Guia de Segurança do WordPress: 25 Dicas Para Proteger Seu Blog

O seu blog é seguro? Bem, as respostas dependem de suas medidas de segurança. A segurança do seu blog é essencial não apenas para proteger informações comerciais confidenciais, mas também para salvaguardar os dados dos seus clientes.

Não se assuste. Existem muitas maneiras de proteger seu blog. Você só precisa conhecer as ameaças e as maneiras de se proteger delas.

Se o seu blog de negócios for desenvolvido em WordPress, existem algumas dicas essenciais de segurança desse sistema que você deve seguir.

Neste post trago para você o Guia de Segurança do WordPress Definitivo, com os principais pontos que você precisa saber.

Por que a segurança do WordPress é importante

Seu site e/ou blog é sua marca e muitas vezes seu primeiro contato com os clientes, ele ser seguro é fundamental.

As ameaças podem vir de várias formas:

  • Infectando seu site com malware e espalhando esse malware para os visitantes do site;
  • Roubando dados de clientes como nomes, endereços de e-mail, cartão de crédito e outras informações de transação;

O WordPress geralmente fica malvisto por ser propenso a vulnerabilidades de segurança e por inerência, não ser uma plataforma segura para usar em uma empresa. Mais frequentemente, isso se deve ao fato de os usuários continuarem seguindo as piores práticas de segurança comprovadas pelo setor.

De acordo com um estudo realizado em 2018 pela Sucuri, uma empresa de segurança multiplataforma, o WordPress continua a liderar os sites infectados em 90% comparado a outros CMS.

Segurança do WordPress

A telemetria de 2019 indica uma mudança nas infecções de CMS:

  • As infecções do WordPress aumentaram de 90% em 2018 para 94% em 2019;
  • As taxas de infecções do Magento caíram de 4,6% em 2018 para 0,90% em 2019;
  • Joomla! As taxas de infecções caíram de 4,3% em 2018 para 2,5% em 2019;
  • As infecções por Drupal aumentaram de 3,7% em 2018 para 1,28% em 2019.
Comparação das infecções de CMS

As ameaças mais conhecidas ao CMS resultam de vulnerabilidades introduzidas por módulos complementares, plug-ins, temas e extensões.

Problemas e temas comuns nas vulnerabilidades do CMS:

  • Implantação imprópria;
  • Problemas de configuração de segurança;
  • Falta de conhecimento ou recursos de segurança;
  • Manutenção geral do site por webmasters;
  • Autenticação quebrada e gerenciamento de sessão.

É por isso que a segurança do WordPress é importante.

Se você pode proteger seu site de hackers e códigos maliciosos, pode proteger sua empresa de perder dinheiro e nossas dicas de segurança do WordPress o ajudarão a proteger seu site de ameaças potenciais.

O Que São Ameaças Comuns à Segurança de Sites?

Ameaças à segurança do site (não apenas ameaças à segurança do site WordPress) podem vir de várias formas.

Você está condenado se não souber como seu site pode ser atacado e protegê-lo. Tome as medidas necessárias e mantenha os dados e o conteúdo do seu site protegidos.

As formas comuns pelas quais seu site pode ser atacado são:

  • Ataques de força bruta: é a forma como os hackers usam ferramentas de software automatizadas para adivinhar seu nome de usuário e senha do WordPress repetidamente até invadirem seu site com sucesso.
  • Servidor de hospedagem inseguro: não importa o que você faça para proteger seu site se o servidor não for seguro, seu site corre um risco maior de ser hackeado.
  • Plug-in WordPress vulnerável: os hackers podem obter acesso ao seu site por meio de uma vulnerabilidade em um plug-in instalado no seu site WordPress.

Além disso, há muitas maneiras diferentes de hackear seu site. Conhecer as ameaças não é suficiente, você deve garantir uma forte segurança contra elas.

Guia Definitivo de Segurança do WordPress 2021

Fortalecer a segurança do site é um desafio. Mas com essas diretrizes detalhadas de segurança do WordPress, pode ser mais fácil.

Depois de conduzir pesquisas, analisar vários sites infectados e examinar todas as dicas de segurança disponíveis do WordPress, selecionei as melhores práticas de segurança do WordPress para você.

Não apenas leia os títulos, mas leia cada uma das dicas de segurança do WordPress com atenção e implemente-as em seu site WordPress. Porque já é hora de você saber realmente como melhorar a segurança do WordPress.

