10 medidas para proteger o WordPress de ataques

Índice

Centenas de milhares de sites WordPress são vítimas de um ataque de hackers todos os dias. Talvez o seu também! Os hackers costumam usar bots que selecionam sites aleatoriamente e mostram vulnerabilidades conhecidas do WordPress.

Portanto, não são apenas os sites e blogs renomados e conhecidos que são afetados. Mas não entre em pânico: neste post, vou mostrar passo a passo como você pode aumentar significativamente a segurança do WordPress e se proteger de forma eficaz contra hackers.

Esses são métodos experimentados e testados que já provaram sua confiabilidade várias vezes no passado. Também mostrarei 4 plug-ins de segurança WordPress tudo-em-um para proteger contra vários riscos e vários plug-ins diferentes que tornam seu site WordPress um Fort Knox.

  1. Por que você absolutamente tem que lidar com a segurança do WordPress!

Segurança do WordPress?

Ataque de hacker?

Vai ficar tudo bem! Meu site é pequeno.

Muitos blogueiros reagem assim quando são confrontados com este tema. Mas infelizmente a realidade é diferente! Mais de 50 mil sites são hackeados todos os dias.

Certamente você está chocado com o alto número e se pergunta se o WordPress é particularmente inseguro. Posso assegurar-lhe: o WordPress é, na verdade, muito seguro (uma das muitas vantagens do WordPress ) e se você implementar as dicas deste artigo, estará ansioso por possíveis ataques de hackers no futuro com um sorriso.

A segurança do WordPress é claramente um dos tópicos menos populares, mas também é extremamente importante para iniciantes em WordPress. Porque, além da perda potencial de todo o site, dos possíveis danos econômicos e danos à sua reputação, você pode enfrentar consequências legais se deixar de tomar certas medidas de segurança .

O que significa segurança do WordPress, afinal?

Antes de começarmos na prática, vamos dar uma olhada na teoria e esclarecer o que segurança significa no contexto do WordPress. Ao contrário da opinião geral, isso não significa páginas 100% isoladas.

Além do fato de ser impossível obter segurança absoluta na Internet, esses sites são impraticáveis ​​e impossíveis de encontrar, o que é praticamente o oposto do objetivo de um site de alto alcance.

Portanto, o que queremos dizer com “tornar o WordPress seguro” é a melhor minimização de risco possível, não a completa eliminação do risco!

Portanto, o objetivo é aproveitar todas as opções razoáveis​​e disponíveis, reduzindo assim as chances de seu site ser alvo de um hacker.

Mas chega de teoria! Vamos começar.

Agora vou mostrar como você pode proteger seu site WordPress da melhor maneira possível com meios muito simples.

 

Torne o WordPress seguro – Dicas gerais

Antes de entrarmos em algumas vulnerabilidades conhecidas do WordPress em detalhes, todo administrador do WordPress deve prestar atenção aos seguintes princípios básicos. A simples implementação dessas 5 medidas simples aumenta significativamente a segurança do WordPress.

Atualize seu site WordPress regularmente

Mantenha seu site WordPress atualizado e, assim, evite explorar os pontos fracos de segurança de versões anteriores.

Você pode encontrar possíveis atualizações para plugins, temas ou o núcleo do WordPress em Atualizar. Mas há vários outros lugares no painel do WordPress que indicam atualizações.

Atualize sua versão do PHP

WordPress é baseado na popular linguagem de programação PHP. A versão mais recente disponível sempre inclui as funções de segurança mais recentes e fecha portas traseiras conhecidas.

Portanto, confie apenas na versão mais recente do PHP, que geralmente é definida diretamente pelo seu servidor.

Use apenas hosts confiáveis

Além da segurança e capacidade de backup de seus dados, muitos ataques já podem ser repelidos por seu servidor. Portanto, confie apenas em boas empresas, com uma boa reputação no mercado.

Use apenas senhas fortes

Uma das dicas mais importantes para cada usuário da Internet, não apenas em conexão com a segurança do WordPress, se aplica: Use senhas “fortes”, que são melhor compostas por letras maiúsculas e minúsculas, bem como números e caracteres especiais. Use pelo menos 8 caracteres ou mais.

Faça backups regularmente

A última dica neste capítulo, que está apenas indiretamente relacionada à proteção contra hackers do WordPress, mas deve ser importante para todos os operadores, é fazer backups regulares do seu site. Isso lhe dá a opção de fazer backup e restaurar seus dados no pior cenário.

As vulnerabilidades mais populares do WordPress e as contramedidas adequadas

A seguir, queremos nos aprofundar um pouco mais no assunto juntos. Agora protegemos seu site contra as maiores lacunas de segurança do WordPress.

