10 chaves poderosas para proteger seu site WordPress em 2023

Com muita frequência, os proprietários de sites WordPress descobrem que seus sites foram comprometidos. Dada a sua popularidade como CMS, o WordPress é a plataforma mais visada pelos hackers e, como resultado, recebe uma má reputação por ser insegura.

Mas este não é realmente o caso.

A natureza de código aberto do WordPress significa que qualquer pessoa pode usá-lo, e a grande maioria daqueles que o utilizam não são bem versados ​​em práticas básicas de segurança cibernética. Isso é o que cria a ilusão de que o WordPress é de alguma forma menos seguro do que outras opções de criação de sites.

Aqueles indivíduos que utilizam boas práticas de segurança raramente têm problemas com sites sendo invadidos. Então, o que torna um site WordPress seguro?

 

Protegendo seu site WordPress

Aqui estão 10 coisas para manter em mente quando se trata de proteger seu site WordPress.

 

Use um host seguro

Se você sair sem mais nada deste post, pelo menos preste atenção a este. Seu site WordPress é tão seguro quanto o servidor em que ele vive.

A maioria dos sites WordPress é construída em hospedagem compartilhada, o que significa que seu site fica no mesmo servidor que os sites de outros clientes. Escolha uma empresa de hospedagem que bloqueie corretamente as permissões de conta em seus servidores.

Confira: Melhores serviços de hospedagem WordPress comparados

Não é incomum que um site comprometido infecte outros no mesmo servidor. Se você escolher um host em que as permissões sejam separadas adequadamente para cada conta, o risco de contaminação entre sites será minimizado.

Ao contrário da opinião popular, VPS hospedagem também é suscetível à propagação de malware. Os ataques VMescape, em que o malware utiliza vulnerabilidades em plataformas de virtualização, podem permitir que o malware escape de um VPS e passe para outro VPS que resida no mesmo hardware físico.

Os hosts seguros também terão outras mitigações em vigor. Isso inclui a utilização de mod-security em sua configuração de servidor web, pacotes antimalware, como o Imunify360, e proteção contra DDoS para evitar que os sites sejam sobrecarregados por bots.

 

Mantenha seu núcleo, temas e plugins atualizados

A maioria dos sites WordPress são invadidos porque estão ficando sem código. Isso não é uma opinião, é um fato documentado.

Pesquisadores de segurança que realizam análises forenses em milhares de sites invadidos do WordPress determinaram sem dúvida que plugins e temas desatualizados são responsáveis ​​por mais de 80% deles.

Imagine que, simplesmente mantendo seus temas e plugins atualizados, você poderia eliminar 80% das chances de seu site ser comprometido. Agora, essa é uma chave para proteger o WordPress que vale a pena observar.

 

Ativar autenticação de dois fatores

Embora temas e plugins desatualizados sejam responsáveis ​​pela grande maioria dos sites invadidos do WordPress, ataques de força bruta em nomes de usuário e senhas são os métodos mais comuns para obter acesso não autorizado a sites.

Embora a taxa de sucesso seja geralmente baixa, ainda cerca de 8% dos sites invadidos foram invadidos simplesmente por adivinhar a senha de um usuário.

Uma maneira de proteger seu site é habilitar a autenticação de dois fatores (2FA). Além de seu nome de usuário e senha, a 2FA exigirá que você também envie uma senha de uso único do seu dispositivo móvel ou de uma mensagem de e-mail.

Se um hacker tiver seu nome de usuário e senha para seu site, mas não tiver seu telefone ou acesso ao seu e-mail, ele não poderá fazer login.

Existem vários plug-ins que adicionam autenticação de dois fatores ao seu site e muitos plug-ins de segurança abrangentes sobre os quais falaremos na próxima seção também o adicionam como parte dos muitos recursos que eles incluem.

 

Instale um plug-in de segurança

Há quem diga que toda a segurança deve ser feita pelo seu host, mas no mundo da segurança cibernética, acreditamos que a segurança acontece em camadas. Ter um plugin de segurança no seu WordPress website é apenas mais uma dessas camadas.

Quando se trata de plugins de segurança, há uma variedade para escolher. Aqui estão alguns dos plugins de segurança mais populares. Você deve testá-los e ver qual deles se adapta melhor às suas necessidades.