1. Obtenha hospedagem de qualidade

Hospedagem de sites recomendada - Hostoo


Se você deseja ter um site de uma página para um produto específico ou está planejando criar um site de negócios com várias páginas, a hospedagem de alta qualidade deve ser uma de suas primeiras prioridades.

Hospedagem de qualidade funciona como uma camada extra de segurança para seus ativos digitais. Conseguir uma hospedagem de qualidade é um dos primeiros passos para proteger o site WordPress.

A maioria das pessoas evita essa parte importante.

Hospedagem barata e um domínio barato podem economizar algum dinheiro por enquanto, mas também podem representar uma grande ameaça ao seu site ao mesmo tempo.

Se você optar por um serviço de hospedagem confiável, isso economizará sua produtividade e tornará seu site ainda mais rápido. Algumas empresas de hospedagem têm muitos recursos que aumentam a segurança do site e oferecem outros benefícios.

Certifique-se de que sua hospedagem oferece suporte 24 horas por dia, ofereça backup, cuide da segurança do site e de outras questões.

2. Use HTTPS – Certificado SSL

O certificado SSL/TLS é importante porque garante a segurança do seu site, e de quebra, o Google prefere classificar sites com Certificado SSL do que os sem.

O que é HTTPS?

HTTPS (HyperText Transfer Protocol Secure) é a versão segura do HTTP. Este é um protocolo por meio do qual os dados são enviados entre o navegador da web e o site ao qual você está conectado.

O “S” após HTTP refere-se a “Seguro”, significando que a comunicação entre um navegador da web e o site que você está navegando é criptografada.

Os sites sem certificados SSL tornam-se um alvo fácil para hackers. HTTPS é a versão mais segura do HTTP, portanto, certifique-se de usar HTTPS.

A maioria dos serviços de hospedagem de qualidade oferece certificados SSL gratuitamente.

Se quiser saber mais sobre HTTPS e Certificado SSL, confira nosso post: Certificado SSL: O Que é e Por Que Você Precisa Ter?

3. Altere o nome de usuário “admin” padrão

Não deixe nenhuma opção para os hackers adivinharem seu nome de usuário. Altere seu nome de usuário padrão e torne-o qualquer coisa menos (admin) ou qualquer coisa que seja fácil de adivinhar.

Você pode fazer isso adicionando um novo usuário em “Usuários” no painel e atribuindo-lhe o perfil “Administrador”.

Função de administrador do WordPress

Depois de atribuir a nova conta à função de administrador, você pode voltar e excluir o usuário (admin) original.

Certifique-se de que, ao clicar em excluir, escolha a opção “Atribuir todo o conteúdo a” e selecione seu novo perfil de administrador. Isso atribuirá a pessoa como o autor dessas postagens.

Atribuir todo o conteúdo ao administrador

Você também pode renomear manualmente o seu nome de usuário atual no phpMyAdmin com o seguinte comando:

UPDATE wp_users SET user_login = 'novonomedeusuarioadmin' WHERE user_login = 'admin';

Atenção: certifique-se de fazer backup de seu banco de dados antes de editar tabelas.

4. Crie senhas fortes e altere com frequência

Altere a senha do site WordPress regularmente. É uma das melhores práticas de segurança do WordPress.

Certifique-se de nunca definir uma senha fraca para o seu site.

Confira a lista das 50 senhas mais comuns em vazamentos no Brasil, divulgado pelo G1, segundo a pesquisa da NordPass (classificadas por ordem de casos registrados):

