Você está se perguntando por que publicamos uma lista de verificação de segurança do WordPress se outros blogueiros já fizeram isso excepcionalmente bem antes?
A verdade chocante é que o usuário médio do WordPress não se preocupa muito com segurança e os hackers se concentram nas vulnerabilidades do WordPress. 70% de todos os sites WordPress no Alexa Top 1.000.000 são vulneráveis a ataques de hackers. Mesmo os grandes nomes não prestam a atenção necessária à segurança.
Proteger um site requer tempo e recursos, mas certamente compensa no longo prazo. Valorizamos o seu tempo e entendemos por que você pode negligenciar a segurança do seu site de vez em quando.
A singularidade desta lista de verificação é que ela condensa dicas valiosas em um formato conciso e digerível. Use-o periodicamente e você fortalecerá consideravelmente a segurança do seu site.
Faça backup regularmente
Seu site não será mais seguro se você tiver uma cópia recente dele. Mas um backup recente oferece a tranquilidade necessária quando você trabalha para melhorar a segurança do site.
Muito mais, uma cópia do site vale a pena quando seu site está infectado com malware.
Não faltam ótimos plug-ins de backup, e alguns deles são gratuitos. UpDraftPlus , Duplicator e BackWPUp são ótimos plug-ins que permitem agendar backups automáticos, salvar seus backups em vários locais remotos e restaurar seu site com facilidade.
Tempo estimado
Instalar, ativar e configurar um plugin de backup leva 10 minutos. Você também deve verificar periodicamente a integridade das cópias.
Instale um plugin de segurança
Um plugin de segurança robusto é o melhor amigo de um administrador de site completo. Felizmente, assim como os plug-ins de backup, os usuários têm à sua disposição vários plug-ins de segurança, e milhões de usuários satisfeitos testaram alguns deles.
Acho difícil acreditar que você não encontrará um plugin de segurança satisfatório. Wordfence , All In One WP Security & Firewall e iThemes Security são plug-ins que merecem totalmente sua atenção.
As ações mais críticas de um plugin de segurança são:
- Verificando os arquivos do site contra malware
- Verificando os arquivos contra vulnerabilidades de segurança
- Bloqueio de usuários por IP ou por país
- Lista de permissões e lista negra de IPs.
Tempo estimado
Instalar, ativar e configurar um plugin de segurança leva 20 minutos. Observe que a maioria dos plug-ins de segurança vem repleta de muitos recursos. Verifique todos os recursos para garantir a consolidação da segurança do site.
Audite sua hospedagem, temas e plug-ins
Esta sugestão é frequentemente ignorada até mesmo por especialistas e blogueiros preocupados com a segurança. A ignorância deles ocorre porque você raramente precisa auditar seu provedor de hospedagem, temas e plug-ins. Não cometa o mesmo erro!
Seu provedor de hospedagem é fundamental para a segurança e o desempenho do seu site. Considere o seu provedor de hospedagem como a base do seu site. Você não pode construir um site robusto sobre uma base fraca.
Escolha um fornecedor que utilize as tecnologias mais recentes e garanta um ambiente seguro. Você pode ficar tentado a economizar dinheiro usando um fornecedor barato, e isso é compreensível. No entanto, a longo prazo, um bom provedor de hospedagem é melhor porque seus arquivos estarão protegidos. Além disso, a hospedagem é responsável pela velocidade de carregamento. É óbvio como a velocidade é vital.
Espere ter malware e vulnerabilidades se você usar um tema ou plug-ins de fornecedores duvidosos. Desinstale qualquer coisa que levante um ponto de interrogação. Instale temas e plug-ins apenas do repositório do WordPress ou de fontes confiáveis.
Tempo estimado
30–45 minutos são suficientes para avaliar seu provedor de hospedagem, tema e plug-ins.
Fortaleça as senhas dos usuários
Esta é uma dica inútil apresentada apenas para escrever mais? Infelizmente, não é! Senhas fracas são responsáveis por 81% das violações de dados de empresas . Portanto, redefinir as senhas de todos os usuários e solicitar que usem credenciais mais complexas é uma boa ideia.
Alguns plug-ins de segurança forçam os usuários a usar senhas complexas; portanto, mais uma vez, um plug-in faz o trabalho braçal para você.
Tempo estimado
Depende da complexidade do site, mas redefinir as senhas e enviar um e-mail aos usuários sobre sua intenção deve levar de 15 a 20 minutos. Adicione mais cinco minutos para configurar um plugin de segurança para solicitar senhas complexas.