 

Wordfence

Embora este post não aborde qual plugin de segurança é o melhor, o mais popular é Wordfence – e há grandes razões para isso.

Por um lado, a Wordfence é uma empresa dedicada à segurança, pois segurança é tudo o que eles fazem. Eles não são um desenvolvedor de plugins do WordPress que por acaso tem um plugin de segurança em seu portfólio, eles vivem e respiram segurança.

O plug-in Wordfence vem com um firewall de aplicativo da Web gratuito que verifica todas as solicitações em uma lista de explorações conhecidas e as bloqueia se encontrar uma correspondência. Eles também têm um scanner de malware que procura sinais indicadores de atividades e arquivos maliciosos. Outro ótimo recurso é a capacidade do scanner de verificar todos os seus arquivos de temas e plugins em relação aos do repositório WordPress.org para garantir que eles correspondam.

O Wordfence registra todas as atividades relacionadas à segurança por padrão para que você possa revisá-las e garantir que seu site seja seguro.

Outro recurso interessante no Wordfence é que eles têm um módulo de autenticação de 2 fatores para que você possa eliminar a recomendação nº 3 neste post. Na mesma linha de proteção, eles também têm proteção de força bruta para bloquear endereços IP que tentam fazer login várias vezes parando efetivamente os bots em suas trilhas.

 

Sucuri

Sucuri é outro ótimo plugin de segurança que pode ajudar a proteger seu site WordPress. Ele tem muitos dos mesmos ótimos recursos oferecidos pelo Wordfence com uma exceção notável: não há firewall gratuito – está disponível apenas em um plano premium pago.

Uma observação importante sobre a Sucuri é que o plug-in foi comprado recentemente pela GoDaddy, portanto, sua capacidade de apoiá-lo adequadamente ainda não foi comprovada. Nos círculos de hospedagem na web, o GoDaddy não é visto com bons olhos, então só o tempo dirá se essa reputação se estenderá à Sucuri ou se eles serão capazes de enfrentar o desafio.

A Sucuri também possui um log de auditoria para que você possa revisar as atividades relacionadas à segurança em seu site, como logins com falha.

 

Tudo em um WP Segurança e Firewall

Tudo em um WP Segurança e Firewall é o único plugin que chega perto do Wordfence em popularidade. Ele oferece muitos dos mesmos benefícios, incluindo um firewall gratuito baseado em regras .htaccess, proteção de força bruta e um scanner de segurança.

Uma coisa que não inclui é um módulo de autenticação de 2 fatores, então você precisará adicionar um plug-in autônomo para essa funcionalidade.

Pode-se argumentar que o All in One WP Security & Firewall realmente fornece o firewall mais robusto de todos os plugins de segurança. Como o firewall é baseado em .htaccess, ele é processado antes que qualquer script seja executado, o que o torna muito confiável.

O All in One WP Security & Firewall também inclui um bom recurso para ajudar a proteger contra spam de comentários automatizados. Alternativamente, você pode substituir o sistema de comentários padrão do WordPress por Deeper Comentários para recursos adicionais e proteção.

 

Usar Cloudflare

A Cloudflare ganhou popularidade entre os usuários do WordPress por causa de seu excelente (e gratuito) serviço CDN, que ajuda a acelerar seu site. Mas a Cloudflare também oferece uma série de ferramentas gratuitas que ajudam a proteger seu site contra ataques.

Por um lado, ao apontar seus servidores de nome para a Cloudflare, você obtém o benefício de um dos serviços DNS mais rápidos e seguros disponíveis e certificados SSL gratuitos.

Os servidores da Cloudflare verificam todo o tráfego antes que ele chegue ao seu servidor para ataques DDoS e seu firewall é altamente configurável mesmo na versão gratuita (com um número limitado de regras) que permite filtrar o tráfego com base no país, ASN ou até mesmo no URL ou string de consulta.

Por exemplo, se você fizer login em seu site apenas a partir de um único endereço IP ou de um pequeno número de endereços IP fixos, poderá criar uma regra na Cloudflare que bloqueie todos os outros IPs até mesmo de acessar wp-admin ou wp-login.php . Isso bloquearia todos os bots tentando realizar os ataques de força bruta sobre os quais falamos na seção 3. Você também pode restrinja o acesso ao wp-admin usando seu arquivo .htaccess em vez de Cloudflare. Você pode implementar ambos se quiser várias camadas de proteção (altamente recomendado).

