Segurança do WordPress: Como proteger e deixar o WordPress seguro?

Embora o WordPress seja geralmente um software muito seguro e seja regularmente auditado por centenas de desenvolvedores, sendo uma plataforma de código aberto, vulnerabilidades de segurança podem surgir ocasionalmente, muitas vezes devido aos plugins e temas utilizados. Embora não seja possível eliminar completamente os riscos, é possível minimizá-los com medidas de segurança do WordPress.

De acordo com estatísticas ao vivo da Internet, mais de 100 mil sites são atacados todos os dias. Para evitar estar entre esses sites (ou para reduzir o risco), tomar medidas de segurança no WordPress é de fundamental importância.

Aqui está a lista mais atualizada de medidas de segurança do WordPress para 2024:

Escolha empresas de hospedagem confiáveis e qualificadas

Não seria exagero dizer que a escolha da hospedagem para o seu site ou empresa é a força vital da segurança do site. É por isso que o WordPress ocupa o primeiro lugar entre as medidas de segurança.

A primeira coisa a fazer para abrir um site ou blog é escolher a hospedagem. Neste ponto, logo no início da jornada, seria vantajoso você investir em uma boa hospedagem. A empresa que você escolher deve incluir a versão mais recente de PHP e MySQL, bem como serviços importantes como firewall, backups de log, verificações de malware, medidas de prevenção de DDOS e monitoramento de segurança 24 horas por dia, 7 dias por semana.

O custo de um alojamento que cumpra estas condições pode ser superior aos demais, mas ainda assim vale a pena pela segurança e bom funcionamento do seu site.

Use SSL para segurança do WordPress

SSL (Secure Socket Layer) é um protocolo que criptografa a transferência de dados. Quando você habilita o SSL, seu site abre como HTTPS em vez de HTTP e tem um símbolo de cadeado na frente do URL, indicando que o site é seguro.

Com o SSL, você não apenas toma medidas de segurança do WordPress, mas as classificações do seu mecanismo de pesquisa também são afetadas positivamente. (O Google declarou oficialmente que https é um fator de classificação!)

Os certificados SSL são geralmente emitidos por autoridades certificadoras e costumam ter preços elevados. No entanto, também é possível usar SSL grátis com a Let's Encrypt, uma organização sem fins lucrativos. Na verdade, muitas empresas de hospedagem agora oferecem certificados SSL gratuitos para seus clientes.

Faça backup do seu site regularmente

Não importa quantas precauções você tome para garantir que seu site permaneça seguro, a coisa mais importante que você deve fazer é fazer backups regulares. Se você perder seu site para invasores, poderá superar a situação com danos mínimos graças aos backups recebidos. Então a sua primeira defesa serão esses backups.

Mantenha sua versão, plug-ins e temas do WordPress atualizados

Versão Wp não atualizada, plug-ins e temas podem criar grandes vulnerabilidades de segurança. WordPress é um software de código aberto que é mantido e atualizado regularmente. Muitos bugs e vulnerabilidades são corrigidos sempre que uma nova versão é lançada. Da mesma forma, certifique-se de sempre usar a versão atualizada de seus temas e plugins. Se você não atualizar, seu site correrá sério risco.

Então, como atualizar?

Se você tiver uma nova atualização para WordPress, temas e plugins, poderá vê-los na seção “Atualizações” do painel de administração e atualizá-los com um único clique.

Certifique-se de remover todos os temas e plug-ins que você não usa.

Use senhas fortes

Senhas fracas são fáceis de adivinhar. Os hackers usam software especial para forçar logins, também conhecidos como ataques de força bruta. Portanto, é importante criar senhas fortes e exclusivas para segurança do WordPress.

Use uma combinação de letras maiúsculas e minúsculas, números aleatórios e símbolos para criar uma senha forte. Lembre-se também de alterar sua senha a cada poucos meses. Certifique-se de ter senhas fortes não apenas para fazer login em sua conta WordPress, mas também para sua conta de hospedagem, contas FTP, banco de dados e contas de e-mail privadas.

Use autenticação de dois fatores

Não importa o quão segura seja sua senha, ainda há risco. A autenticação de dois fatores envolve um processo de duas etapas em que você precisa não apenas de sua senha, mas também de um segundo método para fazer login.

