10 dicas de segurança do WordPress para manter seu site seguro

Bruno Lodi Mariano

Por que o tópico das dicas de segurança do WordPress? Porque todos os sites são vulneráveis.

Não importa quanto trabalho você tenha dedicado ao lançamento de seu site, ele sempre pode se encontrar em perigo, mesmo que você não tenha feito nada de errado. É assim que a internet funciona e como os ataques aleatórios são realizados.

Mas a maioria das ameaças pode ser evitada se você passar um tempo implementando essas 10 dicas simples de segurança do WordPress:

10 dicas de segurança do WordPress para manter seu site seguro

Há algumas coisas que você deve colocar na lista quando se trata de fazer uma verificação de rotina. Revisar essas etapas uma vez por mês deve ser suficiente para mantê-lo seguro.

Vamos nos concentrar em certas áreas-chave do site. Até certo ponto, um site é como o corpo humano. Se uma determinada parte estiver danificada, isso afetará todo o sistema.

Aqui está o que fazer:

1. Atualize o WordPress regularmente

Com qualquer nova versão, o WordPress melhora e sua segurança também. Muitos bugs e vulnerabilidades são corrigidos toda vez que uma nova versão é lançada. Além disso, se algum bug particularmente malicioso for descoberto, os caras do núcleo do WordPress cuidarão disso imediatamente e forçarão uma nova versão segura imediatamente. Se você não atualizar, você estará em risco.

Para atualizar o WordPress, primeiro você precisa ir ao seu painel. Na parte superior da página, você verá um anúncio sempre que uma nova versão for lançada. Clique para atualizar e, em seguida, clique no botão azul “Atualizar agora”. Leva apenas alguns segundos.

2. Atualize seus temas e plugins

O mesmo vale para plugins e temas. Você deve atualizar seu tema atual e os plugins que você instalou em seu site. Isso ajuda a evitar vulnerabilidades, bugs e possíveis pontos de violação de segurança.

Assim como acontece com a maioria dos produtos de software, de vez em quando certos plugins podem ser violados ou falhas de segurança podem ser descobertas neles. Por exemplo, no passado, plugins como Ninja Forms e WooCommerce foram atingidos por problemas bastante desagradáveis.

Então, como atualizar seus temas e plugins?

Vamos começar com os plugins. Vá em Plugins/Plugins Instalados ; a lista de todos os seus plugins aparecerá. Se um determinado plugin não estiver em sua versão mais recente, o WordPress informará

 

Por exemplo, eu tenho duas versões antigas de plugins, então tudo que eu preciso fazer é clicar em “atualizar agora” em cada uma delas, e elas estarão prontas em alguns segundos.

Para atualizar seu tema, vá para Aparência / Temas e você verá todos os seus temas instalados lá. Os desatualizados serão marcados como os plugins. Basta clicar em “Atualizar agora”.

 

Além de atualizar todos os plugins e temas, lembre-se de remover também os plugins e temas que você não usa no momento . Esses são apenas peso desnecessário. Considere isso um bônus entre essas dicas de segurança do WordPress.

3. Faça backup do seu site regularmente

 

Fazer backup do seu site é criar uma cópia de todos os dados do site e armazená-los em algum lugar seguro. Dessa forma, você pode restaurar o site a partir dessa cópia de backup caso algo ruim aconteça.

Para fazer backup do seu site, você precisa de um plugin. Existem muitas boas soluções de backup aqui. Por exemplo, o Jetpack tem alguns recursos de backup integrados agora , com preço acessível de US$ 3,50/mês. Para isso, você obtém backups diários, restaurações com um clique, filtragem de spam e arquivamento de backup de 30 dias.

Há também uma alternativa gratuita, UpdraftPlus .

Aqui estão mais alguns conselhos + instruções sobre como fazer backup do seu site WordPress.

 

4. Limite as tentativas de login e altere sua senha com frequência

 

Não permita que seu formulário de login permita tentativas ilimitadas de nome de usuário e senha, porque isso é exatamente o que ajuda um hacker a ter sucesso. Se você deixá-los tentar um número infinito de vezes, eles acabarão descobrindo seus dados de login. Limitar as tentativas disponíveis é a primeira coisa que você deve fazer para evitar isso.

Você pode usar certos plugins especializados para limitar possíveis tentativas de login. Existem duas soluções muito populares, por exemplo, ambas gratuitas:

 

Além disso, ao alterar suas senhas com frequência, você diminui ainda mais as chances de qualquer hacker invadir seu site. No entanto, por “frequentemente” não quero dizer todos os dias… uma vez em 2-3 meses seria suficiente. A diversidade mata a diversão para quem está tentando invadir.

Nota de dicas de segurança do WordPress: o LastPass é uma boa ferramenta que armazena seus dados de senha com segurança e também gera senhas fortes, para que você não precise inventá-las.

 

5. Instale um firewall

Outra de nossas dicas de segurança do WordPress lida com firewalls.

