Numa era em que as ameaças cibernéticas estão em constante evolução, garantir a segurança do seu site WordPress não é mais um luxo, é uma necessidade. Bem-vindo ao “WordPress Security 2023 – Guia visual passo a passo para manter seu site seguro”, onde mergulharemos nas estratégias mais avançadas e eficazes para proteger sua presença online.
Desde a implementação de uma autenticação robusta de dois fatores até a escolha de um serviço de hospedagem WordPress confiável, este guia completo explora o mundo multifacetado da segurança do WordPress.
Aprenda como maximizar o potencial dos plug-ins de segurança, compreender a importância dos backups regulares e descobrir o valor dos serviços de hospedagem seguros.
Além disso, revelaremos a importância da educação do usuário para aumentar a segurança do seu site. À medida que avançamos no guia, você obterá uma compreensão intuitiva de como essas camadas de proteção funcionam juntas para fortalecer seu site contra ameaças potenciais.
Quer você seja um usuário experiente do WordPress ou um iniciante, este guia oferece informações valiosas que irão equipá-lo para proteger seu site WordPress de forma eficaz em 2023 e além. Você está pronto para dar um passo proativo em direção ao aprimoramento da segurança? Vamos começar.
Instale uma solução de backup WordPress
Backups para sites WordPress são essenciais para a segurança dos dados. Eles protegem o conteúdo, os temas e os plug-ins do seu site contra perdas inesperadas de dados, falhas ou ataques.
Em caso de qualquer acidente, um backup serve como rede de segurança, permitindo uma restauração rápida e minimizando o tempo de inatividade. Lembre-se sempre de que a segurança da sua presença online está em suas mãos.
Os plug-ins de segurança do WordPress fortalecem seu site contra ameaças como hackers e malware. Eles oferecem recursos como firewalls, proteção contra spam e segurança de login. Um componente crucial é um plugin de backup, que arquiva regularmente os dados do seu site. Se ocorrer um desastre, este plugin ajuda a restaurar seu site, preservando seu trabalho árduo e mantendo a integridade do site.
O tempo necessário para o backup de um site WordPress depende do tamanho e do método de backup utilizado. Para um site pequeno, pode levar alguns minutos. Sites maiores podem levar horas. Backups regulares ajudam a garantir tempo de inatividade mínimo durante a restauração.
Para garantir a segurança do seu site WordPress, diversos plugins estão à sua disposição.
Considere o UpdraftPlus, que permite criar um backup completo do seu site e armazená-lo na nuvem ou baixá-lo diretamente.
Em seguida, temos o VaultPress, também conhecido como Jetpack Backup. Isso oferece uma solução que faz backup automático de seus dados em tempo real, garantindo um processo de restauração tranquilo.
BackupBuddy é outra ótima opção. Ele oferece flexibilidade no agendamento de backups – diários, semanais ou mensais, e até oferece suporte a backups em locais remotos.
Um duplicador é uma ferramenta útil, não apenas para backups regulares, mas também se você planeja realocar seu site WordPress.
Por último, há o BackWPup. Esta ferramenta pode direcionar o backup do seu site para vários locais, incluindo Dropbox e Amazon S3.
Desconectar automaticamente usuários ociosos
Quando um usuário logado sai, sua sessão pode permanecer ativa, expondo potencialmente o site a acesso não autorizado. Para mitigar esse risco, é importante ter tempos limite automáticos de sessão e incentivar os usuários a sair quando não estiverem ativos.
Os usuários conectados ao seu site WordPress podem representar um risco à segurança se tiverem intenções maliciosas ou forem vítimas de ataques de phishing. Eles podem introduzir inadvertidamente malware ou outras ameaças, especialmente se tiverem privilégios administrativos.
Portanto, é crucial conceder funções de usuário com cuidado, garantir o uso de senhas fortes e educar os usuários sobre possíveis riscos de segurança.
Para colocar o plugin Inactive Logout em funcionamento, primeiro você precisa fazer login.Plug-ins‘ e procure o plugin que discutimos. Depois de encontrá-lo, basta dar ‘Ativar‘um clique e está tudo pronto.
Depois de ativar o plug-in Logout inativo, navegue até o configurações cardápio. Um pop-up aparecerá; procure o ‘Logout inativo‘ e dê um clique.