 

Não use temas ou plugins nulos

Você quer esse tema premium, mas não quer pagar por ele? Bem, se você o obtiver de um desses sites esboçados que oferecem temas e plugins nulos, poderá obtê-lo gratuitamente. Mas ainda tem um preço...

Ao usar um tema ou plugin nulo, você perde a garantia de que o produto é o mesmo que é oferecido pelo fornecedor oficial. Isso significa que você perde a integridade do código.

Temas e plugins anulados são uma fonte significativa de malware porque, às vezes, quem criou o plug-in anulou, adicionou seu próprio malware a ele para assumir o controle do seu site ou realizar outras ações maliciosas, como roubar seus recursos para mineração de criptografia.

Temas e plugins nulos são o malware que você instala voluntariamente em seu próprio site, mesmo sem perceber. Só para economizar uns trocados? Não vale a pena. Se você precisar de um recurso premium, pague um desenvolvedor respeitável por ele.

 

Desativar edição de arquivo

O painel de administração do WordPress possui um editor embutido muito conveniente que permite modificar o conteúdo do seu tema e arquivos de plugins. Infelizmente, esse editor também torna conveniente para os hackers modificarem o código do seu site se eles invadirem sua conta.

A realidade é que você está quase nunca vai usar esta funcionalidade. Se você editar um arquivo principal, provavelmente fará isso diretamente através do gerenciador de arquivos do seu host ou usando um cliente FTP.

Você pode desabilitar a capacidade de editar arquivos do painel de administração adicionando esta linha ao seu arquivo wp-config.php:

define ('DISALLOW_FILE_EDIT', verdadeiro);

Depois de adicionar essa linha, os menus de edição não estarão mais disponíveis para arquivos de plugins e temas no painel de administração do WordPress.

 

Mova e renomeie seu arquivo wp-config.php

Enquanto estamos falando sobre o arquivo wp-config.php, muitas pessoas já sabem que você pode mover o arquivo wp-config.php para um diretório de sua instalação do WordPress e seu site funcionará bem. Mas vamos dar um passo adiante.

Você sabia que pode renomear o arquivo wp-config.php para o que quiser e movê-lo completamente da sua instalação do WordPress para uma pasta não pública? Dá um pouco mais de trabalho para fazer, mas vale a pena.

Embora o arquivo em si geralmente retorne uma página em branco quando chamado em um navegador da Web, em casos raros quando o manipulador PHP falha, todo o conteúdo do arquivo pode ser visível como texto simples diretamente em um navegador da Web.

O arquivo wp-config.php contém informações confidenciais sobre seu site, incluindo o nome de usuário e a senha do banco de dados. Esta informação nas mãos erradas pode ser catastrófica. Renomear o arquivo para algo aleatório ajuda a escondê-lo de bots e hackers.

By movendo wp-config.php para uma pasta não pública, você elimina a capacidade de alguém obter as informações por meio de um navegador durante uma falha do manipulador PHP.

 

Atividade de auditoria em seu site

Se você não está acompanhando o que está acontecendo em seu site, pode estar perdendo informações importantes que podem alertá-lo sobre uma tentativa de atividade maliciosa ou até mesmo descobrir atividades maliciosas se seu site já tiver sido comprometido.

Além dos benefícios de segurança, se você tiver um site com vários usuários, ter um bom plug-in de auditoria também pode ajudar a garantir que você possa rastrear atividades legítimas. Como agência, é uma ótima ferramenta para saber se seu cliente pode ter estragado alguma coisa, mesmo que diga que não fez isso!

Existem vários plugins bons para auditar a atividade do site. Alguns dos plugins de segurança mencionados anteriormente têm algum nível de capacidade de registro de auditoria, mas os abaixo o levam para o próximo nível auditando todas as atividades do usuário em vez de apenas eventos relacionados à segurança. Aqui estão os 3 primeiros.