A verificação de login com SMS, chamada telefônica ou senha única baseada em tempo geralmente está entre as melhores medidas de segurança do WordPress. Na verdade, é 100% eficaz na maioria das vezes.

Você pode usar um dos seguintes plug-ins para isso:

Autenticação de dois fatores Duo
Autenticador Google

Segurança de login do WordPress com CAPTCHA

Usar CAPTCHA é uma maneira simples, mas eficaz de prevenir ataques de força bruta em seu site.

Após um certo número de tentativas de login malsucedidas, um CAPTCHA é gerado para determinar se o usuário é humano ou bot. CAPTCHAs são projetados para serem ilegíveis por bots. Os bots não podem fazer login até resolverem o CAPTCHA.

Altere seu URL de login do WordPress

Outro passo importante na tomada de medidas de segurança do WordPress é alterar o URL de login do WordPress.

Por padrão, qualquer pessoa que adicionar /wp-login.php ou /wp-admin/ ao final do seu nome de domínio pode acessar a página de login do WordPress. Ao alterar o URL, você pode se tornar menos alvo e estar mais protegido contra ataques de força bruta. Embora esta não seja uma solução importante para a segurança do WordPress, é uma medida que você pode usar em conjunto com outras medidas de segurança do WordPress para proteger o seu site.

A maneira mais fácil de alterar o URL de login do WordPress é usar um plugin (especialmente se você for novo nisso). Um dos melhores plug-ins que você pode usar é o WP Safe Zone plug-in de segurança.

Desativar edição de arquivo

Você pode editar seus arquivos de tema e plug-in diretamente no painel de administração do WordPress. No entanto, esta funcionalidade pode representar sérios riscos de segurança. Portanto, recomendamos que você evite editar seus arquivos diretamente do painel Wp.

Para fazer isso, basta adicionar o seguinte código ao seu arquivo wp-config.php.

// Não permitir edição de arquivo define( 'DISALLOW_FILE_EDIT', true );

Faça login no cPanel e vá em “Gerenciador de Arquivos”. Encontre “wp-config.php” na pasta “public.html” e clique com o botão direito sobre ele e clique em “Editar”. Adicione o código acima ao final do arquivo e salve a página.

Alterar o prefixo do banco de dados WordPress

Outra medida de segurança do WordPress é alterar o prefixo do banco de dados.

Por padrão, ele usa o prefixo wp_ para todas as tabelas do seu banco de dados. Usar o prefixo padrão deixa o banco de dados do seu site vulnerável a ataques de injeção de SQL. Mudar isso aumentará ainda mais sua segurança. Por exemplo, em vez de wp_, você pode especificar um prefixo aleatório como shfwp_, mywp_, wpdlt_, etc.

Ao instalar o WordPress pela primeira vez, você pode especificar o prefixo do banco de dados. No entanto, se você não tiver feito isso, ainda poderá alterar o prefixo do banco de dados, que atualmente é wp_.

***Este processo é arriscado e pode danificar completamente o seu site se não for feito corretamente.

Desative XML-RPC no WordPress

Embora o XML-RPC ajude a conectar seu site WordPress a aplicativos da web e móveis, ele pode aumentar significativamente os ataques de força bruta. Portanto, se você não estiver utilizando XML-RPC, recomendamos desativá-lo. Basta adicionar o seguinte código ao seu arquivo .htaccess:

Bloquear XML-RPC no Apache:

ordem negar, permitir negar de todos permitir de 123.123.123.123

Bloquear XML-RPC no Nginx

localização = /xmlrpc.php { negar tudo; }

Oculte o nome de usuário que você usa para login no WordPress

Qualquer pessoa que queira saber seu nome de usuário simplesmente insere este URL simples no navegador: siteadi.com/wp-json/wp/v2/users

Para evitar isso, insira o seguinte trecho de código em seu arquivo functions.php. Com este código, a lista de usuários fica oculta e uma mensagem de erro aparece para quem digita a url.

add_filter( 'rest_endpoints', função( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } if ( isset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\\d]+)'] ); } retornar $endpoints; });

Use a versão mais recente do PHP

Manter a versão do PHP atualizada também é muito importante para a segurança do site WordPress. Cada versão do PHP tem suporte para corrigir diversas vulnerabilidades de segurança. Para garantir segurança máxima, certifique-se de que seu site seja compatível com a versão mais recente do PHP.

