Proteger seu site WordPress mantém você, seu conteúdo e seus visitantes a salvo de hackers que tentam coletar informações pessoais ou distribuir malware e vírus desagradáveis.
Caso alguma vez você seja hackeado no WordPress saiba que isso ira lhe custar, tráfego, dinheiro e muito tempo, então se liga nessas dicas para Proteger seu site WordPress. Lembrando que caso tenha alguma problema com infecção WordPress você pode contar com nossos especialistas em WordPress
Segundo a Forbes , cerca de 30.000 sites na Web são invadidos todos os dias. Nem todos eles são sites WordPress, lembre-se, mas isso representa um enorme problema. Empresas legítimas em todos os lugares sofrem desnecessariamente com perda de receita e tempo quando seu site é invadido e injetado com links maliciosos e malware, sem mencionar uma perda de credibilidade.
Tudo isso pode ser evitado, mas pode ser difícil saber por onde começar e o que realmente funciona quando se trata de aumentar suas medidas de segurança. O Codex do WordPress tem muitas ótimas dicas para Proteger seu site WordPress, mas há muitas outras etapas que você pode seguir para melhorar a segurança geral do seu site.
O clichê “quanto mais, melhor” se aplica à segurança do seu site. Quanto mais você colocar em suas defesas, menor a probabilidade de um hacker se infiltrar no seu site. Então, aqui estão mais de 10 maneiras de melhorar a segurança do seu site WordPress para instalações únicas e multisite.
1. Mantenha-se atualizado
As versões mais recentes do WordPress são lançadas regularmente e contêm correções para muitos bugs, novos recursos e, mais importante, atualizações de segurança. A equipe principal faz um ótimo trabalho corrigindo vulnerabilidades de segurança de maneira rápida e eficiente.
Tudo isso é lançado em versões mais recentes, mas se você não aplicar essas atualizações, seu site não incluirá as mais recentes correções de segurança, deixando-o aberto para hackers.
Você pode atualizar sua versão do WordPress indo para Painel> Atualizações em instalações únicas, ou solicitar a atualização WordPress para nossos especialistas WordPress
Proteger seu site WordPress
Para instalações em vários locais, acesse o painel do administrador da rede> Atualizações> Atualizações disponíveis
Atualiza WordPress multisite Segurança contra Malware
Embora as atualizações de segurança sejam aplicadas automaticamente, as principais versões não são e precisam ser atualizadas manualmente, visitando essas páginas. Se você deseja se manter atualizado com os novos lançamentos, nós o manteremos atualizado em nosso Blog.
2. Use e aplique senhas fortes
Se a senha da sua conta de administrador for simples, pode ser fácil para os hackers adivinhá-la e fazer login no seu site sem você saber. Senhas como “João1234”, “adminpassword” ou “Password1” serão fáceis de adivinhar.
De acordo com o SplashData , as senhas mais comuns para 2013 e 2014 eram “123456” e o segundo colocado era “senha”, o que é igualmente seguro – o que significa que elas definitivamente não são seguras!
Com senhas simples de adivinhar como essas, os hackers podem entrar no seu site e criar uma nova conta de administrador para voltar ao seu site à vontade para adicionar qualquer malware e backlinks que desejarem.
Isso pode ser facilmente evitado usando uma senha forte que contém letras maiúsculas e minúsculas, números e pontuação. Também deve parecer uma sequência aleatória de caracteres ou ilegível para humanos.
Você pode pensar que uma senha como essa seria incrivelmente difícil ou impossível de lembrar, mas não precisa ser. Se você pensar em uma frase da qual possa se lembrar facilmente, escreva a primeira letra de cada palavra e inclua a pontuação e os números que você normalmente adicionaria se escrevesse a frase.
Por exemplo, uma frase memorável como “Meu nome é Jane Doe e eu amo meu cachorro Puddles, que nasceu em 2013.” – se torna a senha “MniJDaIlmdP, wwbi2013”. Você poderia adivinhar essa senha sem fazer referência a suas origens? Provavelmente não, e o mesmo vale para hackers.
Você não precisa necessariamente ter uma senha desse tamanho, desde que contenha todos os elementos sugeridos e tenha pelo menos oito caracteres. Você também pode aplicar senhas fortes a serem criadas por seus usuários instalando um plug-in de segurança como o Wordfence Security ou o iThemes Security.
3. Use temas e plug-ins confiáveis
O tema WordPress.org e Diretório Plugin são surpreendentemente abundantes fontes de temas e plugins gratuitos e premium, mas nem todos são criados iguais. Enquanto a maioria deles é de primeira qualidade, o WordPress é amplamente executado por voluntários que aprovam temas e plugins antes de serem disponibilizados no diretório, mas não é um sistema à prova de besteiras.