Mantenha tudo atualizado
Um exército de desenvolvedores talentosos faz o possível para tornar o WordPress um ambiente continuamente mais seguro. Por outro lado, um exército maior de hackers qualificados tenta de tudo para identificar uma vulnerabilidade no núcleo do WordPress, ou em um plugin, ou tema.
Nada feito pelo homem é perfeito, então cada produto pode ser hackeado até certo ponto. Sim, os hackers podem invadir seu site mesmo se você atualizar tudo. Mas você agiliza o trabalho deles usando versões antigas do núcleo, temas e plug-ins do WordPress.
Tempo estimado
De vez em quando, leva menos de um minuto para atualizar essas coisas. Ajuda a economizar tempo usando um serviço como o ManageWP.
Remova tudo que não estiver em uso
Cada tema ou plugin instalado, mas não usado, é uma vulnerabilidade adicional do ponto de vista da segurança. Vá para o seu painel e veja os plug-ins e temas que você não usou. Remova-os para melhorar a segurança do seu site.
Bônus: ao remover esses elementos não utilizados, seu site carregará mais rápido!
Tempo estimado – Demora cerca de um minuto para remover temas e plug-ins não utilizados.
Gerenciamento de usuários
Quanto mais privilégios os usuários tiverem, mais inseguro será o site. De tempos em tempos, audite os usuários e determine suas funções. Por exemplo, não crie uma conta de editor para um usuário que é responsável apenas pela elaboração de conteúdos.
Verifique este guia do WPBeginner sobre funções e permissões de usuário do WordPress antes de agir.
Tempo estimado
Depende da complexidade do site e do número de contas criadas. Mas leva cerca de 15 minutos para avaliar a função de cada usuário e limitar os privilégios, se necessário.
Desabilitar edição de arquivo
Essa dica é mais impactante em sites com grande número de usuários. O editor integrado permite que os usuários (dependendo de suas funções) editem o tema e os plug-ins diretamente do painel do WordPress. No entanto, é uma faca de dois gumes.
Na verdade, não tem preço quando você precisa ajustar o código, mas é uma enorme vulnerabilidade. Depende muito das habilidades dos usuários, mas eles podem adicionar (voluntariamente ou não) malware ou trechos de código furtivos ou até mesmo travar seu site. Nunca subestime o poder da falta de um ponto e vírgula!
A melhor solução é desabilitar a edição de arquivos. Você desiste do conforto de alterar o código diretamente no painel. Mas você pode ter certeza de que pessoas não treinadas não alterarão o código.
É muito simples desabilitar a edição de arquivos. Insira esta linha de código no arquivo do seu site
define('DISALLOW_FILE_EDIT', verdadeiro);
Exclua esta linha de código se desejar habilitar a edição de arquivos.
Tempo estimado
Leva de um a cinco minutos, dependendo de suas habilidades.
Configuraremos isso para você quando configurarmos o plugin de segurança premium que fornecemos gratuitamente para todos os nossos clientes.
Limitar tentativas de login
Em essência, os ataques de força bruta ocorrem quando um hacker tenta adivinhar as credenciais do seu site. Adivinhar as credenciais corretas é quase impossível digitando manualmente nomes de usuário e senhas. Mas tornou-se viável ao usar um software. Ele tenta milhares de combinações em apenas um segundo.
Você pode adicionar outra camada de segurança ao seu site, limitando o número de tentativas de login. É simples: instale e ative um plugin. Limit Login Attempts Reloaded e WP Limit Login Attempts são dois plug-ins que foram experimentados e testados por milhares de usuários satisfeitos.
Tempo estimado – Demora dez minutos para configurar um plugin que limita as tentativas de login.
Configuraremos isso para você quando configurarmos o plugin de segurança premium que fornecemos gratuitamente para todos os nossos clientes.
Concluindo
Não existe um site 100% inviolável, mas aplicar as dicas acima é suficiente para proteger seu site de forma significativa.
Claro, esta lista de verificação não é exclusiva. Existem muitas outras maneiras de proteger seu site. Por exemplo, usuários experientes poderiam inserir alguns trechos de código para tornar o site impenetrável a ataques de hackers.
Você está interessado em aprender dicas de segurança mais avançadas? Informe-nos e publicaremos um guia de segurança para usuários avançados.
Deixe uma resposta