Também vou apresentar a você alguns plug-ins de segurança úteis do WordPress que protegem você de ser comprometido, ou seja, de hackers assumirem o controle.

Backdoors: o que a NSA e os hackers têm em comum?

Pergunta maluca, resposta fácil …Ambos usam backdoors como parte de suas atividades.

Como o nome sugere, essas portas traseiras são entendidas como uma alternativa de acesso ao software ou sistema de hardware que ignora a proteção de acesso padrão.

Como mostram estudos (por exemplo, Relatório Sucuri 2019), backdoors e o contrabando de malware associado estão entre as maiores ameaças para operadores de sites WordPress em quase 50%.

Uma vez dentro do sistema, os atacantes às vezes usam as vulnerabilidades por vários anos para acessar dados, fazer upload de malware ou causar danos ao controlar seu site. Você provavelmente está se perguntando como pode se proteger melhor de backdoors indesejados?

Muito facilmente…

A maioria dos backdoors no WordPress são abertos pela instalação de plug-ins, temas ou código de terceiros de fontes não confiáveis.

Dica: É melhor pesquisar antes de baixar plug-ins e temas de fora da plataforma. No site oficial do WordPress.org e preste atenção ao número de downloads ativos em conexão com as avaliações dos usuários e a última atualização.

Outra medida é a desinstalação de plug-ins não utilizados ou de temas desatualizados e não mais ativos que você ainda tenha instalado em seu servidor no passado.

Uma olhada na “condição do site”, que pode ser encontrada em ferramentas, mostra rapidamente se você deve fazer melhorias ou se está tudo bem.

O status do site no WordPress mostra se tudo está seguro ou se há alguma ameaça. No entanto, pode-se dizer que backdoors são difíceis de serem encontrados preventivamente.

Se você ainda quiser testar seu site para possíveis backdoors / vulnerabilidades, posso recomendar o Security Check & Malware Scanner da Sucuri.

Efeitos de backdoors e como você pode se proteger contra eles

Conforme já descrito, os hackers usam as portas dos fundos de seu sistema para colocar o código-fonte em seu site sem ser notado e, em seguida, executá-lo.

Um método particularmente popular é conhecido como spam farmacêutico ou de SEO.

O objetivo dos hackers do WordPress é explorar especificamente o uso de lacunas de segurança em sua instalação do WordPress para colocar links discretos para sites que oferecem produtos farmacêuticos duvidosos, pornografia ou similares em seu site.

Esses blocos de links inseridos são mantidos invisíveis para o usuário em geral por meio de truques CSS ou JavaScript.

No entanto, os rastreadores do mecanismo de pesquisa encontram essa coleção de links e penalizam seu site por espalhar spam.

O resultado: seu site escorrega no ranking dos buscadores. Na pior das hipóteses, seu site WordPress pode até mesmo ser colocado no final dos resultados de busca do Google e não será mais encontrado.

Meu site já foi afetado?

A seguir, gostaria de mostrar como você pode descobrir se o seu site está atualmente afetado por spam de SEO.

Para fazer isso, usamos a pesquisa do Google na primeira. Basta abrir uma nova guia no navegador – Importante: Use uma janela privada para isso. No navegador Chrome, isso é feito em: Arquivo> Nova janela anônima

Acesse a pesquisa do Google em e insira o URL do seu site WordPress no formato “SITE: SEU URL” .

Verifique sua página no Google para ver se há algum spam de SEO. Dê uma olhada nos resultados e veja se eles têm algum conteúdo suspeito.

Outra opção é o Google Transparency Report (https://transparencyreport.google.com/?hl=pt_BR)

A única pergunta que resta é: o que fazer se o spam de SEO for realmente descoberto?

Se você for realmente afetado, posso dizer por experiência própria que isso só é removido de forma muito imprecisa pelos plug-ins de segurança All in One clássicos do WordPress, como Sucuri Security , iThemes Security ou Workfence Security, já que o código costuma estar profundamente nos bancos de dados ou no script os arquivos estão ocultos do WordPress.

O ideal é que você tenha um backup sem estar comprometido que possa restaurar.

Se for esse o caso: tudo bem. Caso contrário, a única coisa que pode ajudar é a consulta de um especialista.

Ataques de força bruta – o problema com o login do WordPress

Com a frequência inimaginável de 4 bilhões de ataques por ano, os ataques de força bruta representam a segunda maior ameaça para os operadores de sites WordPress.

Usando bots automatizados, os hackers atacam seu site milhares de vezes em um curto espaço de tempo e tentam obter acesso ao seu back-end usando combinações de nome de usuário-senha aleatórias e frequentemente roubadas.

