Lista de verificação de segurança do WordPress: 17 pontos válidos

Proteger o seu site é uma questão importante, assim como proteger a sua casa, por isso criamos esta lista de verificação de segurança do WordPress. Os crimes cibernéticos estão acontecendo com mais frequência hoje em dia. Roubo de informações pessoais e posterior venda ou chantagem, roubo de informações de sites para fins de chantagem e muito mais. Você definitivamente não quer que isso aconteça com o seu site. Para evitar isso, você precisa ficar constantemente de olho na sua segurança.

Lista de verificação de segurança do WordPress

Forneceremos várias maneiras de proteger seu site. Na verdade, você pode aplicar várias possibilidades em uma e tornar o site mais protegido.

1. Boa hospedagem

O primeiro passo para proteger o seu site é a hospedagem, que é a coisa mais importante nesta lista de verificação de segurança do WordPress. A hospedagem compartilhada é mais vulnerável, pois seu site pode ser hackeado mesmo que o ataque seja realizado contra algum outro site nesse servidor. Servidores dedicados ou gerenciados são melhores deste ponto de vista. Esses servidores armazenam apenas o seu site e o nível de medidas de segurança é bastante alto. Mas isso não significa que você não deva adicionar sua própria proteção. Isso significa que será difícil hackear o servidor, não o seu site. Nós escolhemos a dedo as melhores empresas de hospedagem gerenciada WordPress.

2. Atualizações do núcleo, plugin e tema do WordPress

WordPress é uma plataforma em constante desenvolvimento, assim como seus elementos. Portanto é natural que novas versões sejam lançadas. Essas novas versões conterão atualizações, correções de bugs e muito mais. Obviamente, é impossível remover e consertar todas as peças problemáticas de uma só vez. Mas os desenvolvedores de todo o mundo estão fazendo o possível para diminuí-los. É por isso que versões mais recentes desses elementos estão sendo lançadas. Novas versões evitam que seu site deixe loops nos quais os hackers possam entrar. Preparamos nossos próprios guias – como atualizar plug-ins do WordPress, como atualizar o núcleo do WordPress e como atualizar o tema WordPress.

3. Vários níveis de segurança

Uma senha não é a melhor proteção que você pode ter; na verdade, é o nível mais básico do que pode existir. É possível definir diferentes variações de proteções multicamadas, cabe a você escolher a que deseja. O mais popular é a autenticação, existem vários programas que fornecem um código que muda a cada minuto ou dois. Se você não conseguir preenchê-lo neste intervalo de tempo você não fará o login. Confira nosso guia para iniciantes em segurança do WordPress.

4. Plug-in de segurança WP

Os plug-ins de segurança do WordPress são complementos úteis. Eles fornecem informações valiosas na forma de um relatório que mostrará se o seu site está indo bem. As informações neste relatório são fornecidas por verificação, ele verifica seu site para detectar qualquer malware ou vírus. Se o site estiver sendo hackeado ou se for detectado algum malware, ele enviará um alarme para a empresa que mantém o seu site. Há uma grande variedade desses plug-ins, cabe a você decidir qual comprar. Recomendamos usar iThemes Security or Wordfence.

5. Senha forte e alteração de senha ao longo do tempo

É altamente recomendável definir uma senha forte desde a primeira vez. Isso diminuirá as chances de alguém fazer login como administrador e excluir todos os dados ou configurar algum software malware para roubar as informações que serão inseridas. Além disso, é uma boa ideia definir uma solicitação de alteração de senha para um plugin de período extra, como o iThemes Security. Este plugin solicitará que você altere sua senha após o período definido.

6. Certificado SSL

Este certificado é necessário se o seu site for uma loja online. Ter este certificado significa que o seu site corresponde aos requisitos definidos. Isso prova aos seus clientes que o site está protegido e seus dados estão seguros. Ninguém quer que outra pessoa tenha acesso ao seu cartão de crédito ou conta bancária.

7. Limite de tentativas de login

Para evitar que as contas do administrador do seu site ou dos visitantes do site sejam hackeadas, é aconselhável limitar as tentativas de login. Esta ação estabelecerá um limite após o qual a conta será suspensa por algum tempo, não permitindo o login. Além disso, a boa ideia é definir uma notificação automática por e-mail que será enviada em nome das tentativas de login malsucedidas.

8. Verificação de dois fatores

Este método é uma forma muito comum de proteger seu site. Ele usa um aplicativo de verificação, que geralmente gera códigos que mudam a cada 1-3 minutos, dependendo do aplicativo e da verificação que você está usando. Você será solicitado a fornecê-lo após digitar seu login e senha. Você será solicitado a anotar o código que está sendo exibido no momento em seu aplicativo de autenticação. Se você não mencionar o login antes que o código seja alterado, você precisará inserir o novo código que apareceu.