No seu computador

Os firewalls geralmente protegem seu computador contra várias ameaças online. Dessa forma, toda coisa estranha que tentar se conectar com você será questionada e afastada se for suspeita.

Isso não tem nada a ver com o seu site WordPress, por si só, pelo menos não tem conexão direta, mas a instalação de um firewall no seu computador ainda vale o esforço por um motivo crucial:

  • Você usa seu computador para se conectar com a área de administração do seu site. Assim, se o seu próprio computador foi comprometido, sua conexão com o site também pode estar em risco.

Algumas ferramentas para esse fim seriam Norton Internet Security , Comodo  ou ZoneAlarm . Este último é gratuito.

 

No seu site WordPress

 

Além de instalar um firewall no seu computador, você também pode instalar ferramentas de segurança diretamente no seu site WordPress. Este tipo de firewall protege seu site contra vírus, malware, ataques de hackers, etc.

A Sucuri  faz um ótimo trabalho nesse sentido e é um dos melhores serviços de segurança para WordPress aqui. Ele meio que faz um pouco de tudo.

Também existem soluções gratuitas para firewalls, como:

 

 

6. Limite o acesso do usuário ao seu site

Se você não é o único usuário que tem acesso ao seu site, tenha cuidado ao configurar novas contas de usuário também. Você deve manter tudo sob controle e tentar limitar o acesso de qualquer tipo a usuários que não precisam necessariamente dele.

Se você tiver muitos usuários, poderá limitar suas funções e permissões. Eles devem ter acesso apenas às funcionalidades que são essenciais para o desempenho de seu trabalho.

 

Forçar senhas fortes  também pode ajudá-lo com esse problema. Por padrão, o WordPress recomenda uma senha forte, mas não forçará você a alterá-la se estiver escolhendo uma senha fraca. Este plugin não permitirá que você prossiga a menos que sua senha seja forte o suficiente. Esta pode ser uma boa solução para todas as pessoas que entram no seu admin. Essencialmente, é sua única maneira de garantir que eles usem senhas fortes, assim como você.

7. Renomeie seu URL de login

Por padrão, a URL que você usa para fazer login em seu painel é wp-login.php ou wp-admin , adicionada após a URL principal do seu site. Por exemplo,YOURSITE.com/wp-login.php

E adivinhe, esses dois também são os URLs mais acessados ​​por hackers que desejam entrar em seu banco de dados. Se você alterar esse URL, você reduz as chances de encontrar problemas. Adivinhar um URL de login personalizado é muito mais difícil para os hackers.

O  plugin iThemes Security faz esse truque. Por exemplo, seu URL de login pode se transformar em algo como YOURSITE.com/I_love_my_site. Esta é uma daquelas dicas de segurança do WordPress que é muito simples de fazer.

8. Ative as verificações de segurança

As verificações de segurança são algo feito por software/plugins especializados que percorrem todo o seu site em busca de algo suspeito. Se algo for encontrado, ele será removido imediatamente. Esses scanners funcionam como antivírus.

Para uma solução simples e acessível, você pode usar o plugin Jetpack mencionado acima. Além dos recursos de backup, ele também possui verificações diárias de malware e ameaças com resolução manual (este plano custa US$ 9/mês). Alternativamente, você também pode usar CodeGuard ou  Sucuri SiteCheck .

9. Use SSL

SSL (Secure Socket Layer) é uma ótima estratégia através da qual você pode criptografar seus dados de administrador. SSL torna segura a transferência de dados entre o navegador do usuário e o servidor. Existem duas maneiras de obter um certificado SSL:

  • a) Compre um de uma empresa terceirizada como RapidSSL.
  • b) Peça um ao seu provedor de hospedagem. Às vezes, isso vem como um recurso em alguns planos de hospedagem. Dependendo do seu host, é possível que você consiga um sem custo adicional.

Bônus: se você estiver usando criptografia SSL, você não apenas protegerá seu site, mas também terá uma classificação mais alta no ranking do Google. O Google favorece sites que usam SSL. Portanto, agora você tem duas razões para aplicar esta particular de nossas dicas de segurança do WordPress.

 

10. Proteja seu wp-config.php

O arquivo wp-config.php é um dos arquivos mais importantes e, portanto, vulneráveis ​​em seu site. Ele hospeda informações e dados cruciais sobre toda a instalação do WordPress. É tecnicamente o núcleo do seu site WordPress. Se algo de ruim acontecer com ele, você não poderá usar seu blog normalmente.

Uma coisa simples que você pode fazer é pegar o arquivo wp-config.php e simplesmente movê-lo um passo acima do diretório raiz do WordPress. Seu site WordPress não será afetado por essa mudança, mas os hackers não poderão mais encontrá-lo.

Ok, isso resume a lista! Seu site está protegido o suficiente? Você precisa de alguma ajuda em relação a essas dicas de segurança do WordPress?

Se você quiser saber mais sobre a segurança do WordPress, este eBook fornece uma lista de verificação fácil de seguir que o ajudará a manter seu site seguro.

en_USEnglish