 

Histórico Simples - Log de Atividades do Usuário, Ferramenta de Auditoria

História simples é o plugin mais popular para auditoria e é ótimo para começar a testar. Ele registra todas as coisas que você esperaria, como atualizações de conteúdo, instalações e ativações de plugins e praticamente qualquer outro tipo de atividade do usuário.

O plug-in tem uma classificação de 5 estrelas e a equipe de desenvolvedores é bastante ativa nos fóruns de suporte e responde regularmente a perguntas de suporte em um período de tempo razoável.

 

Registro de atividades do WP

A Registro de atividades do WP plugin é outra ótima opção para usar em seu site. Possui algumas opções mais configuráveis ​​do que o plugin anterior, como a capacidade de ativar e desativar a auditoria de determinados eventos e um período de retenção configurável para registro. Ele também possui vários complementos para estender o monitoramento a plugins especializados como WooCommerce e WPForms.

O plugin tem uma classificação de 4.5 estrelas e o desenvolvedor líder responde a praticamente todas as perguntas do fórum de suporte pessoalmente.

Se você administra uma agência, o WP Activity Log se integra bem com a popular ferramenta de gerenciamento MainWP para que você possa visualizar os logs de auditoria de todos os sites de seus clientes em uma única interface. Entre as agências, o WP Activity Log é a escolha nº 1 para registro de auditoria.

 

Registro de Atividade

Outra opção popular com uma classificação de 4.5 estrelas. Registro de Atividade captura tudo o que você esperaria e tem um bom número de instalações ativas.

Infelizmente, o desenvolvedor não costuma responder às solicitações de suporte nos fóruns, com a maioria das perguntas de suporte sem resposta indefinidamente.

 

Utilize o Princípio do Mínimo Privilégio

No mundo da segurança cibernética, o Princípio do Mínimo Privilégio é um conceito em que um usuário tem apenas as permissões necessárias para realizar seu trabalho.

No mundo do WordPress, não é incomum ver uma empresa com 10 usuários configurados como Administrador. Pode haver motivos legítimos para esse nível de acesso, mas é raro precisar de mais de 1 ou 2 contas com um nível tão alto de permissões.

Uma coisa que você não pode controlar é o que seus usuários fazem quando não estão trabalhando ativamente em seu site WordPress. Isso significa que se eles não proteger seus próprios dados de hackers, há uma boa chance de que o desleixo se espalhe em seu site.

Ao limitar o acesso deles, você poderá mitigar qualquer dano que um usuário possa causar involuntariamente, como clicar em um link malicioso enquanto ainda estiver conectado ao seu site. Mesmo se você for o administrador do site, você deve usar uma conta de editor separada com permissões limitadas quando não estiver executando tarefas administrativas de alto nível.

É trabalhoso fazer isso? Claro. Mas é muito menos tedioso do que ter que limpar um site infectado.

 

Bônus: faça backups frequentes

No pior cenário em que seu site foi comprometido, às vezes a única opção é restaurá-lo a partir de um backup limpo; aquele que foi tomado antes da infecção. A maioria das empresas de hospedagem na web decentes fará backup do seu site uma vez por dia, mas geralmente retêm esses backups por algumas semanas.

Isso é problemático se você tiver uma infecção que passou despercebida por um tempo. Muitas infecções se escondem efetivamente dos administradores logados para evitar a detecção pelo maior tempo possível.

Como agora você sabe que a segurança é melhor em camadas, você pode aplicar o mesmo conceito aos seus backups fazendo seus próprios backups além do seu host.

Existem alguns ótimos plugins de backup gratuitos disponíveis, incluindo UpdraftPlus, BackWPup e Migração All-in-One WP. Cada um tem seus próprios pontos fortes e fracos, mas todos são muito confiáveis ​​e permitem que você faça backup do seu site com mais regularidade. Em alguns casos, você pode até fazer backup automático para armazenamento remoto em nuvem, como Dropbox ou OneDrive.

 

Considerações Finais

A segurança do WordPress é uma parte importante da propriedade de um site. Também pode ser um processo demorado e intensivo de recursos se for feito incorretamente ou negligenciado. Ao implementar as chaves neste post, você pode colocar a maioria das suas necessidades de segurança no automático para que você possa se concentrar no que é importante: seu negócio.