  • admin (204.846 casos)
  • 123456 (137.551 casos)
  • 12345678 (46.666 casos)
  • 102030 (28.034 casos)
  • 123456789 (24.834 casos)
  • 12345 (22.426 casos)
  • gvt12345 (10.684 casos)
  • 12345678910 (9.710 casos)
  • password (8.687 casos)
  • 111111 (8.432 casos)
  • 123mudar (8.202 casos)
  • 10203040 (7.332 casos)
  • UNKNOWN (6.775 casos)
  • mudar123 (6.584 casos)
  • senha123 (6.502 casos)
  • fera@123 (6.364 casos)
  • 1234567 (5.993 casos)
  • 142536 (5.834 casos)
  • (5.360 casos)
  • 1234567890 (5.142 casos)
  • 111111 (4.988 casos)
  • Senha (4.762 casos)
  • 1q2w3e4r (4.529 casos)
  • 123123 (4.510 casos)
  • 10203 (4.180 casos)
  • Brasil (4.154 casos)
  • lucas123 (3.993 casos)
  • BRASIL (3.598 casos)
  • Password (3.542 casos)
  • t3l3f0n3 (3.532 casos)
  • admin123 (3.368 casos)
  • 101010 (3.320 casos)
  • q1w2e3r4 (3.294 casos)
  • a1b2c3d4 (3.177 casos)
  • 654321 (3.099 casos)
  • 123321 (3.084 casos)
  • abc123 (3.080 casos)
  • 124578 (3.065 casos)
  • d@rKn3$$ (2.990 casos)
  • 112233 (2.880 casos)
  • 87654321 (2.857 casos)
  • pedro123 (2.716 casos)
  • gabriel123 (2.480 casos)
  • 131313 (2.462 casos)
  • felipe123 (2.422 casos)
  • senha (2.420 casos)
  • 1q2w3e4r5t (2.394 casos)
  • matheus123 (2.327 casos)
  • deusefiel (2.266 casos)
  • flamengo (2.257 casos)

É… Parece brincadeira, mas a senha mais popular é “admin”, seguida por “123456”, surpreendente!

Segundo a NordPass, o estudo envolveu a análise de uma base de dados de mais de 4 terabytes criado a partir de vazamentos encontrados na internet.

Algumas das melhores seguranças começam do básico. O Google tem ótimas recomendações sobre como escolher uma senha forte. Ou você pode usar uma ferramenta online como o Strong Password Generator.

Se você achar difícil lembrar de suas senhas tão minuciosamente criadas para serem complexas, a melhor maneira é armazená-las localmente em um banco de dados criptografado em seu computador. Uma boa ferramenta gratuita para isso é KeePass.

Se você não quiser seguir esse caminho, também há gerenciadores de senhas online, como LastPass ou TeamPassword

5. Alterar URL de login

Como todos os sites do WordPress têm a mesma página de login por padrão (http://www.example.com/wp-admin), é fácil para os hackers adivinhar e executar um ataque de força bruta.

Alterar o URL da página de login do site do WordPress é uma maneira inteligente de proteger seu site de tentativas de hackers. Esta não é uma solução para todos os problemas, é simplesmente um pequeno truque que pode definitivamente ajudar a protegê-lo.

Para alterar o URL de login do WordPress, recomendo o uso do plugin WPS Hide login gratuito ou do plugin Perfmatters premium. Ambos os plugins possuem um campo de entrada simples.

WPS Hide Login Exemplo

Lembre-se de escolher algo exclusivo que não esteja em uma lista que um bot ou script possa tentar verificar.

6. Limite de tentativa de login

O WordPress permite que os usuários tentem fazer o login quantas vezes quiserem. Isso torna seu site WordPress vulnerável a ataques de força bruta.

Os hackers tentam quebrar as senhas tentando diferentes combinações. Nesse caso, você deve limitar a tentativa de login e proteger o site WordPress.

Uma ótima alternativa é o plugin gratuito Login Lockdown.

Login LockDown Exemplo

O bloqueio de login registra o endereço IP e o registro de data e hora de cada tentativa de login com falha. Se mais de um determinado número de tentativas for detectado em um curto período de tempo a partir do mesmo intervalo de IP, a função de login será desativada para todas as solicitações desse intervalo.

E é completamente compatível com o plugin WPS Hide login que mencionamos acima.

7. Adicione uma autenticação HTTP básica (proteção htpasswd)

Outra maneira de bloquear seu administrador é adicionar a autenticação HTTP. Isso requer um nome de usuário e senha antes de poder acessar a página de login do WordPress.

Observação: geralmente, isso não deve ser usado em sites de comércio eletrônico ou sites de associação. Mas pode ser uma maneira muito eficaz de impedir que bots atinjam seu site.

Autenticação HTTP

Em um servidor Apache, se você estiver usando cPanel, poderá ativar diretórios protegidos por senha em seu painel de controle.

Para configurá-lo manualmente, primeiro você precisa criar um arquivo .htpasswd. Você pode usar esta ferramenta geradora.

Você precisará inserir o nome de usuário que você gostaria de usar junto com uma senha, selecionar um método de criptografia na caixa suspensa e clicar em ‘Gerar Senha’.

Uma cadeia de texto longa é gerada. Copie e cole isso em um novo arquivo de texto. Salve este arquivo simplesmente como ‘.htpasswd’.