9. Não use temas ou plug-ins anulados

Temas e plugins nulos geralmente são elementos premium, que têm seus recursos de direitos autorais removidos. Esses elementos não têm suporte de seu desenvolvedor, então quando houver uma atualização você não a receberá. Isso significa que você não receberá nenhum bug ou correção de segurança que resulte em uma grande possibilidade de seu site ser hackeado. Além disso, você não poderá atualizar o núcleo do WordPress.

Vamos continuar com nossa lista de verificação de segurança do WP:

10. Habilite um firewall de aplicativo da Web

WAF (Web Application Firewall) é uma das maneiras mais rápidas de proteger seu site. Ele adiciona vários elementos de segurança contra várias ameaças conhecidas e desconhecidas. Existem dois tipos de WAF:

1. Hospedado- é um plugin instalado diretamente no WordPress. As solicitações são examinadas, protegidas e bloqueadas após chegarem às solicitações ao servidor web.
2. Baseado em nuvem – o provedor de segurança baseado em nuvem protege um site. Isso fica fora da sua infraestrutura de hospedagem, na borda da rede.

11. Mude seu site para HTTPS

HTTP é o método de como os dados são transformados na internet. Você pode vê-lo no início de cada site. Além disso, é muito fácil hackear os dados que estão sendo transferidos. Se você está enviando dados cruciais, isso realmente importa, não é? para eliminar a possibilidade de hacking, é recomendável mudar de http para https. Para poder fazer isso, você precisa obter um certificado SSL. O certificado SSL criptografará os dados que estão sendo transmitidos.

12. Senha do link mágico

Este método de proteção é utilizado principalmente apenas no cadastro, mas mesmo assim é possível utilizá-lo no login. Após o cadastro, ele solicita que você escreva uma chave específica, senha, que foi enviada para seu e-mail para validar que você não está um bot. Pelo contrário, alguns sites ainda o utilizam quando os visitantes fazem login. Eles são solicitados a fornecer a chave, que foi enviada para o e-mail cadastrado. Isso é feito para garantir que é o proprietário da conta que está fazendo login.

13. Alteração do URL de login do WP

Sem alterar o URL de login do WP, você corre o risco de que, no momento em que alguém tentar invadir o seu site, seja como uma porta aberta. Esta é a principal coisa que você precisa fazer sempre que considerar ter um site: alteração direta da URL de login do WordPress.

14. Altere os nomes das pastas principais wp-content, wp-includes, wp-admin

Para poder alterar os nomes das pastas mais importantes, você precisará instalar um plugin que permitirá fazer isso. Você precisa fazer isso para tornar mais difícil entender qual pasta é importante no site. Ele contém todos os temas, plugins e arquivos de mídia. Após renomear essas pastas, elas deverão permanecer no mesmo diretório, se você movê-las para outro diretório, seu site irá travar. Então lembre-se deste assunto importante.

15. Proteja wp-config.php via arquivo .htaccess

Este arquivo contém as informações mais importantes sobre o seu site. Ele armazena todas as conexões de segurança ou de banco de dados. Você definitivamente não quer que este arquivo caia nas mãos de alguém. Esta é a possibilidade mais fácil de protegê-lo:

1. Conecte-se ao seu site usando o cliente FTP.
2. Baixe o arquivo .htaccess.
3. Abra-o usando o bloco de notas ou outro editor de texto.
4. Copie o texto abaixo:
   # protect wpconfig.php
   <files wp-config.php>
   order allow,deny
   deny from all
   </files>
5. Salve-o com a função “Salvar como” para que não obtenha a extensão .txt.
6. Carregue .htaccess de volta para a raiz do seu site.

16. Desative a edição de arquivos

Se você não é o único com direitos de administrador e outra parte não deve fazer nenhuma codificação. É melhor desabilitar a edição de temas e plugins, para evitar quaisquer alterações inesperadas causadas por eles. Essas alterações aplicadas por eles podem travar todo o site ou instalar malware. Uma maneira sobre a qual falaremos é usando um plugin. A segurança do iThemes é um dos plugins que fornece esses serviços. Depois de instalar este plugin vá para Segurança -> Configurações. A partir daí, vá para WordPress Tweaks. Lá você encontrará a caixa de seleção Desativar editor de arquivo, marque e pressione o botão Salvar configurações. Isso é tudo, você protegeu seu site contra edições indesejadas de arquivos.

17. Faça backup do seu site regularmente

A última e mais lógica maneira de proteger seu site é criar backups constantes. É aconselhável fazer vários backups de uma vez e armazená-los em locais diferentes. O backup é o seu melhor amigo caso algo aconteça com o seu site.

Resumindo

Há muitas maneiras de proteger seu site, as mais importantes estão nesta lista de verificação de segurança do WordPress. Quanto mais deles você tiver, melhor será para você e sua empresa no futuro. Além disso, você deve se lembrar que se não for hackeado hoje, nunca o será no futuro. Gastar algum dinheiro na segurança do seu site economizará mais e possibilitará dormir bem à noite. Esperamos que as formas que descrevemos o encorajem a melhorar a proteção do seu site.