Muitos plug-ins (mais do que temas, geralmente) são aprovados, embora possam conter código incorreto ou, caso contrário, podem abrandar o site ou causar outros problemas. Mesmo que eles sejam aprovados por não causar grandes avarias no WordPress, isso não significa que seja necessariamente bom.
Eles podem conter brechas de segurança que não são detectadas pelo desenvolvedor, permitindo que os hackers se intrometam mais facilmente no plug-in e depois no seu site.
Embora o diretório tenha um sistema de classificação, ele é bastante subjetivo, pois se baseia nas avaliações de outros usuários, que às vezes não têm um motivo legítimo para votar da maneira que fazem. Por exemplo, as revisões de uma estrela são frequentemente feitas por razões como os usuários descobriram que o plug-in não tinha um determinado recurso, mesmo que a página do plug-in tenha declarado claramente suas capacidades – ou a falta delas.
Um desenvolvedor também pode criar um ótimo plugin aprovado, apenas para atualizá-lo posteriormente com código indesejável ou mesmo malicioso, pois o plug-in não precisa ser revisado antes da aplicação das atualizações.
4. Faça backup do seu site
Quando você salva uma cópia de todo o site – arquivos e banco de dados – significa que você pode facilmente recuperar o site se algo der errado, como fazer uma alteração que interrompa o site ou se você for hackeado.
Atualmente, existem muitos plugins disponíveis que são confiáveis, incluindo nosso próprio Snapshot Pro . Há também o VaultPress , BackupBuddy ou blogVault .
É importante observar que, independentemente de como você escolher fazer backup do site, você deve manter uma cópia atualizada regularmente em vários locais. Você não deve apenas manter cópias no servidor ou no email, pois esses dois locais podem ser invadidos.
Além disso, se você também mantiver uma cópia fora do local, como no seu sistema operacional ou na nuvem, há ainda menos chances de você perder o site. Você terá uma cópia extra à mão, apenas por precaução.
5. Use um plug-in de segurança
Desde que comecei a usar um plugin de segurança, não voltarei a não usá-lo. Quando olho para as estatísticas, vejo quantas centenas de vezes por dia qualquer um dos meus sites é atingido por uma tentativa de ataque que também está bloqueada.
Comecei a usar um depois que um dos meus sites foi hackeado e injetado com backlinks para sites de spam. Percebi o que aconteceu quando tentei compartilhar um post do blog, apenas para ver que, quando colei o link no Facebook, a visualização mostrou que o título e o conteúdo foram substituídos por spam.
Eu tive que começar de novo e refazer meu site do zero. Na época, eu não sabia que existem muitos plugins de segurança que oferecem serviços de antivírus, firewall e anti-malware. Alguns deles podem até ajudar a limpar um site invadido, se você ainda tiver acesso para instalá-lo, como o Wordfence Security , que funciona para instalações únicas e multisite.
Aqui estão alguns outros plugins que podem ajudá-lo a aumentar sua segurança:
- VaultPress
- BulletProof Security
- Segurança do iThemes
- Scanner de malware de segurança Sucuri
- Firewall do site de segurança da Sucuri
- Tudo em um WP Security and Firewall
- Firewall de segurança simples do WordPress
- Triagis WordPress Security
- SiteGuard WP Plugin
- NinjaFirewall
- Segurança anti-malware e força bruta da ELI
Esta é apenas uma amostra de muitos por aí que você pode ler à vontade.
6. Altere o nome de usuário do administrador padrão
Quando você criou seu site, por padrão, seu nome de usuário estava definido como admin, assim como a maioria dos outros sites do WordPress. Não alterar seu nome de usuário facilita o acesso dos hackers ao site, pois eles precisam adivinhar sua senha.
Se você mudar, é um passo extra que o hacker precisa dar, o que significa que você está um passo mais seguro.
Como alternativa, você pode criar uma nova conta de administrador e chamá-la de outra coisa e excluir sua conta de administrador antiga.
Se você não tomar cuidado, isso pode fazer com que você não tenha acesso às funções que você criou anteriormente pelos plug-ins adicionados anteriormente, se você não der à sua nova conta o acesso adequado. É por isso que alterar seu nome de usuário manualmente geralmente é a opção mais segura, caso tenha dificuldades não hesite em contatar nosso suporte para WordPress.
