A segurança do WordPress é um assunto de grande importância para todos os proprietários de sites. O Google coloca cerca de 100.000 sites na lista negra todos os dias por denúncia de malware e phishing todas as semanas.
Se você leva seu site a sério, preste atenção às práticas recomendadas de segurança para WordPress. Neste guia, compartilharemos todas as principais dicas de segurança para WordPress para ajudá-lo a proteger seu site contra hackers.
Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, você pode fazer muito mais para manter o seu site seguro.
No Império WP, acreditamos que a segurança não se trata apenas de eliminação de riscos. É também uma questão de redução de risco. Como proprietário de um site, você pode fazer muito para melhorar a segurança do WordPress (mesmo se você não tiver experiência em tecnologia).
Temos uma série de etapas acionáveis que você pode executar para proteger seu site contra vulnerabilidades de segurança.
Para facilitar, criamos uma tabela de conteúdo para ajudá-lo a navegar facilmente pelo nosso guia de segurança WordPress definitivo.
Índice
Noções básicas de segurança do WordPress
- Por que a segurança do WordPress é importante?
- Mantendo o WordPress atualizado
- Senhas e permissões de usuário
- O papel da hospedagem na web
Segurança do WordPress em etapas fáceis (sem codificação)
- Instale uma solução de backup para WordPress
- Melhor plugin de segurança para WordPress
- Habilitar firewall de aplicativo da Web (WAF)
- Migrar site WordPress para SSL / HTTPS
Segurança WordPress para usuários técnicos
- Alterar o nome de usuário “admin” padrão
- Desativar edição de arquivo
- Desativar execução de arquivo PHP
- Limitar tentativas de login
- Adicionar autenticação de dois fatores
- Alterar prefixo do banco de dados WordPress
- Proteger pasta WP-Admin e página de Login com senha
- Desativar indexação e navegação de diretório
- Desativar XML-RPC no WordPress
- Desconectar usuários ociosos automaticamente
- Verificando o WordPress em busca de malware e vulnerabilidades
- Consertando um site WordPress hackeado
Preparado? Vamos começar.
Por que a segurança do site é importante?
Um site WordPress hackeado pode causar sérios danos econômicos e à reputação de sua empresa. Os hackers podem roubar informações do usuário, senhas, instalar software malicioso e até mesmo distribuir malware para seus usuários.
Pior, dados de usuários do banco de dados do seu site podem acabar sendo vazados por hackers. Esta é uma preocupação adicional em tempos de LGPD e GDPR. Já que incidente de vazamento de dados podem gerar complicações jurídicas e multas para sua empresa.
Se o seu site é um negócio, você precisa prestar atenção extra à segurança do WordPress.
Da mesma forma que é responsabilidade do proprietário da empresa proteger estrutura física da empresa, como proprietário de uma empresa on-line, é sua responsabilidade proteger o site da sua empresa.
[Voltar ao topo ↑]Mantendo o WordPress atualizado
WordPress é um software de código aberto que é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações. Para versões principais, você precisa iniciar manualmente a atualização.
O WordPress também vem com milhares de plugins e temas que você pode instalar no seu site. Esses plugins e temas são mantidos por desenvolvedores terceirizados que também lançam atualizações regularmente.
Essas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa se certificar de que o núcleo, os plugins e o tema do WordPress estão atualizados.
[Voltar ao topo ↑]Senhas fortes e permissões de usuário
As tentativas de hacking mais comuns em CMSs usam senhas roubadas. Você pode tornar isso difícil usando senhas mais fortes, exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas de FTP, banco de dados, conta de hospedagem do WordPress e seus endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. O bom é que você não precisa mais se lembrar das senhas. Você pode usar um gerenciador de senhas.
Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário. Se você tiver uma grande equipe ou autores convidados, certifique-se de compreender as funções e recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.
[Voltar ao topo ↑]O papel da hospedagem WordPress
Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom fornecedor de hospedagem como Bluehost que toma medidas extras para proteger seus servidores contra ameaças comuns.
Veja como uma boa empresa de hospedagem funciona em segundo plano para proteger seus sites e dados.
- Eles monitoram continuamente sua rede em busca de atividades suspeitas.