A seguir, inicie a sessão no seu servidor e vá para a sua pasta wp-admin do WordPress. Abra isto e em wp-admin crie uma nova pasta chamada ‘htpasswd’. Em seguida, faça o upload do seu arquivo .htpasswd que nós criamos anteriormente para esta pasta.

Você deve transferir seus arquivos usando apenas o modo ‘ASCII’ e não o modo ‘BINÁRIO’.

A etapa final é criar um novo arquivo .htaccess com o seguinte código e faça o upload para o diretório /wp-admin/. Certifique-se de atualizar o caminho do diretório e o nome de usuário.

AuthName "Admins Only"
AuthUserFile /home/public_html/wp-admin/htpasswd/.htpasswd
AuthType basic
Require user seunomedeusuario

A única ressalva para fazer isso é que ele irá quebrar o AJAX (admin-ajax) no front-end do seu site. Isso é exigido por alguns plug-ins de terceiros. Portanto, você também precisará adicionar o seguinte código para o arquivo .htaccess acima.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Depois de ativado, seu site do WordPress precisará de autenticação para acessá-lo. Você pode alterar as credenciais a qualquer momento ou desativá-las quando não precisar mais delas.

8. Autenticação de dois fatores

A autenticação de dois fatores refere-se a um processo bidirecional por meio do qual um administrador precisa fazer o login. Esse processo leva um pouco mais de tempo, mas torna seu site WordPress mais seguro.

Primeiro, você insere seu nome de usuário e senha. Em seguida, um código exclusivo será enviado para o seu dispositivo ou e-mail que você precisa fornecer ao sistema, e só depois disso, você pode entrar no painel de administração do site.

Você pode adicionar este sistema usando plug-in WordPress de autenticação de dois fatores como:

A autenticação de dois fatores é uma das etapas principais para proteger o site WordPress. Certifique-se de tê-lo em sua lista de verificação de segurança do WordPress.

9. Acompanhe as atividades dos usuários em seu site

Manter o controle de todas as atividades dos usuários em seu site é outra maneira de fortalecer a segurança do site. Ajuda a detectar comportamentos suspeitos e impedir ataques maliciosos.

Esteja sempre alerta e aja antes que algo terrível aconteça ao seu site.

Se você puder registrar todas as atividades do usuário necessárias, como login, publicação de conteúdo e alterações, plug-ins, temas e alterações de configurações do WordPress, tentativas de login malsucedidas com endereços IP de origem, poderá detectar a ameaça e agir rapidamente.

Você pode instalar o WP Activity Log (anteriormente WP Security Audit Log) para registrar todos esses comportamentos do usuário.

Plug-in WP Activity Log acompanhando atividade do usuário por segurança do WordPress

Ele também facilita a solução de problemas e detecta qualquer comportamento suspeito antes que ele represente qualquer ameaça à segurança do seu site.

10. Selecione cuidadosamente os plug-ins e temas

Temas e plug-ins são os melhores que o WordPress oferece, mas certifique-se de adicionar produtos de software comprovados de alta qualidade.

Cuidado com sites que oferecem gratuitamente para download temas ou plugins nulled ou com preços menores que o original. A maioria dos hackers utilizam estratégias semelhantes a essa e, por meio de códigos maliciosos em meio ao código do próprio tema ou plug-in que você mesmo baixou, invadem seus sites.

Baixe temas e plug-ins de fontes confiáveis, como WordPress, Themeforest e outros sites conhecidos, verifique as avaliações e comentários dos usuários antes de baixar, se não foram atualizados por 6 meses ou um ano, não o use.

Selecionar plug-ins e temas com cuidado é uma das melhores práticas de segurança do WordPress.

11. Use plug-ins de segurança do WordPress

Existem muitos plug-ins de segurança do WordPress que podem proteger seu site WordPress de hackers.

Esses plug-ins de segurança do WordPress são poderosos. Eles têm muitos recursos de segurança e desempenho, como verificação de malware, logs de auditoria, rastreamento de tentativa de login com falha, reCAPTCHAs, lista de permissões de IP, bloqueio de redes maliciosas, lista de proibições de IP e muito mais.