Alterar o nome de usuário “Admin” padrão
No passado, o WordPress usava “admin” como nome de usuário padrão para a conta do administrador principal. Infelizmente, isso se tornou uma brecha de segurança, já que os hackers frequentemente visavam esse nome de usuário padrão para ataques de força bruta. Cientes de que muitos proprietários de sites não alteraram este nome de usuário, exploraram esta vulnerabilidade para obter acesso não autorizado, colocando em risco a integridade do site.
No passado, o WordPress usava “admin” como nome de usuário padrão para a conta do administrador principal. Infelizmente, isso se tornou uma brecha de segurança, já que os hackers frequentemente visavam esse nome de usuário padrão para ataques de força bruta.
Cientes de que muitos proprietários de sites não alteraram este nome de usuário, exploraram esta vulnerabilidade para obter acesso não autorizado, colocando em risco a integridade do site.
O WordPress, por padrão, não oferece a opção de alterar seu nome de usuário. No entanto, há uma solução alternativa: você pode criar um novo usuário com o nome de usuário desejado e remover a conta antiga.
Coisa para lembrar: Caso você seja usuário do Gmail, você tem um truque bacana à sua disposição. Ao adicionar um sinal de mais e caracteres adicionais após seu nome de usuário, você pode criar um endereço exclusivo para WordPress. Portanto, se o seu e-mail principal for onesheep@gmail.com, você pode usar onesheep+wordpress@gmail.com para WordPress. Embora pareça diferente do WordPress, todos os e-mails ainda chegarão à sua caixa de entrada original.
Para criar um novo usuário, navegue até ‘Usuários‘no seu painel primeiro. Em seguida, no pop-up que aparece, selecione ‘Adicionar novo.’
Próxima etapa: você verá um formulário aparecer na tela ao clicar em ‘Adicionar novo.’ É importante reservar um momento e preenchê-lo completamente.
Uma vez logado como seu novo usuário, você deve se despedir da conta antiga. Vá para ‘Todos os usuários’, encontre seu nome de usuário antigo e clique em ‘Excluir’. Isso garante que você esteja operando com seu novo nome de usuário preferido.
Agora você deve acertar o ‘Confirmar exclusão‘ para remover o usuário selecionado anteriormente. É simples assim.
.
Limitar tentativas de login
O recurso de tentativas ilimitadas de login no WordPress pode realmente representar um risco à segurança. Os hackers podem explorar isso usando ataques de força bruta, tentando inúmeras combinações de nomes de usuários e senhas até acertarem.
Backdoors fornecem aos hackers acesso não autorizado a um site WordPress, contornando as medidas de segurança usuais. Eles podem ser injetados em arquivos ou plug-ins do site, permitindo que hackers roubem dados, espalhem malware ou até mesmo assumam o controle do site.
É realmente necessário saber como você pode consertar seu site hackeado.
Como não há restrição de tentativas, elas podem continuar até serem bem-sucedidas, potencialmente obtendo acesso não autorizado ao seu site. É por isso que usar senhas fortes e complexas e limitar as tentativas de login (através de plugins ou outras medidas de segurança) é essencial.
O plugin “Login LockDown” é uma solução robusta para mitigar o risco de tentativas ilimitadas de login no WordPress. Limita o número de tentativas de login de um único intervalo de IP dentro de um período de tempo específico.
Se o limite for atingido, o plugin bloqueia a função de login para esse intervalo, evitando possíveis ataques de força bruta. Isso adiciona uma camada extra de segurança, protegendo seu site contra acesso não autorizado.
Em seguida, você deve “ativar” o ‘Limitar tentativas de login’ plugar. Esta é uma etapa vital para proteger o seu site WordPress. Quando estiver ativado, você encontrará esta mensagem na tela.
Agora você pode clicar no limite de tentativa de login na parte inferior esquerda do painel.
Vamos falar sobre como melhorar a segurança do seu site WordPress. No topo, você verá opções incluindo Painel, Configurações, Registros e Depuração. Clique em Configurações; é aqui que limitaremos as tentativas de login.
