Como proteger seu site WordPress de hackers

Como proteger meu site WordPress de hackers? Se esta é uma pergunta que você se pergunta com muita frequência, você não está sozinho. Graças à popularidade da plataforma WordPress, os sites WordPress estão sempre em maior risco de ataques e hacks. Felizmente, existem maneiras testadas e confiáveis ​​de proteger sites WordPress de hackers . E não, você não precisa ser um especialista em WordPress para aplicá-los em seu site.

Neste artigo, compartilhamos com você 14 etapas que você pode seguir para proteger seu site WordPress contra hackers. Vamos começar.

Como proteger um site WordPress de hackers?

Não importa o tamanho ou o domínio do seu site, nenhum site está a salvo de hackers que estão sempre procurando maneiras de espalhar sua rede maliciosa na Internet. Seja implantando scripts automatizados para 'rastrear' seu site WordPress e detectar quaisquer vulnerabilidades, ou usando-os para obter acesso à sua conta WordPress, nenhuma parte do seu site está protegida contra hackers.

A proteção do WordPress contra hackers significa essencialmente proteger cada parte do seu site contra malware, ataques de força bruta e outras ameaças. As 14 medidas de segurança que estamos prestes a compartilhar oferecem uma base sólida para que você possa fazer exatamente isso:

1. Use um host seguro da Web

Um servidor e ambiente de hospedagem seguro é um elemento crítico para proteger seu site WordPress. Certifique-se de que sua empresa de hospedagem priorize manter seus sites hospedados protegidos contra hacks por meio de serviços como backups regulares, proteção de firewall e verificação de malware.

Se você estiver hospedado em um host compartilhado, considere migrar para um host de nuvem ou host gerenciado que forneça maior garantia de um ambiente seguro.

2. Use senhas fortes

Senhas fortes são provavelmente a medida mais fácil para proteger o WordPress de hackers e impedir ataques de força bruta. Evite estritamente o uso de senhas como “123456” ou “senha” que são fáceis de adivinhar. Em vez disso, certifique-se de que cada senha tenha pelo menos 10 a 12 caracteres e contenha uma mistura de letras, números e caracteres especiais.

Se você tiver muitos usuários, poderá usar ferramentas de gerenciamento de senhas como 1Password ou LastPass para gerar e armazenar automaticamente senhas mais fortes para cada usuário.

3. Ative a autenticação de dois fatores (2FA)

Embora credenciais de login fortes sejam sempre eficazes para interromper ataques de força bruta, uma camada extra de proteção de página de login está disponível usando a autenticação de dois fatores (ou 2FA). Essa medida garante que, mesmo que usuários 'mal-intencionados' possam adivinhar as credenciais de login corretas, eles também precisam inserir o código de verificação correto, que é enviado apenas para o dispositivo do usuário 'genuíno'.

Para implementar o 2FA, tudo o que você precisa fazer é instalar e ativar um plug-in 2FA como o Google Authenticator.

4. Limite as tentativas de login

Para obter sucesso na entrada da conta, os ataques de força bruta fazem repetidas tentativas de adivinhar as credenciais corretas do usuário. Por padrão, os sites WordPress permitem um número ilimitado de tentativas de login. No entanto, isso não deve impedi-lo de limitar o número de tentativas de login a 3 ou 4.

Tudo o que você precisa é instalar a ferramenta CAPTCHA que exibe a tela CAPTCHA após várias tentativas de login com falha. Essa ferramenta também é eficaz para determinar se um usuário 'humano' ou um 'bot' está tentando acessar a conta de login.

5. Altere seu nome de usuário padrão “admin ”

Para facilitar a usabilidade, o WordPress atribui inicialmente um administrador padrão para cada nova conta do WordPress. Este administrador é útil na fase inicial para configurar seu site WordPress e criar usuários adicionais. No entanto, usar o nome de usuário “admin” tem sua parcela de problemas de segurança.

Para dificultar os ataques de força bruta, altere esse nome de usuário para um nome de usuário mais exclusivo que seja difícil de adivinhar. A melhor maneira é criar um novo administrador (com um nome de usuário mais forte) e remover o usuário “admin” padrão.

6. Mantenha seu núcleo, plugins, temas atualizados

A maioria das vulnerabilidades do WordPress é resultado de uma versão desatualizada do Core WordPress ou de plugins e temas instalados. Os hackers procuram constantemente versões de software mais antigas, que podem explorar a seu favor. A melhor proteção contra hackers é manter seu site WordPress atualizado para a versão mais recente.

Você pode aplicar atualizações regulares da conta de hospedagem do WordPress – ou habilitar atualizações automáticas. Há um benefício adicional em manter seu site atualizado. A maioria das atualizações de temas e plugins do WordPress contém melhorias de velocidade e desempenho que podem tornar seu site WordPress mais rápido e suave.

7. Faça backup regularmente do seu site

Embora não seja estritamente uma medida de segurança que possa proteger o WordPress contra hackers , uma estratégia sólida de backup e restauração permite minimizar o tempo de inatividade e a perda de receita. Se você executar um site de comércio eletrônico, um backup garante que você não corra o risco de inatividade ou perda de registros ou transações de clientes.