Você pode escolher qualquer um dos plug-ins de segurança do WordPress na lista abaixo:

Alguns recursos e usos típicos dos plugins acima:

  • Gerar e forçar senhas fortes, ao criar perfis de usuário;
  • Forçar que as senhas expirem e sejam redefinidas regularmente;
  • Registro de ações do usuário;
  • Atualizações fáceis de chaves de segurança do WordPress;
  • Análise de Malware;
  • Autenticação de dois fatores;
  • reCAPTCHAs;
  • Firewalls de segurança do WordPress;
  • Lista de permissões de IP;
  • Lista negra de IP;
  • Logs de alteração de arquivo;
  • Monitorar alterações de DNS;
  • Bloquear redes maliciosas;
  • Ver informações WHOIS sobre visitantes;

Qualquer um dos plug-ins de segurança do WordPress mencionados acima fará um bom trabalho para você.

12. Use a versão mais recente do PHP para fortalecer a segurança do WordPress

Para tornar seu site WordPress mais rápido e seguro, é melhor usar a versão mais recente do PHP.

Os temas e plug-ins do WordPress têm uma versão mínima do PHP em seus requisitos. Indo abaixo disso teria um sério impacto em seu site se você os instalasse.

Todas as versões principais do PHP são suportadas por dois anos após serem lançadas. Durante esse tempo, bugs e problemas de segurança são corrigidos regularmente.

Gráfico de Versões do PHP utilizadas
Porcentagem de sites WordPress em diferentes versões de PHP

Embora recomendamos que você atualize seu PHP para a versão mais recente, um grande número de sites WordPress estão em versões anteriores.

13. Mantenha o WordPress atualizado

WordPress é uma das plataformas CMS mais atualizadas. Desde o início, o WordPress está sendo atualizado com muitos recursos, funcionalidades e correções de segurança.

É por isso que atualizar sua versão do WordPress não é apenas obter novos recursos, mas também corrigir problemas que podem afetar seu site.

Porcentagens de sites que usam várias versões do WordPress
Porcentagens de sites que usam várias versões do WordPress

As versões menores do WordPress são atualizadas automaticamente e incluem principalmente problemas de desempenho e segurança.

Se, de alguma forma, você desligar a atualização automática, será necessário atualizar seu site WordPress para a versão mais recente manualmente.

Você não obterá versões importantes do WordPress se não atualizar seu site. Independentemente de você ter desativado a atualização automática do WordPress ou não, você deve fazer tudo sozinho se quiser fortalecer a segurança do WordPress.

O WordPress também tem muitos temas e plug-ins que você pode instalar no seu site. Esses desenvolvedores de plug-ins e temas regularmente lançam atualizações que você obterá apenas se atualizá-los.

Atualizar o WordPress junto com plug-ins e temas está diretamente relacionado à segurança do WordPress.

14. Verificar sites do WordPress em busca de malware

A verificação de malwares em sites é bastante simples, você só precisa inserir os URLs dos seus sites WordPress em algumas ferramentas de verificação online.

Seus rastreadores percorrem o seu site verificando todos os arquivos, incluindo de plug-in e temas, para procurar malwares e códigos maliciosos.

Algumas das ferramentas gratuitas são:

15. Mantenha um backup do seu site WordPress

Manter um backup do seu site WordPress é uma das principais medidas de segurança do WordPress.

Se, em qualquer caso, seu site WordPress for hackeado, os backups permitem que você restaure rapidamente seu site WordPress.

Existem muitos plug-ins de backup do WordPress que podem ajudá-lo. Você pode tentar qualquer um dos plug-ins de backup do WordPress abaixo.

16. Alterar o prefixo do banco de dados do WordPress

Segurança de banco de dados WordPress

O (wp_) é usado como prefixo para todas as tabelas no banco de dados WordPress por padrão. É fácil para os hackers adivinharem.

Se você estiver usando este prefixo de tabela padrão, seu site está em risco. Considere alterar o prefixo da tabela do banco de dados com algo difícil para os hackers adivinharem.

Mas são necessários alguns passos para alterar o prefixo do banco de dados do WordPress corretamente para o seu site estabelecido sem bagunçar completamente.

1- Preparação

Recomendo que você faça backup de seu banco de dados WordPress antes de executar qualquer coisa sugerida neste tutorial.

A próxima coisa que recomendo é que você redirecione seus visitantes para uma página de manutenção temporária.

2- Alterar o prefixo da tabela em wp-config.php

Abra seu arquivo wp-config.php que está localizado no diretório raiz do WordPress. Altere a linha do prefixo da tabela de (wp_) para algo como este (wp_d246890_).