- Todas as boas empresas de hospedagem possuem ferramentas para prevenir ataques DDOS em grande escala
- Eles mantêm seu software de servidor, versões de php e hardware atualizados para evitar que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga.
- Eles estão prontos para implantar planos de recuperação de desastres e acidentes que lhes permitem proteger seus dados em caso de acidente grave.
Em um plano de hospedagem compartilhada, você compartilha os recursos do servidor com muitos outros clientes. Isso abre o risco de contaminação entre sites, onde um hacker pode usar um site vizinho para atacar seu site.
Usar um serviço de hospedagem WordPress gerenciada fornece uma plataforma mais segura para o seu site. As empresas de hospedagem gerenciada do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger o seu site
Recomendamos o Nexcess como nosso fornecedor de hospedagem gerenciada WordPress preferencial. Eles também são os mais populares do setor.
Você também pode experimentar o Liquid Web, que é uma boa alternativa para o WP Engine.
[Voltar ao topo ↑]Segurança para WordPress em etapas fáceis (sem codificação)
Sabemos que melhorar a segurança do WordPress pode ser uma ideia aterrorizante para iniciantes. Especialmente se você não for técnico. Adivinhe – você não está sozinho.
Ajudamos milhares de usuários do WordPress a fortalecer sua segurança no WordPress.
Mostraremos como você pode melhorar a segurança no WordPress com apenas alguns cliques (sem necessidade de codificação).
Se você pode apontar e clicar, você pode fazer isso!
Instale uma solução de backup para WordPress
Os backups são sua primeira defesa contra qualquer ataque contra o WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser hackeados, o seu também pode.
Os backups permitem que você restaure rapidamente seu site WordPress caso algo ruim aconteça.
Existem muitos plugins de backup do WordPress gratuitos e pagos que você pode usar. A coisa mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente os backups completos do site em um local remoto (não em sua conta de hospedagem).
Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou OneDrive.
Com base na frequência com que você atualiza seu site, a configuração ideal pode ser backups diários ou em tempo real.
Felizmente, isso pode ser feito facilmente usando plugins como UpdraftPlus ou BackupBuddy . Eles são confiáveis e, o mais importante, fáceis de usar (nenhuma codificação necessária).
[Voltar ao topo ↑]Melhor plugin de segurança para WordPress
Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que controle tudo o que acontece no seu site.
Isso inclui monitoramento de integridade de arquivo, tentativas de login malsucedidas, verificação de malware, etc.
Felizmente, tudo isso pode ser cuidado com o melhor plugin de segurança gratuito para WordPress, o Sucuri Scanner.
Você precisa instalar e ativar o plugin gratuito Sucuri Security. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin no WordPress.
Após a ativação, você precisa ir ao menu Sucuri na sua administração do WordPress. A primeira coisa que você deverá fazer é gerar uma chave de API gratuita. Isso permite o registro de auditoria, verificação de integridade, alertas de e-mail e outros recursos importantes.
A próxima coisa que você precisa fazer é clicar na guia “Hardening” no menu Settings. Percorra todas as opções e clique no botão “Apply Hardening”.
Essas opções ajudam a bloquear as principais áreas que os hackers costumam usar em seus ataques. A única opção de proteção que é uma atualização paga é o Website Firewall Protection, que explicaremos na próxima etapa, portanto, ignore-o por enquanto.
Também cobrimos muitas dessas opções de “Proteção” posteriormente neste artigo para aqueles que desejam fazer isso sem usar um plugin ou aqueles que querem táticas mais avançadas, como “Alteração do prefixo do banco de dados” ou “Alteração do nome de usuário do administrador”.
Após a parte de proteção, as configurações de plugin padrão são boas o suficiente para a maioria dos sites e não precisam de nenhuma alteração. A única coisa que recomendamos personalizar é “Alertas por e-mail”.
As configurações de alerta padrão podem sobrecarregar sua caixa de entrada com muitos e-mails. Recomendamos o recebimento de alertas para ações-chave, como alterações em plugins, registro de novos usuários, etc. Você pode configurar os alertas acessando Settings » Alerts.
Este plugin de segurança do WordPress é muito poderoso, então navegue por todas as guias e configurações para ver tudo o que ele faz, como verificação de malware, registros de auditoria, rastreamento de tentativa de login não autorizadas e etc.
