Como proteger seu blog WordPress
Proteger o seu blog WordPress é uma coisa essencial que você deve fazer após configurá-lo no seu servidor. Não deve haver nenhum motivo para deixar seu WordPress aberto para que hackers invadam e roubem suas informações ou destruam seus dados. Passe algumas horas protegendo o WordPress e você economizará inúmeras horas lidando com ataques constantes. Este guia mostra várias maneiras de proteger o WordPress para manter seus dados e informações protegidos.
Também útil: você pode obter um certificado SSL gratuito para o seu site WordPress para proteger os visitantes do seu site.
1. Use um plug-in de segurança multifuncional
Para simplificar, comece com um plugin de segurança do WordPress que lida com várias tarefas em um único lugar. Uma das melhores opções é a Segurança All-In-One (AIOS) . Com uma impressionante classificação de 5 estrelas em mais de um milhão de instalações, vale a pena adicioná-lo ao seu site. Além disso, muitos dos recursos são totalmente gratuitos.
O plug-in faz o seguinte:
- Impede ataques de força bruta
- Permite autenticação de dois fatores
- Oculta sua página de login dos bots
- Força logouts para usuários que gostam de ficar conectados o tempo todo
- Ajuda a melhorar a força da senha
- Melhora o WordPress Salts (parte do processo de hash para criptografar senhas) adicionando 64 novos caracteres, que mudam semanalmente
- Adiciona proteção de firewall
- Inclui proteção contra malware (somente premium)
- Reduz comentários de spam
Esta é apenas uma pequena parte do que está incluído. Configurar tudo pode demorar um pouco, mas gerenciar um plugin é melhor do que vários.
2. Pare os ataques de força bruta
Os hackers podem facilmente quebrar sua senha e credenciais de login usando ataques de força bruta. Para evitar que isso aconteça, instale o plugin Login Lockdown . Este plugin registra o endereço IP e o carimbo de data/hora de cada tentativa de login do WordPress com falha. Assim que um certo número de tentativas fracassadas for detectado, a função de login será desativada para todas as solicitações desse intervalo.
Ele também adiciona dois outros recursos úteis: autenticação de dois fatores e CAPTCHA. Isso também reduz drasticamente os ataques de força bruta.
3. Use uma senha forte
Certifique-se de usar uma senha forte que seja difícil para outras pessoas adivinharem. Use uma combinação de dígitos, caracteres especiais e letras maiúsculas/minúsculas para formar sua senha. Você também pode usar o verificador de senha no WordPress 2.5 e superior para verificar a força da sua senha.
Usar um gerenciador de senhas para gerar uma senha completamente aleatória e segura é outra opção. Mesmo que você não armazene suas senhas, essas ainda são ótimas ferramentas para gerar senhas exclusivas para o seu site.
4. Proteja sua pasta WP-Admin
Sua pasta “wp-admin” contém todas as informações críticas sobre o seu site e é o último lugar onde você deseja conceder acesso a outras pessoas. A maneira mais fácil de protegê-lo é adicionando uma senha extra. Mesmo que um hacker entre no seu site com as credenciais de um usuário, ele ainda precisará descobrir as credenciais da sua wp-adminpasta. Neste ponto, você já deve saber sobre a violação e ser capaz de alterar a senha do usuário hackeado e sua senha wp-admin para aumentar a segurança.
Existem várias maneiras de fazer isso. O primeiro depende do seu host. Muitos oferecem cPanel. As etapas podem variar ligeiramente com base no host.
- Faça login na seção cPanel do seu site. Seu host terá instruções sobre como fazer isso.
- Role para baixo até “Segurança” e selecione “Diretórios protegidos por senha”.
- Selecione “Privacidade do diretório”.
- Selecione o diretório que deseja proteger com senha e siga as instruções. Geralmente há um tutorial que explica como proteger melhor os diretórios usando esse método.
O segundo método é manual e geralmente não é recomendado, pois se você não fizer isso corretamente, poderá acabar sem acesso ao seu site.
- Crie um arquivo de texto usando seu editor de texto favorito e nomeie-o “.htaccess”
- Adicione o seguinte ao arquivo, mas altere o caminho AuthUserFile para onde você fará upload do arquivo de senha (na próxima etapa) e altere “seunomedeusuário” para seu nome de usuário.
AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
- Crie outro arquivo de texto chamado “.htpasswd”
- Use um gerador htpasswd para gerar o conteúdo do arquivo. Hosting Canada , web2generators e AskApache possuem geradores fáceis de usar. Depois de preencher o gerador, copie o texto fornecido no arquivo. htpasswd que você criou.
- Copie os dois arquivos para sua pasta wp-admin e está tudo pronto.
5. Remova as informações da versão do WordPress
Muitos temas do WordPress incluem as informações da versão do WordPress na meta tag. Os hackers podem obter rapidamente essas informações e planejar ataques específicos visando a vulnerabilidade de segurança dessa versão.
Para remover as informações da versão do WordPress:
- Faça login no seu painel do WordPress.
- Vá para “Design -> Editor de Tema”.
- Procure o arquivo “Cabeçalho” à direita.