Na pior das hipóteses, esse ataque é bem-sucedido.

Na melhor das hipóteses, seu lado seguro resiste ao ataque, mas provavelmente entra em colapso com a carga resultante. Isso também não é bom!

A boa notícia: a proteção contra ataques de força bruta é muito mais fácil do que você imagina.

Na seção a seguir, mostrarei quatro maneiras simples de como você pode proteger seu site WordPress de ataques de força bruta e, assim, aumentar extremamente a segurança do WordPress.

Idealmente, você deve usar essas quatro opções para que os hackers realmente não tenham a menor chance.

Opção 1: Alterar seu nome de usuário padrão “Admin”

Os ataques de força bruta são como um jogo de adivinhação em que os hackers tentam adivinhar seu nome de usuário e senha. Portanto, nosso objetivo é tornar isso o mais difícil possível para os hackers.

Portanto, nunca use o nome de usuário “Admin” predefinido pelo WordPress, pois é claro que ele também é criado por padrão em todas as outras instalações do WordPress e muitas vezes não é alterado.

Para alterar o nome de usuário padrão, faça o seguinte: Usuários> Todos os usuários> Admin> Editar.

Opção 2: Limitar o número de tentativas de login

Durante um ataque de força bruta, os bots testam automaticamente milhares de combinações de nome de usuário e senha.

Plugins como Limit Login Attempts , Workfence Security ou WP Limit Login Attempts oferecem a possibilidade de evitar isso e, assim, reduzir significativamente a probabilidade de uma invasão.

Para o exemplo prático, eu uso Limit Login Attempts, já que este plugin é compatível com o GDPR, além de sua boa classificação e atualizações regulares (endereços IP são anônimos).

Recomendo que você permita 3 a 5 tentativas de login permitidas e também ative a conformidade com o GDPR.

Opção 3: Ocultar a página de login / registro

OK, parece um pouco estranho no início: tornar o WordPress seguro, ocultando a página de login do WP? Mas um login que não ocorre mais em seusite.com.br/wp-login, mas em seusite.com.br/portal-dos-usuários não parece muito mais seguro?

A medida é baseada em uma abordagem que é chamada de segurança por obscuridade no jargão técnico. A ideia por trás disso: a segurança do WordPress é aumentada obscurecendo processos funcionais, como o processo de login.

Ou seja: se o ladrão de banco nem sabe onde está a porta de acesso ao cofre, dificilmente conseguirá arrombá-la.

Segurança na obscuridade é um tópico muito controverso entre os especialistas. E também admito que a segurança do WordPress não pode ser aumentada “escondendo” partes do sistema.

No entanto, esta medida oferece duas vantagens decisivas, por isso eu a recomendaria a você:

Como já mencionado, os ataques de força bruta podem paralisar o seu site em grandes números. Ao alterar a página de login do WP, os bots fracos não conseguem encontrá-la em primeiro lugar.

O sentimento subjetivo de segurança é aumentado. Uma vantagem, especialmente se você for o webmaster de um site WordPress ao qual várias pessoas têm acesso.

A segurança por meio de medidas de obscurecimento como essas só faz sentido se forem incorporadas a uma rede de vários mecanismos de segurança. Eles são praticamente inúteis quando estão sozinhos!

A propósito: esta função de segurança “padrão” é dominada por todos os plug-ins de segurança All in One WordPress populares, que apresentarei a você com mais detalhes posteriormente.

Aqueles que preferem a medida individual podem usar o plug-in WPS Hide Login.

Com WPS Hide Login você altera o URL de acesso ao backend do WordPress

Em Configurações> WPS Ocultar Login , você pode fazer suas configurações individuais após a instalação e adaptar a página de login às suas idéias.

Opção 4: autenticação de dois fatores

Uma quarta possibilidade, que gostaria de apresentar a você aqui, talvez já seja familiar para você que usa o banco on-line e também dê uma contribuição significativa para a proteção contra hackers: a autenticação de dois fatores.

A ideia por trás disso é que, além do nome de usuário e senha, uma confirmação independente adicional é necessária para um login bem-sucedido. O ganho adicional em segurança é obtido por meio da necessidade de um código de confirmação adicional.

Normalmente, um código numérico limitado no tempo é usado, o qual é gerado por meio de outro método independente (por exemplo, smartphone).

Para tornar seu site WordPress adequado para autenticação de dois fatores, a primeira etapa é instalar o aplicativo “Google Authenticator” em seu smartphone ou tablet.

A próxima etapa é instalar o plugin WordPress apropriado, o plug-in Google Authenticator do miniOrange.