[Voltar ao topo ↑]Habilitar firewall de aplicativo da Web (WAF)
A maneira mais fácil de proteger seu site e ter certeza sobre a segurança do WordPress é usando um firewall de aplicativo da web (WAF).
Um firewall de site bloqueia todo o tráfego malicioso antes mesmo de chegar ao seu site.
Firewall de site de nível de DNS – esse firewall roteia o tráfego de seu site por meio de seus servidores proxy em nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor da web.
Firewall em nível de aplicativo – esses plugins de firewall examinam o tráfego quando ele atinge o servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall de nível DNS para reduzir a carga do servidor.
Para saber mais, consulte nossa lista dos melhores plugins de firewall para WordPress.
Acreditamos que o Sucuri é, sem dúvida, a melhor proteção de firewall que você pode obter para o seu site WordPress. O Astra Security é uma alternativa de baixo custo ao Sucuri.
A melhor parte do firewall do Sucuri e do Astra Security é que eles também vem com uma garantia de limpeza de malware e remoção da lista negra. Basicamente, se você for hackeado sob sua supervisão, eles garantem que consertarão seu site (não importa quantas páginas você tenha).
A Sucuri não é o único fornecedor de firewall de nível DNS que existe. O outro concorrente popular é o Cloudflare. Veja nossa comparação entre Sucuri e Cloudflare (prós e contras).
[Voltar ao topo ↑]Mova seu site WordPress para SSL / HTTPS
SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre o seu site e o navegador do usuário. Essa criptografia torna mais difícil para alguém farejar e roubar informações.
Depois de habilitar o SSL, seu site usará HTTPS em vez de HTTP, você também verá um cadeado próximo ao endereço do seu site no navegador.
Os certificados SSL são normalmente emitidos por autoridades de certificação e seus preços variam de R$ 119,00 a centenas de reais a cada ano. Devido ao custo adicional, a maioria dos proprietários de sites optou por continuar usando o protocolo inseguro.
Para corrigir isso, uma organização sem fins lucrativos chamada Let's Encrypt decidiu oferecer certificados SSL gratuitos para proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.
Agora, é mais fácil do que nunca começar a usar SSL para todos os seus sites WordPress. Muitas empresas de hospedagem estão oferecendo um certificado SSL grátis para o seu site WordPress.
[Voltar ao topo ↑]Segurança WordPress para usuários técnicos
Se você fizer tudo o que mencionamos até agora, você estará muito bem.
Mas, como sempre, você pode fazer muito mais para fortalecer a segurança do WordPress.
Algumas dessas etapas podem exigir conhecimento de codificação.
Alterar o nome de usuário “admin” padrão
Antigamente, o nome de usuário de administrador padrão do WordPress era “admin”. Como os nomes de usuário representam metade das credenciais de login, isso tornou mais fácil para os hackers fazerem ataques de força bruta.
Felizmente, o WordPress já mudou isso e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress .
No entanto, alguns instaladores do WordPress com 1 clique ainda definem o nome de usuário de administrador padrão como “admin”. Se você perceber que esse é o caso, é provavelmente uma boa ideia mudar de hospedagem.
Como o WordPress não permite que você altere nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.
- Crie um novo nome de usuário de administrador e exclua o antigo.
- Use o plugin Username Changer
- Atualizar nome de usuário de phpMyAdmin
Cobrimos todos os três em nosso guia detalhado sobre como alterar seu nome de usuário do WordPress corretamente (passo a passo).
Desativar edição de arquivo
O WordPress vem com um editor de código embutido que permite que você edite seus arquivos de tema e plugin direto da sua área de administração do WordPress. Em mãos erradas, esse recurso pode ser um risco à segurança, por isso recomendamos desativá-lo.
Você pode fazer isso facilmente adicionando o seguinte código em seu arquivo wp-config.php.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Como alternativa, você pode fazer isso com 1 clique usando o recurso Hardening no plugin Sucuri gratuito que mencionamos acima.
Desative a execução de arquivos PHP em determinados diretórios do WordPress
Outra maneira de fortalecer a segurança do WordPress é desabilitando a execução de arquivos PHP em diretórios onde não é necessário, como /wp-content/uploads/
.