Portanto, a linha ficaria assim:

$table_prefix  = 'wp_d246890_';

Nota: Você só pode alterá-lo para números, letras e sublinhados.

3- Alterar o nome de todas as tabelas do banco de dados

Você precisa acessar seu banco de dados (provavelmente por meio do phpMyAdmin) e, em seguida, alterar os nomes das tabelas para aquele que especificamos no arquivo wp-config.php.

Há um total de 11 tabelas WordPress padrão, então alterá-las manualmente seria doloroso.

É por isso que para tornar as coisas mais rápidas, temos uma consulta SQL que você pode usar.

RENAME table 'wp_commentmeta' TO 'wp_d246890_commentmeta';
RENAME table 'wp_comments' TO 'wp_d246890_comments';
RENAME table 'wp_links' TO 'wp_d246890_links';
RENAME table 'wp_options' TO 'wp_d246890_options';
RENAME table 'wp_postmeta' TO 'wp_d246890_postmeta';
RENAME table 'wp_posts' TO 'wp_d246890_posts';
RENAME table 'wp_terms' TO 'wp_d246890_terms';
RENAME table 'wp_termmeta' TO 'wp_d246890_termmeta';
RENAME table 'wp_term_relationships' TO 'wp_d246890_term_relationships';
RENAME table 'wp_term_taxonomy' TO 'wp_d246890_term_taxonomy';
RENAME table 'wp_usermeta' TO 'wp_d246890_usermeta';
RENAME table 'wp_users' TO 'wp_d246890_users';

Você pode ter que adicionar linhas para outros plug-ins que podem adicionar suas próprias tabelas no banco de dados do WordPress. A ideia é que você altere o prefixo de todas as tabelas para o que deseja.

4- A tabela options

Precisamos pesquisar na tabela de opções quaisquer outros campos que estejam usando (wp_) como prefixo, para que possamos substituí-los.

Para facilitar o processo, use esta consulta:

SELECT * FROM 'wp_d246890_options' WHERE 'option_name' LIKE '%wp_%'

Isso retornará muitos resultados, e você precisa ir um por um para alterar essas linhas.

5- Tabela usermeta

Em seguida, precisamos pesquisar o usermeta para todos os campos que estão usando (wp_) como prefixo, para que possamos substituí-lo.

Use esta consulta SQL para isso:

SELECT * FROM 'wp_d246890_usermeta' WHERE 'meta_key' LIKE '%wp_%'

O número de entradas pode variar em quantos plugins você está usando e outros. Basta alterar tudo o que tem (wp_) para o novo prefixo.

6- Backup e feito

Agora você está pronto para testar o site.

Se você seguiu as etapas acima, tudo deve estar funcionando bem. Agora, você deve fazer um novo backup do seu banco de dados apenas para ficar no lado seguro.

17. Desativar edição de arquivo no painel

O editor de código embutido no WordPress permite que você edite seus arquivos de tema e plug-in do WordPress na área de administração do site.

Qualquer pessoa com acesso à área de administração poderá editar os arquivos do seu site. Uma vez que um hacker entra, ele pode querer ir para Aparência > Editor e começar a editar seus arquivos WordPress.

A boa notícia é que você pode desabilitar a edição de arquivos por meio da área de administração. Para fazer isso, você só precisa colocar o código abaixo em seu arquivo wp-config.php.

// Disable file edit
define( 'DISALLOW_FILE_EDIT', true );

Desativar a edição de arquivos no painel é outra ótima maneira de fortalecer a segurança do WordPress.

O recurso de edição de arquivo está lá por padrão para sua própria flexibilidade. Mas, caso alguma pessoa não autorizada entre lá, você pode desligar isso para seu próprio bem.

E se você quiser editar os arquivos do seu site? Não tem problema, edite seus modelos através do seu aplicativo FTP.

18. Ocultar wp-config.php e .htaccess

É aconselhável ocultar wp-config.php e .htaccess para reforçar a segurança do site. Apenas cole o código abaixo dentro:

<files wp-config.php>
order allow,deny
deny from all
</files>

Isso impedirá que o arquivo seja acessado. Código semelhante é usado para seu arquivo .htaccess:

<files .htaccess>
order allow,deny 
deny from all
</files>

19. Efetue logout de usuários ociosos no WordPress automaticamente

Desconecte-se automaticamente de usuários ociosos no WordPress.

Os proprietários de sites aplicam essa técnica para evitar que usuários não autorizados acessem contas ou as sequestrem.