Procurar ‘Notificar sobre bloqueio.’ É aqui que você define seu limite preferido. Optei por limitar meus logins do WordPress a 3. Isso significa que após três tentativas incorretas, o usuário fica impedido de novas tentativas. Esta etapa simples pode reforçar significativamente as defesas do seu site.
Adicionar autenticação de dois fatores
A autenticação em duas etapas, também conhecida como autenticação de dois fatores (2FA), é como ter um sistema de bloqueio duplo para seu login do WordPress; simplesmente oferece uma camada extra de segurança. Veja bem, em vez de precisar apenas de um nome de usuário e senha, o 2FA pede mais uma informação para confirmar que é você.
Como funciona? Bem, depois de inserir seu nome de usuário e senha, o 2FA solicita um código de verificação exclusivo. Esse código geralmente é enviado para um dispositivo de sua confiança, como seu celular, ou criado por um aplicativo de autenticação.
Portanto, mesmo que um criminoso cibernético consiga de alguma forma sua senha, ele ainda será bloqueado sem essa segunda verificação. É uma maneira brilhante de fortalecer sua conta contra invasores indesejados.
Agora é hora de habilitar o plugin Two Factor Authentication. Isto ajudará a reforçar a segurança da sua conta, garantindo que a autenticação seja robusta e confiável.
Depois de ativar o recurso, localize “Autenticação em duas etapas“no painel e clique nele. Depois disso, você deverá ver a tela a seguir.
Os aplicativos móveis de autenticação em duas etapas geram códigos temporários e sensíveis ao tempo, usados para verificar a identidade de um usuário durante o processo de login.
Esses aplicativos adicionam uma camada extra de segurança às suas contas online, incluindo o seu site WordPress, garantindo que apenas alguém com acesso ao dispositivo móvel pré-aprovado possa fazer login.
Existem vários aplicativos confiáveis de autenticação em duas etapas disponíveis, incluindo:
- Autenticador Google: Este aplicativo é fácil de usar e pode ser usado com muitas contas. Também é gratuito e funciona em diferentes sistemas operacionais.
- Authy: Authy fornece uma interface perfeita e permite a sincronização de vários dispositivos. Ele também oferece backups seguros na nuvem.
- Autenticador Microsoft: Este aplicativo oferece logins sem senha e notificações para atividades suspeitas.
- Autenticador LastPass: esta pode ser uma escolha conveniente se você já estiver usando o LastPass como gerenciador de senhas.
Authy é uma excelente escolha para autenticação de dois fatores. Ele oferece uma interface amigável e sincronização de vários dispositivos, o que é útil se você alternar entre dispositivos.
Além disso, fornece backups seguros na nuvem, garantindo que as informações da sua conta permaneçam seguras mesmo se você perder o dispositivo, fortalecendo assim a segurança da sua conta.
Vamos para a próxima etapa. É hora de colocar o Authy em funcionamento. Vá em frente e ative o aplicativo. Você precisará então cadastre-se e crie um código Authy. Este código é uma parte fundamental da sua configuração de segurança, portanto, mantenha-o seguro.
Próximo, você precisará definir sua senha de backup. Esta é uma medida à prova de falhas que pode ser útil se você perder o acesso aos seus métodos de autenticação primários. Escolha uma senha forte e exclusiva e, assim como acontece com seu código Authy, certifique-se de que ela seja armazenada com segurança.
Com essas etapas concluídas, você está fazendo grandes avanços no aprimoramento da segurança do seu site WordPress.
À medida que você continua sua jornada para melhorar a segurança do seu site WordPress, é crucial garantir que você esteja usando a versão mais recente do WordPress. As atualizações geralmente incluem patches e melhorias de segurança essenciais.
Se precisar de ajuda para verificar sua versão do WordPress, não se preocupe. Estamos protegendo você! Visite nosso guia completo sobre as 10 maneiras mais fáceis de verificar sua versão do WordPress e fique por dentro da segurança do seu site.
Vamos prosseguir para a próxima etapa. Você encontrará um código que precisa inserir na autenticação em duas etapas. Deve ser algo assim:
Desativar indexação e navegação de diretório
Desabilitar a indexação e navegação de diretório é crucial para a segurança. Sem ele, os hackers podem acessar facilmente arquivos, scripts ou diretórios confidenciais em seu site. A indexação de diretório permite que eles vejam a estrutura do seu site, revelando potencialmente vulnerabilidades.