Você pode fazer isso abrindo um editor de texto como o Bloco de notas e colando este código:
<Files *.php> deny from all </Files>
Em seguida, você precisa salvar este arquivo como .htaccess
e enviá-lo para /wp-content /uploads/
pastas em seu site usando um cliente FTP.
Para obter uma explicação mais detalhada, consulte nosso guia sobre como desabilitar a execução de PHP em determinados diretórios do WordPress.
Como alternativa, você pode fazer isso com 1 clique usando o recurso Hardening no plugin Sucuri gratuito que mencionamos acima.
[Voltar ao topo ↑]Limitar tentativas de login
Por padrão, o WordPress permite que os usuários tentem fazer o login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. Os hackers tentam quebrar as senhas tentando fazer o login com diferentes combinações.
Isso pode ser facilmente corrigido limitando as tentativas de login malsucedidas que um usuário pode fazer. Se você estiver usando o firewall a nível de DNS mencionado anteriormente, isso será resolvido automaticamente.
No entanto, se você não tiver a configuração do firewall, prossiga com as etapas abaixo.
Primeiro, você precisa instalar e ativar o plugin do Login LockDown . Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin no WordPress .
Após a ativação, visite a página Configurações » Login LockDown para configurar o plugin.
Para obter instruções detalhadas, dê uma olhada em nosso guia sobre como e por que você deve limitar as tentativas de login no WordPress.
Adicionar autenticação de dois fatores
A técnica de autenticação de dois fatores exige que os usuários façam login usando um método de autenticação de duas etapas. O primeiro é o nome de usuário e a senha, e a segunda etapa requer que você se autentique usando um dispositivo ou aplicativo separado.
A maioria dos principais sites on-line, como Google, Facebook, Twitter, permite que você o habilite para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.
Primeiro, você precisa instalar e ativar o plugin Two Factor Authentication . Após a ativação, você precisa clicar no link “Two Factor Auth” na barra lateral de administração do WordPress.
Em seguida, você precisa instalar e abrir um aplicativo autenticador em seu telefone. Existem vários deles disponíveis, como Google Authenticator, Authy e LastPass Authenticator.
Recomendamos usar o Autenticador LastPass porque permite que você faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, reiniciado ou se você comprar um novo telefone. Todos os logins de sua conta serão facilmente restaurados.
Estaremos usando o Autenticador LastPass para este tutorial. No entanto, as instruções são semelhantes para todos os aplicativos de autenticação. Abra seu aplicativo autenticador e clique no botão Adicionar.
Será perguntado se você gostaria de escanear um site manualmente ou escanear o código de barras. Selecione a opção de leitura do código de barras e aponte a câmera do seu telefone para o código QR mostrado na página de configurações do plugin.
Isso é tudo, seu aplicativo de autenticação agora irá salvá-lo. Na próxima vez que você fizer login em seu site, será solicitado o código de autenticação de dois fatores após inserir sua senha.
Basta abrir o aplicativo autenticador em seu telefone e inserir o código que você vê nele.
[Voltar ao topo ↑]Alterar prefixo do banco de dados WordPress
Por padrão, o WordPress usa wp_
como prefixo para todas as tabelas em seu banco de dados WordPress . Se o seu site WordPress estiver usando o prefixo de banco de dados padrão, será mais fácil para os hackers adivinharem o nome da sua tabela. É por isso que recomendamos alterá-lo.
Você pode alterar o prefixo do banco de dados seguindo nosso tutorial passo a passo sobre como alterar o prefixo do banco de dados WordPress para melhorar a segurança.
Proteger pasta WP-Admin e página de Login com senha
Normalmente, os hackers podem se conectar a sua pasta wp-admin e página de login sem qualquer restrição. Isso permite que eles tentem seus truques de hacker ou executem ataques DDoS.
Você pode adicionar proteção de senha adicional no nível do servidor, o que bloqueará efetivamente essas solicitações.
Siga nossas instruções passo a passo sobre como proteger com senha o diretório de administrador do WordPress (wp-admin).
[Voltar ao topo ↑]Desativar indexação e navegação de diretório
A navegação no diretório pode ser usada por hackers para descobrir se você possui algum arquivo com vulnerabilidades conhecidas, para que eles possam tirar proveito desses arquivos para obter acesso.
A navegação em diretórios também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir sua estrutura de diretórios e outras informações. É por isso que é altamente recomendável que você desative a indexação e navegação de diretório.