É assim que você pode proteger as sessões de seus usuários do WordPress de bisbilhoteiros. Você pode usar o plug-in Inactive Logout para encerrar automaticamente as sessões de usuário inativas.

Instale e ative o plug-in e simplesmente configure o tempo limite de inatividade nas configurações do plug-in.

Se você se preocupa com a segurança do site, deve incluir isso em sua lista de verificação de segurança do WordPress.

20. Gerenciar funções de usuário do site WordPress

Gerenciar os usuários do site WordPress é fundamental para a segurança do WordPress.

Existem diferentes camadas de funções de usuário (o WordPress tem seis funções predefinidas: Superadministrador, Administrador, Editor, Autor, Contribuidor e Assinante.) para que você possa limitar o acesso do usuário de acordo com seus trabalhos.

Funções de usuário do WordPress

Escolha cuidadosamente a função para seu novo usuário. Se você selecionar um papel forte para eles, como o de Administrador ou Editor, tenha em mente que você estará lhe entregando o controle total sobre o seu site ou suas postagens. Potencialmente, eles podem editar sua conta, atribuir um papel mais baixo e ainda, bloqueá-lo!

Não permita que todos usuários acessem a área administrativa. Monitore as ações dos usuários regularmente.

Mesmo que você seja o único que tenha acesso como usuário do seu blog WordPress, recomendo que você crie um usuário Autor e atribua todas as páginas e posts para esse usuário e não revele seu usuário Administrador. Usando esse usuário apenas para funções administrativas.

21. Excluir plug-ins e temas inativos

Você pode ter alguns plug-ins e temas que não estão em uso. Esses temas e plug-ins inativos podem representar uma ameaça à segurança. Eles também podem bagunçar o painel do seu site WordPress.

É por isso que é aconselhável excluir plug-ins e temas que você não está usando para impedir algum ataque indesejado.

A exclusão de plug-ins e temas inativos deve estar na lista de verificação de segurança do WordPress.

22. Desativar o XML-RPC

O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do próprio WordPress.

Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress e Drupal.

No entanto, estima-se que apenas 15% dos usuários do WordPress fazem uso efetivo deste recurso, de modo que, o outro montante deixa o arquivo exposto para ataques.

Existem algumas ferramentas que avaliam se o XML-RPC está em execução ou não em seu site. Como a  XML-RPC Validator, criada pelo Danilo Ercoli, da equipe da Automattic.

XML-RPC Validation

Alguns plugins WordPress dependem do XML-RPC, porém a maioria dos sites não precisam dele o que permite remove-lo, mas na próxima atualização do WP o arquivo xmlrpc.php será criado novamente, portanto, esta não é uma boa alternativa.

Podemos fazer o seu bloqueio para melhorar a segurança do WordPress de forma mais eficiente usando plug-in ou editando o arquivo .htaccess.

Para bloquear utilizando plug-in, você pode instalar o plugin gratuito Disable XML-RPC do editor LittleBizzy.

Bloqueando o xmlrpc.php editando o arquivo .htaccess, você tem a vantagem de não ficar dependendo das atualizações dos plugins.

Você pode usar o seguinte snippet de código no seu arquivo .htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Ou use-o para desativar o acesso ao xmlrpc.php no bloco do servidor NGINX:

# nginx block xmlrpc.php requests
location /xmlrpc.php {
    deny all;
}

23. Adicionar os cabeçalhos de segurança HTTP mais recentes

Outro passo que você pode dar para fortalecer sua segurança no WordPress é aproveitar os cabeçalhos de segurança HTTP. Geralmente, eles são configurados no nível do servidor da Web e informam ao navegador como se comportar ao manipular o conteúdo do seu site.

Os cabeçalhos de segurança HTTP fornecem mais uma camada de segurança, ajudando a mitigar ataques e vulnerabilidades de segurança.

Existem seis cabeçalhos de segurança HTTP diferentes que você deve conhecer e recomendo implementá-los, se possível.

  • Content-Security Policy;
  • X-XSS-Protection;
  • Strict-Transport-Security;
  • X-Frame-Options;
  • Public-Key-Pins;
  • X-Content-Type.

KeyCDN tem uma excelente publicação se você quiser ler mais sobre a segurança dos cabeçalhos HTTP.

Você também pode escanear seu site WordPress com a ferramenta gratuita securityheaders.io de Scott Helme. Isso mostrará quais cabeçalhos de segurança HTTP você tem atualmente no seu site. Se você não tiver certeza de como implementá-las, poderá perguntar ao seu host se elas podem ajudar.