Ao desativar esse recurso, você evita o acesso não autorizado e reduz o risco de exploração. É uma medida proativa que melhora a postura geral de segurança do seu site, protegendo seus dados e protegendo contra possíveis tentativas de hacking.
Para desabilitar a indexação de diretório no WordPress, você precisará modificar o arquivo .htaccess. Após conectar-se ao seu site, navegue até a pasta ‘pública’ e localize o arquivo .htaccess. Basta abri-lo e adicionar o código fornecido na parte inferior.
Este ajuste garante que os diretórios do seu site não sejam acessíveis ou indexados, aumentando a segurança e a privacidade do seu site WordPress.
Desative XML-RPC no WordPress
XML-RPC é um protocolo que permite ao software executar ações em uma rede. Ele usa XML para codificar chamadas e HTTP como mecanismo de transporte. Pense nisso como uma forma de os aplicativos “conversarem” entre si.
Ele pode ajudar involuntariamente em ataques de força bruta, permitindo várias tentativas de login por solicitação. Isso torna os sites WordPress vulneráveis, pois os invasores podem tentar muitas senhas de forma rápida e silenciosa, sem serem facilmente detectados.
Os ataques de força bruta envolvem adivinhar as credenciais de login até que a combinação correta seja encontrada. Com o XML-RPC, os hackers podem agrupar várias tentativas de login em uma única solicitação, tornando sua atividade menos perceptível.
Isto é especialmente problemático porque permite que os hackers tentem essas invasões mais rapidamente e com menos rastros, tornando mais difícil para os sistemas de segurança detectar e bloquear essas atividades ilícitas.
O sistema. multi-call é um método em XML-RPC que permite ao cliente agrupar várias chamadas de método em uma solicitação. Isso significa que uma única solicitação pode executar diversas ações, aumentando a eficiência.
No entanto, é esse recurso que pode ser explorado por hackers para realizar múltiplas tentativas de login em uma única solicitação durante um ataque de força bruta, tornando assim sua atividade maliciosa menos perceptível.
Existem várias maneiras de desabilitar XML-RPC no WordPress, mas a que focaremos aqui envolve o uso do plugin ‘Disable XML-RPC-API’. Este é um método simples e confiável para proteger seu site.
Vamos prosseguir para o “Segurança XML-RPC“seção e vá em frente e selecione”Configurações XML-RPC“no pop-up. A partir daqui, você pode conceder acesso ao XML-RPC a usuários específicos adicionando seus endereços IP à lista de permissões. Dessa forma, apenas usuários autorizados podem interagir com o XML-RPC.
Adicione perguntas de segurança ao login do WordPress
Se você está pensando em estender o uso do plugin para mais indivíduos ou aqueles que não são necessariamente administradores, você precisará comprar uma licença.
O que você precisa fazer a seguir é instalar e ativar o plug-in de autenticação multifator miniOrange. Depois de fazer isso, basta clicar no botão “MiniLaranja 2 Fatores“.
Aqui está o que você vai querer fazer. Primeiro, encontre e clique na opção ‘Configuração de dois fatores.’ Depois de fazer isso, você poderá ver o plano atual. Em seguida, você vai querer escolher o ‘Plano de Perguntas de Segurança.’ Percebido? Ótimo. A etapa final é clicar em ‘Configurar.’
Agora, se você clicar no botão ‘Configurar’, uma nova página aparecerá com algumas perguntas de segurança. É uma etapa essencial para sua segurança; você precisará preenchê-los. Clique no botão “Salvar” botão.
Depois de acertar o “Salvar“, uma mensagem aparecerá em sua tela. Isso é apenas para confirmar que suas configurações foram definidas com sucesso.
Primeiro, por favor sair. Depois disso, você precisará fazer login novamente em sua conta do WordPress. Basta usar seu nome de usuário e senha para isso. No meu caso, como o nome da agência é meu nome de usuário, eu escreveria “uma ovelha inteligente”. Em seguida, prossiga digitando sua senha habitual.
Depois de acertar o “Conecte-se“, serão apresentadas algumas perguntas de segurança de autenticação de dois fatores. Depois de fornecer as respostas corretas a elas, você precisará clicar no botão “Validar“. Depois disso, você terá acesso ao painel de administração do WordPress.