Desativar relatório de erros de PHP

Os hackers podem usar mensagens de erro de forma maliciosa. Por exemplo, um erro de um tema ou plugin pode exibir o caminho do seu servidor.

Para desativar o relatório de erros, adicione o seguinte código ao seu wp-config.php file:

relatório_erro (0); @ini_set('display_errors', 0);

Proteja seu arquivo wp-config.php

O arquivo wp-config.php é um dos arquivos mais importantes, mas também mais vulneráveis do seu site. Ele contém dados altamente confidenciais. Este arquivo deve ser protegido.

A maneira mais simples de fazer isso é mover o arquivo wp-config.php uma etapa acima do diretório raiz do WordPress.

Você também pode impedir o acesso ao arquivo adicionando o seguinte código ao arquivo .htaccess:

ordenar permitir, negar negar de todos

Bloquear o acesso a outros arquivos confidenciais

A instalação do WordPress inclui não apenas o arquivo wp-config.php, mas também alguns arquivos mais confidenciais, como install.php, readme.html. Esses arquivos não devem estar acessíveis a outras pessoas.

Novamente, é aqui que nosso melhor amigo, o arquivo .htaccess, entra em ação. Você pode ocultar seus arquivos confidenciais do acesso não autorizado adicionando os seguintes códigos a este arquivo:

Ordem permitir, negar Negar de todos Ordem permitir, negar Negar de todos Ordem permitir, negar Negar de todos Ordem permitir, negar Negar de todos

Use permissões de arquivo corretas

Permissões de arquivo incorretas, como 777, podem permitir que um hacker carregue um arquivo ou modifique um arquivo existente. Para alterar as permissões dos arquivos, você precisa fazer login no seu cPanel, ir em “Gerenciador de Arquivos” e fazer as alterações necessárias.

De acordo com o WordPress, as seguintes permissões são as permissões corretas:

• Todas as pastas devem ser 755 ou 750
• Todos os arquivos devem ser 644 ou 640
• wp-config.php deve ser 440 ou 400

Adicione seu site ao Google Search Console

Há muitas vantagens em adicionar seu site WordPress ao Google Search Console. Além de ver dados sobre o seu site, você também pode ver problemas de segurança aqui. Se o Google detectar problemas em seu site, você será notificado por e-mail.

Obtenha um plugin de segurança para WordPress

A maneira mais simples, rápida e segura de tomar medidas de segurança do WordPress é usar um plugin de segurança WordPress completo que inclui as etapas acima e muito mais.

No domínio da segurança do WordPress, a vigilância é fundamental. Uma das medidas mais críticas que você pode tomar é integrar um Web Application Firewall (WAF) robusto. Seu WAF serve como barreira primária, interceptando e impedindo ataques maliciosos antes mesmo que eles tenham a chance de invadir seu site.

Por que escolher a zona segura WP?

1. Proteção avançada de firewall: WP Safe Zone possui um firewall de aplicativo da Web avançado que atua como uma sentinela vigilante para o seu site. Ao examinar minuciosamente o tráfego de entrada em tempo real, ele bloqueia com eficácia tentativas maliciosas, fortalecendo seu site contra uma infinidade de ameaças cibernéticas.

2. Detecção proativa de ameaças: Com WP Safe Zone, você estará equipado com recursos proativos de detecção de ameaças. O plugin monitora continuamente o seu ambiente WordPress, identificando e neutralizando prontamente qualquer atividade suspeita antes que ela possa comprometer a integridade do seu site.

3. Políticas de segurança personalizáveis: Personalize seus protocolos de segurança para atender às suas necessidades específicas com WP Safe Zone. Quer você prefira uma proteção rigorosa ou uma abordagem mais equilibrada, o plug-in oferece configurações personalizáveis para se alinhar aos seus requisitos de segurança exclusivos.

4. Interface amigável: WP Safe Zone prioriza a facilidade de uso com sua interface intuitiva. Você não precisa ser um especialista em segurança cibernética para aumentar a segurança do WordPress – o plugin simplifica o processo, tornando-o acessível a usuários de todos os níveis de proficiência.

Não deixe seu site WordPress vulnerável a ameaças potenciais. Invista hoje no WP Safe Zone e fortaleça sua fortaleza digital com a máxima confiança.