24. Verifique as Permissões de Arquivo e Servidor

As permissões de arquivo na sua instalação e no servidor da web são cruciais para melhorar sua segurança no WordPress.

Se as permissões forem muito fracas, alguém poderá facilmente obter acesso ao seu site e causar estragos. Por outro lado, se as suas permissões forem muito restritas, isso poderá interromper a funcionalidade do seu site.

Por isso, é importante ter as permissões corretas definidas no quadro.

Permissões de arquivo

  • As permissões de leitura são atribuídas se o usuário tiver direitos para ler o arquivo.
  • As permissões de gravação são atribuídas se o usuário tiver direitos para gravar ou modificar o arquivo.
  • As permissões de execução são atribuídas se o usuário tiver direitos para executar o arquivo e/ou executá-lo como um script.

Permissões de diretório

  • As permissões de leitura são atribuídas se o usuário tiver direitos para acessar o conteúdo da pasta/diretório identificado.
  • As permissões de gravação são atribuídas se o usuário tiver direitos para adicionar ou excluir arquivos contidos na pasta/diretório.
  • As permissões de execução são atribuídas se o usuário tiver direitos para acessar o diretório real e executar funções e comandos, incluindo a capacidade de excluir os dados dentro da pasta/diretório.

Você pode usar um plugin grátis como o iThemes Security para verificar as permissões no seu site WordPress.

Aqui estão algumas recomendações típicas para permissões quando se trata de permissões de arquivos e pastas no WordPress. Veja o artigo do WordPress Codex em alterando permissões de arquivo para um maior aprofundamento.

Verificação de permissões de arquivos para segurança do WordPress
  • Todos os arquivos devem ser 644 ou 640. Exceção: o wp-config.php deve ser 440 ou 400 para evitar que outros usuários no servidor o leiam.
  • Todos os diretórios devem ser 755 ou 750.
  • Nenhum diretório deveria receber 777, nem mesmo fazer o upload de diretórios.

25. Proteção Contra DDoS

DDoS é um tipo de ataque do DOS em que vários sistemas são usados para direcionar um único sistema, causando um ataque de negação de serviço (DoS).

Ataques DDoS não são novidade – de acordo com Britannica o primeiro caso documentado data do início de 2000.

Ao contrário de alguém que hackeia seu site, esses tipos de ataques normalmente não prejudicam seu site, mas simplesmente acabam com seu site por algumas horas ou dias.

O que você pode fazer para se proteger?

Uma das melhores recomendações é usar um serviço de segurança confiável de terceiros como Cloudflare ou Sucuri. Se você está executando um negócio, pode fazer sentido investir em seus planos premium.

Proteção contra DDoS do Cloudflare e Sucuri. Ótimas opções para fortificar a segurança do WordPress

Conclusão

A segurança do site é a primeira coisa com a qual você deve se preocupar após lançar seu site.

Com essas diretrizes detalhadas de segurança do WordPress e muitos plug-ins de segurança poderosos do WordPress por aí, você pode proteger sites WordPress e executar seu site sem problemas.

Web design atraente e conteúdo de qualidade não garantem a segurança.

Coisas como escanear seu site em busca de malware, atualizar versões do WordPress junto com temas e plug-ins devem também ser trabalho rotineiro.

Um número significativo de sites está sendo invadido todos os dias, proteja seu site de qualquer tipo de ataque malicioso. Siga nossas diretrizes detalhadas de segurança do WordPress e proteja seu sites e/ou blogs.

Tem alguma dica importante sobre segurança do WordPress que perdemos ou alguma dúvida? Escreva abaixo nos comentários.

Se gostou desse post compartilhe em suas redes sociais.

Obrigado por ler esse longo post até aqui e até a próxima!

Você também vai gostar:

O que você achou deste conteúdo? Têm alguma dúvida ou sugestão? Comenta aí!

Nenhum Comentário, até o momento.

    Deixe um comentário

    Você quer ser VIP?

    VOCÊ QUER SER VIP?!

    Obtenha acesso instantâneo à minha Biblioteca de Recursos GRÁTIS. Receba as Últimas Notícias, Ofertas, DescontosBônus e Conteúdos Exclusivos que não são compartilhados em nenhum outro lugar.

    Digite seu nome e endereço de e-mail AGORA e seja VIP ⤵︎