A segurança do WordPress está na mente de muitos proprietários de sites. O WordPress tem um script de código aberto, então, naturalmente, todos estão preocupados que seja vulnerável a ataques de todos os tipos. No entanto, o WordPress não é inerentemente vulnerável, e há muitas etapas que você pode seguir para proteger o WordPress.
No final das contas, o proprietário do site geralmente é mais responsável pelos hacks do que a plataforma. Acontece que você tem muito a dizer sobre como tornar seu site WordPress seguro. Aqui estão algumas dicas e truques para ajudá-lo a descobrir como proteger seu site no WordPress.
Criar um bloqueio de site e banir usuários
A criação de um recurso de bloqueio para tentativas repetidas de login com falha ajudará a impedir que possíveis hackers façam tentativas contínuas de força bruta que eventualmente sejam bem-sucedidas. Qualquer tentativa de hacking que use repetidamente senhas longas e repetitivas bloqueia o site e você será notificado sobre atividades não autorizadas. Isso bloqueará muitos hackers imediatamente.
Uma das maneiras de aumentar a segurança do WordPress contra esse tipo de tentativa de hacking é o plugin iThemes Security. Tem sido ótimo por um longo tempo, sem nenhum sinal de desaceleração. Ele oferece a opção de especificar quantas tentativas de login com falha um usuário tem antes que o plug-in bane seu endereço IP e o alerte.
Use métodos de autenticação de 2 fatores
A autenticação de dois fatores (SFA) é uma das muitas práticas recomendadas de segurança do WordPress. Ele solicita que o usuário forneça detalhes de login para dois componentes de enchente. Como proprietário do site, você pode decidir quais são esses dois componentes. Pode ser uma senha normal seguida de um código secreto, uma pergunta secreta, um conjunto de caracteres, um CAPTCHA e assim por diante.
Muitos proprietários de sites preferem o método 2FA para proteger seu site. O Google Authenticator é um bom plugin para incluir 2FA em seu site. É, como acontece com muitos plugins do Google, confiável e atualizado com frequência.
Use e-mail como o nome de usuário de login
O padrão para a maioria dos sites pede um nome de usuário para fazer login. Para aumentar a segurança do WordPress, use um ID de e-mail em vez de um nome de usuário. É uma abordagem mais segura. Os nomes de usuário são fáceis para os hackers preverem. E-mails não são tão fáceis de prever. Além disso, as contas de usuário do WordPress devem ser criadas usando um endereço de e-mail exclusivo, o que as torna um identificador mais válido.
Um bom plugin para aumentar a segurança do WordPress dessa forma é o WP Email Login. Funciona logo após a instalação. Basta ativá-lo e ir. Nenhuma configuração necessária. Se você quiser testá-lo, basta sair do seu site e fazer login novamente usando o endereço de e-mail com o qual você criou a conta.
Renomeie seu URL de login
É muito fácil alterar sua URL de login. O login padrão do WordPress é fácil de acessar via wp-login.php ou wp-admin adicionado ao URL principal do seu site. Quando os hackers sabem o URL direto da página de login, eles geralmente tentam forçar o acesso ao seu site. Eles então tentarão fazer login com seu Guess Work Database (GWDb), um banco de dados de nomes de usuários e senhas adivinhados que contém milhões de combinações de caracteres. Os hackers acham fácil fazer isso. É grosseiro, é simples, mas muitas vezes é eficaz.
Se você seguiu todas as etapas detalhadas acima, já restringiu o número de tentativas de login do usuário e trocou nomes de usuário por identificação de e-mail. Ao alterar o URL além dessas duas medidas de segurança do WordPress, você se livrará de 99% dos ataques diretos de força bruta. Isso fará muito para afastar o tipo mais comum de hacker do WordPress.
Tudo o que você precisa fazer para restringir o acesso de entidades não autorizadas à página de login é usar o plug-in iThemes Security para fazer isso:
- Altere wp-login.php para algo único; por exemplo, meu_novo_login
- Altere /wp-admin/ para algo único; por exemplo, meu_novo_admin
- Altere /wp-login.php?action=register para algo único
Use um host de boa qualidade
Seu host é muito parecido com a rua do seu site na internet. Como os endereços de rua na vida real, a qualidade da rua pode afetar o tipo de tráfego que ela vê.
Um bom host afetará a confiabilidade do seu site, o desempenho, o tamanho e até mesmo a classificação nos mecanismos de pesquisa. Hosts realmente ótimos oferecem aos proprietários de sites muitos recursos úteis, incluindo bom suporte e serviços adaptados à plataforma escolhida pelo proprietário.
Procure hosts que atualizam frequentemente seus serviços, softwares e ferramentas de forma regular, quase constante. Ele também deve responder às ameaças mais recentes e eliminar rapidamente possíveis violações de segurança. Um host da Web deve oferecer recursos de segurança direcionados, como certificados SSL/TLS e proteção contra DDoS. Você deve ter acesso a um Web Application Firewall (WAF) para ajudar a monitorar e bloquear ameaças sérias ao site WordPress.
Um bom host também provavelmente fornecerá uma maneira de fazer backup do seu site. Em alguns casos, eles até fazem o backup para você. Isso permitirá que você reverta para a versão estável anterior se seu site for invadido. Eles devem oferecer suporte confiável 24 horas por dia, 7 dias por semana, para que você sempre possa entrar em contato com um especialista para ajudar com problemas de segurança.
Mude seu site para HTTPS
Com um certificado SSL/TLS, você pode mudar seu site WordPress para HyperText Transfer Protocol Secure (HTTPS), que é uma versão mais segura do HTTP. Esta é uma ótima maneira de aumentar a segurança do WordPress.
HTTP é o protocolo que transfere dados entre um site e um navegador que tenta acessá-lo. Sempre que um visitante marca o relógio em sua página, todas as constantes, mídias e códigos são enviados por meio desse protocolo para o local do visitante. Isso é necessário, mas também cria problemas de segurança.
Com HTTPS, esse problema é resolvido. Ele faz a mesma coisa que o HTTP, mas também criptografa os dados do site enquanto viaja de um lugar para outro. Começou como algo que era usado para proteger informações confidenciais de clientes, como detalhes de cartão de crédito, mas tornou-se cada vez mais comum em todos os tipos de sites.
Quando você muda para HTTPS, os clientes terão alta confiança para lidar com seu site. Recomenda-se ter um SSL de marcas autenticadas como Comodo, Thawte, GlobalSign, etc. Se você tiver um site de domínio único, recomendamos ter um certificado Comodo PositiveSSL da Comodo ou qualquer outro SSL de domínio único das marcas discutidas. Ele protegerá as transações online entre o servidor e o navegador.
Considerações finais sobre a segurança do WordPress
Essas dicas de segurança do WordPress ajudarão você a garantir que todo o trabalho que você colocou em seu site não seja perdido em um hack. Ele vai incentivar as pessoas a visitar e ver o que você tem a oferecer.
Se você gostou de ler este artigo sobre segurança do WordPress, confira este sobre o plugin SSL do WordPress.
Também escrevemos sobre alguns assuntos relacionados, como plugins de scanner de malware e sais do WordPress.