Após a instalação e ativação, um código QR é gerado, que você pode digitalizar com o aplicativo em seu smartphone.

Após a conexão bem-sucedida, o aplicativo Google Authenticator gera um novo código de segurança a cada 30 segundos.

Se você visitar sua página de login, notará imediatamente que, além do nome de usuário e da senha, a nova linha “Código do Google Authenticator” foi adicionada. A partir de agora, um código também deve ser inserido ao fazer o login.

No futuro, você também precisará de seu smartphone para fazer login para gerar o código de tempo limitado usando o aplicativo e inseri-lo na área de login de acordo.

Neste ponto, também deve ser observado que alguns plug-ins de segurança All in One WordPress, como o Wordfence, oferecem um serviço semelhante.

O plug-in de segurança do WordPress

Existem inúmeros plugins que combinam muitas funções diferentes na área de segurança do WordPress e os tornam disponíveis de forma centralizada.

Eu gostaria de apresentar a vocês os quatro representantes mais conhecidos e melhores para manter seu site sempre seguro.

Atenção: Alguns desses plug-ins coletam e salvam dados pessoais, como o endereço IP – possivelmente até mesmo em servidores externos. Isso nem sempre é compatível com o LGPD e você definitivamente deve verificar isso com antecedência!

Wordfence

Como já foi mencionado várias vezes neste post, gostaria de apresentar- lhes primeiro o Wordfence Security , que, com mais de 3 milhões de downloads até agora, é um dos plug-ins mais populares do WordPress por excelência. O plugin Wordfence é uma solução popular para aumentar a segurança do WordPress.

O plugin oferece números impressionantes: quase 4 bilhões de ataques bloqueados e quase 100.000 endereços IP bloqueados de invasores em 30 dias. Esses números deixam claro novamente a importância da proteção do seu site WordPress.

O Wordfence oferece números e estatísticas impressionantes e funciona de forma muito confiável. O Wordfence já possui recursos de segurança impressionantes na versão gratuita.

Estes incluem, entre outros:

  •   Autenticação de dois fatores
  •   Proteção da área de login contra ataques de força bruta
  •   Um firewall que verifica todas as solicitações do site.

Um recurso especial é a verificação de malware, que após a instalação verifica seu site em busca de malware já instalado e fecha possíveis backdoors. A segurança do WordPress aumenta consideravelmente após a instalação.

 Sucuri

Sucuri Inc. é uma das empresas mais conhecidas na área de segurança WordPress. Além do serviço antivírus, a empresa oferece um firewall adaptado para WordPress.

O plug-in de segurança Sucuri é uma solução de segurança popular para WordPress. Com mais de 700.000 instalações ativas, o plugin do WordPress também é muito popular.

No entanto, deve-se dizer aqui: embora esteja disponível uma versão gratuita que oferece alguns recursos básicos de segurança, a Sucuri é voltada principalmente para usuários profissionais e administradores.

iThemes

Um plug-in que eu recomendo especialmente para iniciantes e usuários inexperientes é o iThemes Security.

O plugin de segurança iThemes ajuda você a tornar seu WordPress mais seguro.

Após apenas alguns cliques nas configurações claramente estruturadas, você tem proteção (gratuita) contra ataques de força bruta, backdoors e execuções PHP não autorizadas.

Na versão premium do iThemes Pro, recursos como autenticação de dois fatores, verificação de malware e registro do usuário completam a oferta.

Cerber

O último plug-in de segurança que eu gostaria de apresentar a vocês aqui é chamado Cerber Security . O Cerber Security pode ser recomendado para todos os operadores de loja, pois há muitas funções adicionais no plug-in.

O plugin com o logotipo Dobermann não só convence mais de 100.000 usuários por ano, mas também oferece uma ampla gama de funções. Com funções como limitar as tentativas de login, redirecionar a URL de login e proteção anti-spam + força bruta, este plugin é uma das soluções mais abrangentes.

Conclusão – Quais são as medidas mais importantes para tornar o WordPress seguro?

– Use senhas fortes

– Mantenha seu site WordPress, plug-ins e temas atualizados

– Use plug-ins de segurança WordPress (proteção contra ataques de força bruta, spam, malware)

Qual é o melhor plugin de segurança do WordPress?

Isso depende do uso pretendido e de seu conhecimento. Para todos os iniciantes e não especialistas, eu recomendo o Wordfence. Os proprietários das lojas devem dar uma olhada mais de perto na Cerber Security. No entanto, se você dirige uma empresa profissional e a segurança é fundamental, dê uma olhada na solução da Sucuri.

 

Veja também