7. Verifique suas permissões de arquivo
Se você estiver hospedando seu site em um servidor Linux ou Unix, terá acesso às suas permissões de pasta e arquivo, que fornecem ou limitam o acesso com base nas configurações escolhidas. Se suas permissões forem muito permissivas, quase todos poderão acessar arquivos e pastas importantes no seu site.
O WordPress Codex tem um ótimo guia que explica as permissões de arquivo em profundidade .
8. Limitar o acesso a páginas importantes
O painel do administrador e a página de login estão entre as páginas mais importantes, pois podem conceder acesso a todo o site. Limitar o acesso a essas páginas significa que você e seus usuários serão os únicos que poderão acessar seu site, mantendo todos um pouco mais seguros.
9. Use um certificado Secure Socket Layer (SSL)
Você pode ter visto certificados SSL em uso ao visitar sites como Facebook, Twitter, Google e muitos outros. Em vez de httpaparecer na frente de um link na barra de endereço, httpsé exibido, indicando que o site em que você está é seguro e a conexão é criptografada.
Proteger seu site WordPress Cpanel 2WP HTTPS
Se o seu site exigir que os usuários efetuem login ou insira informações pessoais, você precisará de um certificado SSL. Para descobrir mais informações sobre isso e como obter uma no seu site, confira com nossos especialista em Segurança no WordPress
Existem muitos plugins que ajudam você a mudar de site httppara httpsquando o certificado estiver instalado.
10. Use FTP seguro (SFTP) ou acesso ao shell (SSH)
Transferir os arquivos do seu site por FTP é uma maneira rápida de instalar e executar um novo site ou adicionar novos arquivos ao site existente, mas não é tão seguro quanto outros métodos. Os hackers podem potencialmente interferir na sua conexão FTP.
O uso do SFTP é mais seguro e suas senhas são criptografadas para ajudar a impedir que hackers o aprendam. O SSH é outro método seguro de adicionar ou transferir os arquivos do seu site.
Se você deseja usar o FTP, é uma boa idéia excluir as contas de FTP que você não está usando para impedir que elas sejam acessadas sem o seu consentimento. Alguns hosts da web permitem que você use contas de FTP por um tempo limite definido. Essa é uma ótima maneira de ajudar a manter seu site e informações mais seguras.
11. Proteger com senha pastas importantes
Você pode dificultar o acesso dos hackers às pastas do seu site, protegendo-as com senha, para que você tenha acesso a elas.
No cPanel, vá para Segurança> Diretórios de proteção por senha para acessar uma lista das pastas do seu site. Escolha o diretório que deseja proteger com senha e clique nele.
Sob o título Criar usuário , digite o nome de usuário e a senha desejados e clique em Adicionar ou modificar o usuário autorizado para salvar suas alterações.
Proteger seu site WordPress Cpanel
Agora, em Configurações de segurança nesta página, marque a caixa com o rótulo Proteger com senha este diretório . Digite também um nome que você gostaria que fosse exibido quando alguém tentar acessar seu diretório no navegador.
Proteger seu site WordPress
Por fim, clique em Salvar e pronto. Seu arquivo agora está protegido por senha .
Você também pode usar um plug-in para fazer isso, como o AskApache Password Protect . Tudo o que você precisa fazer é instalá-lo e escolher um nome de usuário e senha. Seu arquivo .htaccess será atualizado automaticamente sem interromper nada mais nele escrito e ira Proteger seu site WordPress.
12. Altere o prefixo da tabela wp_
Por padrão, cada tabela no banco de dados do WordPress começa com wp_. Assim como os outros recursos padrão já mencionados, se você deixar como está, facilita a invasão de hackers nas tabelas de site e banco de dados, pois os nomes das tabelas são os mesmos na maioria das instalações do WordPress.
Alterar isso para algo mais personalizado e memorável significa que será menos acessível aos hackers e certamente ira Proteger seu site WordPress.
Certifique-se de fazer um backup completo do seu site antes de tentar fazer essa alteração, pois ela pode danificá-lo se não for feita corretamente.
13. Altere o nome do seu banco de dados
Por fim, alterar o final do nome do banco de dados pode Proteger seu site WordPress e dificultar a adivinhação e a identificação dos hackers para mantê-los fora, assim como no prefixo de suas tabelas. Temos um post detalhado para ajudar a definir sua senha para WordPress
Conclusão
Cobrimos 13 maneiras básicas pelas quais você pode Proteger seu site WordPress ou Multisite e ele não para por aí. Há muitas outras coisas que você pode fazer para tornar seu site WordPress Seguro, para isso entre em contato com nosso especialista.