Embora você possa fazer backups manuais dos arquivos principais do site e do banco de dados, usar um plug-in de backup do WordPress como BlogVault ou BackupBuddy pode liberar seu tempo, pois eles automatizam e agendam todo o processo de backup. Se vocês

8. Adicione um certificado SSL

Ao adicionar um certificado SSL ao seu site, você essencialmente migra seu site para o protocolo HTTP seguro (ou HTTPS) do protocolo HTTP menos favorecido. O HTTPS criptografa todos os dados transmitidos entre seu site e seu usuário para a segurança deles e a sua.

Como você pode migrar para HTTPS? Adicione um certificado SSL, que pode ser obtido de sua empresa de hospedagem na web ou usando um plugin SSL como Let's Encrypt.

9. Desative a edição de arquivos

Com o editor de arquivos do WordPress, os hackers podem obter o controle do site e executar código PHP 'prejudicial' no site. Isso pode ser uma ameaça à segurança quando uma conta de administrador é comprometida. A melhor solução é desabilitar a edição de arquivos adicionando o seguinte código ao arquivo wp-config.php do seu sistema WordPress:

 define( 'DISALLOW_FILE_EDIT', true );

10. Restringir o acesso ao site e as funções do usuário

O acesso irrestrito ao site para todos os usuários pode ser um grande risco do WordPress – principalmente para o painel do administrador. A parte boa é que agora você pode restringir o acesso a páginas da Web selecionadas com base nas funções do usuário. Para fazer isso, você precisa instalar o plug-in “Restrict Content Pro” e configurar as páginas onde deseja acesso limitado ao usuário.

11. Desative a navegação no diretório

Os hackers usam o recurso de navegação de diretório do WordPress para encontrar arquivos que possam ter vulnerabilidades. Além disso, esse recurso pode ser usado para copiar seus arquivos do WordPress ou descobrir mais sobre a estrutura de pastas. A melhor solução é desabilitar a navegação no diretório para que não seja mal utilizada por hackers. Isso pode ser feito adicionando a seguinte linha de código no final do arquivo .htaccess na pasta de instalação:

Opções - Índices

12. Desabilite a execução do PHP.

Por sua vez, os hackers podem inserir código de malware e executá-lo usando arquivos PHP. Você pode melhorar a segurança do seu site WordPress desabilitando a execução de seus arquivos PHP. Para desabilitar a execução do PHP, abra o arquivo .htaccess na pasta “uploads” da sua instalação do WordPress e adicione o seguinte código:

 <Files *.php> deny from all </Files>

13. Use um plug-in de segurança do WordPress

Embora as etapas descritas até agora façam um ótimo trabalho para protegê-lo contra ameaças conhecidas, pode ser difícil acompanhar os hackers e suas formas inovadoras. Uma das maneiras mais eficazes de proteger seu site contra ataques ainda desconhecidos ou raros, ou mesmo vários tipos de malware, é investir em um plugin WordPress dedicado para segurança.

Plugins de segurança do WordPress como MalCare e Wordfence podem detectar malware ainda menos conhecido e você pode agendar e automatizar todo o processo de verificação de malware. O MalCare ainda possui um processo de remoção de malware com um clique para que você não precise depender de suporte técnico externo para limpar seu site.

14. Ative um firewall do WordPress

Se houver outra maneira simples de proteger um site WordPress de hackers, é dificultar o acesso deles ao seu site. Os firewalls atuam como a última linha de defesa contra solicitações de IP 'suspeitas' feitas por hackers. Ele age mais como um guarda de segurança, permitindo ou bloqueando as pessoas de entrar em sua casa ou escritório.

Os firewalls rastreiam os endereços IP 'bons' e 'ruins' e automaticamente permitem ou bloqueiam solicitações feitas a partir deles.

A maioria dos plugins de segurança como MalCare e Sucuri tem um firewall embutido para bloquear todo o tráfego malicioso.

Por que você deve proteger seu site WordPress de hackers?

Saber como proteger um site WordPress de hackers não é mais algo que você pode deixar para depois. Simplesmente porque um hack afeta mais do que apenas sua presença na web ou seus rankings de SEO. Um malware bem-sucedido ou um ataque de força bruta, mesmo que por algumas horas, pode prejudicar seriamente suas receitas e minar a autoridade de sua marca.

Dependendo do tipo de ataque, um hack do WordPress pode causar alguns ou todos os itens abaixo:

• Desfiguração completa da página inicial do seu site com anúncios “pop-up” prejudiciais
• Uso indevido do seu esforço de SEO que pode fazer com que seu site seja classificado por palavras-chave com spam
• Visitantes sendo redirecionados para outros sites não solicitados que vendem produtos falsificados ou produtos farmacêuticos proibidos
• Emails de spam ou “phishing” sendo enviados para seus clientes usando um endereço de email comercial autêntico
• Violações de dados resultando na perda de registros valiosos de clientes, detalhes de transações financeiras e outros dados confidenciais

Esperamos que este artigo o ajude com dicas e estratégias para que você saiba exatamente como proteger um site WordPress contra malware e hacks.

O que você acha das 14 medidas de segurança que discutimos? Há algum que você adicionaria a esta lista? Deixe-nos saber nos comentários.