Você precisa se conectar ao seu site usando FTP ou o gerenciador de arquivos cPanel. Em seguida, localize o arquivo .htaccess
no diretório raiz do seu site. Se você não conseguir vê-lo lá, consulte nosso guia sobre por que você não consegue ver o arquivo .htaccess no WordPress.
Depois disso, você precisa adicionar a seguinte linha no final do arquivo .htaccess
:
Options -Indexes
Não se esqueça de salvar e enviar o arquivo .htaccess
de volta ao seu site. Para saber mais sobre esse assunto, consulte nosso artigo sobre como desabilitar a navegação em diretórios no WordPress.
Desativar XML-RPC no WordPress
XML-RPC foi habilitado por padrão no WordPress 3.5 porque ajuda a conectar seu site WordPress com aplicativos da web e móveis.
Por causa de sua natureza poderosa, o XML-RPC pode amplificar significativamente os ataques de força bruta.
Por exemplo, tradicionalmente, se um hacker quisesse tentar 500 senhas diferentes em seu site, ele teria que fazer 500 tentativas de login separadas, que seriam capturadas e bloqueadas pelo plugin de bloqueio de login.
Mas com XML-RPC, um hacker pode usar a função system.multicall para tentar milhares de senhas com, digamos, 20 ou 50 solicitações.
É por isso que, se você não estiver usando XML-RPC, recomendamos que você desative-o.
Existem 3 maneiras de desabilitar XML-RPC no WordPress, e cobrimos todas elas em nosso tutorial passo a passo sobre como desabilitar XML-RPC no WordPress.
Se você estiver usando o firewall de aplicativo da web mencionado anteriormente, isso pode ser resolvido pelo firewall.
[Voltar ao topo ↑]Desconectar usuários ociosos automaticamente no WordPress
Os usuários conectados às vezes podem se afastar da tela e isso representa um risco de segurança. Alguém pode sequestrar sua sessão, alterar senhas ou fazer alterações em sua conta.
É por isso que muitos sites bancários e financeiros desconectam automaticamente um usuário inativo. Você também pode implementar funcionalidades semelhantes em seu site WordPress.
Você precisará instalar e ativar o plugin de Inactive Logout. Após a ativação, visite a página Configurações » Inactive Logout inativo para definir as configurações do plugin.
Basta definir a duração do tempo e adicionar uma mensagem de logout. Não se esqueça de clicar no botão salvar alterações para armazenar suas configurações.
Verificando o WordPress em busca de malware e vulnerabilidades
Se você tiver um plugin de segurança do WordPress instalado, esses plugins verificarão rotineiramente se há malware e sinais de quebras de segurança.
No entanto, se você observar uma queda repentina no tráfego do site ou nas classificações de pesquisa, execute uma verificação manualmente. Você pode usar o plugin de segurança do WordPress ou um desses scanners de segurança online para WordPress.
Executar essas varreduras online é bastante simples, basta inserir os URLs do seu site e seus rastreadores percorrem o seu site para procurar malware conhecido e código malicioso.
Agora, lembre-se de que a maioria dos scanners de segurança do WordPress podem apenas escanear seu site. Eles não podem remover o malware ou limpar um site WordPress hackeado.
Isso nos leva à próxima seção, limpando malware e sites WordPress hackeados.
[Voltar ao topo ↑]Consertando um site WordPress hackeado
Muitos usuários do WordPress não percebem a importância dos backups e da segurança do site até que seu site seja hackeado.
Limpar um site WordPress pode ser muito difícil e demorado. Nosso primeiro conselho é deixar um profissional cuidar disso.
Os hackers instalam backdoors em sites afetados e, se esses backdoors não forem corrigidos adequadamente, é provável que seu site seja invadido novamente.
Permitir que uma empresa de segurança profissional como a Sucuri ou Astra Security conserte seu site irá garantir que ele seja seguro para uso novamente. Ele também irá protegê-lo contra quaisquer ataques futuros.
Para os usuários aventureiros e usuários técnicos, compilamos um guia passo a passo sobre como consertar um site WordPress hackeado.
Isso é tudo, esperamos que este artigo tenha ajudado você a aprender as melhores práticas de segurança para WordPress, bem como descobrir os melhores plugins de segurança para WordPress.