padrão. Se estiver ativado por algum motivo, você deve desativá-lo manualmente modificando o arquivo wp-config.php. Dependendo do seu serviço de hospedagem na web, vários provedores de hospedagem também permitem que você gerencie essa configuração em seu painel de controle.
Mantenha o WordPress atualizado
Para acompanhar os tipos cada vez maiores de ataques cibernéticos, o WordPress lança atualizações periodicamente junto com os patches de segurança mais recentes. Essa melhoria não se aplica apenas ao núcleo do WordPress, mas também aos plugins e temas. Dito isto, usar software desatualizado é uma receita para o desastre.
Embora o WordPress implemente automaticamente pequenas atualizações de software, você ainda precisa realizar as principais atualizações manualmente. Portanto, certifique-se de procurar novas atualizações na seção Atualizações do painel de administração do WordPress regularmente para evitar vulnerabilidades de segurança em seu site.
Há também um plugin gratuito Gerenciador de atualizações fáceisque você pode usar para controlar como deseja atualizar seu núcleo, temas e plugins do WordPress.
Desativar a navegação no diretório
A navegação no diretório pode fornecer acesso rápido à estrutura do site e aos diretórios individuais. No entanto, pode se transformar em uma faca de dois gumes se outras pessoas também puderem acessá-lo. Os hackers costumam usá-lo para encontrar arquivos, plugins e temas vulneráveis e, em seguida, usá-los para obter acesso ao seu site.
Se você estiver hospedando seu site WP em uma plataforma premium, talvez não precise se preocupar, pois eles cuidarão dessas otimizações. No entanto, se você for auto-hospedado ou precisar desativá-lo manualmente, confira este artigo para saber como desabilitar a navegação em diretórios no WordPress.
Remover o número da versão do WordPress
O WordPress lança continuamente atualizações para corrigir as vulnerabilidades de segurança da versão anterior. As versões mais antigas geralmente são atormentadas com mais vulnerabilidades. Portanto, tornar pública sua versão do WordPress não é a melhor ideia para o seu sistema de segurança na web.
Por padrão, sua versão do WordPress é visível no canto inferior direito do painel de administração e na fonte da página. Ele também aparece em lugares menos óbvios, como RSS, CSS e scripts do site. Há um ótimo artigo que fornece um guia passo a passo sobre como remover a versão do WordPress desses locais.
Desativar edição de arquivo
O editor de arquivos integrado do WordPress permite que você modifique os scripts de plugins e temas com muito mais facilidade. Apesar disso, esse recurso pode colocar seu site em risco se cair em mãos erradas. Por esse motivo, é melhor desabilitar completamente a edição de arquivos. Você pode fazer isso adicionando abaixo no arquivo wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Faça Backups Regulares
Criar backups é tão importante quanto proteger o site. Na pior das hipóteses, os backups podem evitar que você tenha que reconstruir o site do zero.
O processo pode parecer tedioso, mas existem muitos plugins de backup como VaultPress e BlogVault que pode torná-lo sem complicações. Protip, use o plugin que possui um recurso de backup automático para economizar seu tempo e evitar que backups desatualizados entupam seu sistema.
Se você não gosta de usar muitos plugins, considere usar o iThemes Security Pro, que cuida de tudo e muito mais.
Pare de Spam e SEO Negativo
O spam está em toda parte e ninguém gosta dele.
Se você estiver executando um site popular e não tiver um sistema de prevenção de spam adequado, poderá atrair milhares de spammers todos os dias. Ter muito spam é ruim para SEO e experiência do usuário. Imagine, você tem centenas de comentários irrelevantes em um post de blog.
Diga não ao spam usando o Antispam CleanTalk solução.
Usar WAF
Um dos melhores investimentos que você pode fazer para proteger seu site é usar o WAF (Web Application Firewall). Ele ajuda a proteger seu site das 10 principais vulnerabilidades do OWASP, falhas de segurança conhecidas e desconhecidas, código malicioso, ataques DDoS e muito mais.
Existem algumas opções – SUCURI, Malcare, Cloudflare.
Gerenciar temas e plugins
Uma das maiores vantagens de usar o WordPress é sua vasta coleção de plugins e temas. Ironicamente, os plugins e temas do WordPress se apresentam como o maior fonte de vulnerabilidade que podem colocar seu site em risco. Portanto, você deve fazer sua escolha com sabedoria e gerenciar com cuidado os que você instalou.
A maneira mais fácil de impedir que hackers acessem seu site por meio de software defeituoso é usar plugins e temas com excelentes avaliações e classificações. Estes são ótimos indicadores que lhe dirão que eles estão bem conservados e funcionando corretamente. Além disso, certifique-se de verificar as atualizações periodicamente para melhorar seu desempenho.
Empacotando
Como as ameaças cibernéticas em todo o mundo não planejam se retirar muito em breve, é essencial proteger seu site WordPress contra possíveis perigos. Felizmente, há muitas práticas de segurança fáceis, porém eficazes, que você pode executar para melhorar a segurança geral do seu site.
Este artigo prova que você não precisa de um grande orçamento ou conhecimento técnico avançado para realizar algumas das melhores práticas de segurança. A questão é, você está pronto para o desafio?
Quer aceitar pagamentos através do seu site? Aqui estão os melhores plugins para aceitar pagamentos em sites WordPress.
Relacionado:
Como usar o Google Cloud SQL com WordPress.