O papel da hospedagem WordPress
A escolha do serviço de hospedagem WordPress pode impactar significativamente a segurança do seu site WordPress. Um bom serviço de hospedagem oferecerá vários recursos de segurança que podem ajudar a proteger seu site contra ameaças.
As empresas de hospedagem WordPress geralmente implementam uma série de estratégias e práticas para garantir a segurança dos sites WordPress hospedados em seus servidores. Aqui estão algumas medidas importantes que eles podem tomar:
- Atualizações e patches regulares: As empresas de hospedagem normalmente garantem que o software do servidor e o próprio WordPress estejam sempre atualizados para as versões mais recentes. Isto ajuda a prevenir vulnerabilidades que poderiam ser exploradas em versões mais antigas.
- Firewalls e reforço de segurança: Freqüentemente, eles implementam firewalls fortes e medidas de segurança reforçadas para proteção contra ataques comuns, como DDoS, força bruta e injeção de SQL. Eles também podem fornecer regras de firewall em nível de aplicativo especificamente adaptadas para WordPress.
- Verificação e remoção de malware: Muitos hosts verificam rotineiramente em busca de malware e alguns até o removem para você, se encontrarem algum. Eles geralmente fornecem monitoramento em tempo real de problemas de segurança e alertam você se houver algum problema.
- Backups e restauração: Os serviços confiáveis de hospedagem WordPress geralmente oferecem backups automáticos regulares do seu site, permitindo restaurá-lo para um estado anterior, se necessário. Isso pode salvar sua vida se seu site for hackeado ou enfrentar outros problemas significativos.
- Camada de soquetes seguros (SSL): Eles geralmente fornecem certificados SSL gratuitos para seus sites. O SSL garante que os dados transferidos entre seus usuários e seu site sejam criptografados, o que é particularmente importante se você estiver coletando informações confidenciais, como detalhes de cartão de crédito.
- Autenticação de dois fatores (2FA): Algumas empresas de hospedagem oferecem 2FA para suas contas de hospedagem, fornecendo uma camada adicional de segurança.
- Acesso de usuário com menor privilégio: As empresas de hospedagem normalmente impõem o acesso de usuário menos privilegiado, o que significa que cada usuário recebe os níveis mínimos de acesso necessários para executar suas tarefas. Isso reduz o potencial de acesso não autorizado.
Empacotando
Proteger o seu site WordPress requer uma abordagem abrangente e multifacetada. Em primeiro lugar, fazer backup de seus dados com a ajuda de plugins como UpdraftPlus, VaultPress e BackupBuddy protege contra perdas imprevistas de dados, reduzindo o tempo de recuperação e mitigando impactos.
A incorporação de medidas de segurança adicionais, como logouts automáticos, alteração de nomes de usuário padrão e limitação de tentativas de login, reforça ainda mais suas defesas, mantendo ameaças potenciais sob controle.
Para proteção adicional, a implementação da autenticação de dois fatores (2FA) fornece uma camada extra robusta de segurança. Ao exigir um código de verificação exclusivo enviado a um dispositivo confiável, esta medida garante que apenas usuários autenticados tenham acesso.
A indexação e a navegação de diretórios podem ser desativadas para impedir o acesso não autorizado a arquivos ou diretórios confidenciais, enquanto a desativação do XML-RPC impede ataques silenciosos de força bruta.
Adicionar perguntas de segurança ao seu login do WordPress, de preferência usando o plug-in de autenticação multifator miniOrange, cria outra barreira ao acesso não autorizado.
Além disso, a escolha de um serviço de hospedagem seguro contribui significativamente para a segurança geral do seu site WordPress. Esses serviços fornecem atualizações regulares, firewalls, verificação de malware, backups, criptografia SSL e impõem acesso de usuário com privilégios mínimos.
A educação também é parte integrante da estratégia de segurança do seu site. Manter os usuários do seu site informados sobre possíveis riscos de segurança e promover práticas online seguras pode contribuir muito para a segurança geral.
Um site WordPress seguro resulta de camadas estratégicas de salvaguardas técnicas, práticas diligentes e educação contínua. Através destas etapas, você pode alcançar uma presença online resiliente e segura.