- Procure a seguinte linha de código:
<meta name="generator"content="WordPress versionnumber"/>
- Exclua esta linha e pressione “Atualizar arquivo”.
Você também pode usar um plugin de segurança do WordPress, como o Sucuri Security , para ocultar essas informações.
6. Oculte sua pasta de plug-ins
Se você acessar o URL do seu site: https://yourwebsite.com/wp-content/plugins e puder ver a lista completa de plug-ins que usou, então seu site WordPress não é muito seguro. Você pode ocultar esta página facilmente enviando um “index.html” vazio para o diretório do plugin.
- Abra seu editor de texto. Salve o documento em branco como “index.html”.
- Carregue o “index.html” para a pasta “/wp-content/plugins” usando um programa FTP.
Também útil: use esses plug-ins de estatísticas do WordPress para avaliar o seu site.
7. Altere seu nome de login
O nome de usuário padrão é “admin”. Uma maneira simples de proteger o WordPress é mudar isso. Caso contrário, os hackers já conhecem metade das suas informações de login.
- Faça login no painel do WordPress e selecione “Usuários”.
- Selecione “Novo usuário”.
- Defina a função como “Administrador” e envie um convite para a conta de e-mail desejada. Assim que o convite for aceito, você poderá fazer login, criar uma senha e se tornar a nova conta de administrador.
- Assim que o novo usuário estiver configurado, retorne para “Usuários”.
- Encontre a conta “admin” e exclua-a.
- Selecione “Atribuir todas as postagens e links a” e selecione seu nome de usuário.
- Pressione “Confirmar exclusão”.
8. Atualize para as versões mais recentes
O WordPress, junto com temas e plugins, recebe atualizações regulares. Isso adiciona novos recursos, corrige bugs e corrige vulnerabilidades de segurança. A última parte é a mais importante. Se os hackers perceberem que você tem uma versão mais antiga com falhas de segurança, eles explorarão a abertura imediatamente.
Agende um dia de cada mês para realizar atualizações. Embora você possa não ter novas atualizações para tudo, atualize o que está disponível. Isso inclui a instalação principal do WordPress. É uma maneira simples de proteger o WordPress, mas altamente eficaz.
Antes de realizar qualquer atualização significativa, faça um backup completo do seu site, apenas para garantir.
9. Execute verificações de segurança regulares
Cada instalação do WordPress precisa de um plugin de segurança. All-In-One Security (AIOS) e Sucuri Security, que já mencionamos, são ótimas opções. Você também pode tentar o seguinte:
10. Faça backup do seu site WordPress
Não importa o quão seguro seja o seu site, você ainda quer se preparar para o pior. Instale um plugin de backup do WordPress e agende-o para fazer backup do seu banco de dados diariamente.
Você tem uma variedade para escolher, mas algumas das principais opções incluem:
11. Defina o privilégio do usuário
Se houver mais de um autor para o seu blog, você poderá instalar o plug-in User Role Editor para definir os recursos de cada grupo de usuários. Isso dará a você, proprietário do blog, a capacidade de controlar o que os usuários podem ou não fazer no blog.
12. Atualize para SSL
Se você não possui um certificado SSL, agora é a hora de obter um. Secure Sockets Layer (SSL) é um protocolo que criptografa o que é enviado entre usuários e sites. Muitos hosts da web oferecem certificados SSL gratuitos ou de baixo custo que são incrivelmente fáceis de instalar. Isso é especialmente importante se os usuários fizerem login em seu site ou fizerem compras. Além disso, o Google prefere sites com certificados SSL.
13. Desative a edição de arquivos
Você pode editar o código do plugin e do tema diretamente na área de administração do seu site. Imagine se outra pessoa começasse a mexer no código sem a sua permissão. Para evitar surpresas desagradáveis, desative a edição de arquivos.
Embora você possa usar um plugin como o Sucuri, você também pode adicionar algumas linhas de código ao seu arquivo “wp-config.php”.
- Localize o arquivo “wp-config.php” na pasta raiz do seu site. Você pode usar qualquer cliente FTP que desejar para acessar seus arquivos.
- Baixe o arquivo e abra-o em seu editor de texto favorito, como o Bloco de Notas.
- Adicione o seguinte ao código:
// Disable file editdefine('DISALLOW_FILE_EDIT', true);
- Substitua o arquivo “wp-config.php” existente pela nova versão para desabilitar a edição do arquivo.
Também útil: se você estiver adicionando muita mídia ao seu site, considere estas dicas de otimização de imagens do WordPress .
14. Use autenticação de dois fatores
Mesmo que os hackers obtenham acesso às informações de login de um usuário, a autenticação de dois fatores (2FA) significa que o hacker ainda precisa de acesso a outra senha. Nesse caso, normalmente um código seria enviado ao telefone do usuário. Você pode usar plug-ins de segurança, como os mencionados anteriormente nesta postagem, ou um plug-in 2FA dedicado, como miniOrange Google Authenticator ou WP 2FA .
Crédito da imagem: Unsplash . Capturas de tela de Crystal Crowder.
Deixe um comentário