Segurança do WordPress: 16 etapas para proteger e proteger seu site

Quando se trata de segurança, não existe um tipo de segurança específico do WordPress. Todos os problemas de segurança são comuns a todos os sites ou aplicativos.

Os problemas de segurança do WordPress são de grande interesse, porque ele alimenta cerca de 40% da web e é de código aberto. Quando se encontra uma vulnerabilidade no núcleo do WordPress ou nos plugins, outros sites que o utilizam tornam-se vulneráveis ​​porque todos usam o mesmo código.

Por outro lado, há um número razoável de plugins que você pode usar para fortalecer a segurança do seu site.

Nesta coluna, você aprenderá como proteger seu site WordPress contra diferentes tipos de vulnerabilidades, embora o escopo deste artigo seja mais amplo e se aplique a todos os tipos de aplicativos da web.

Proteção contra vulnerabilidades do WordPress

Os tipos mais comuns de vulnerabilidades são:

1. Portas dos fundos.
2. Hacks Farmacêuticos.
3. Tentativas de login de força bruta.
4. Redirecionamentos maliciosos.
5. Script entre sites (XSS).
6. Negação de Serviço (DDoS).

Esses são os tipos comuns de vulnerabilidades, mas isso não significa que eles estejam limitados apenas a eles. Quando se pensa em segurança, em geral, deve-se pensar em 360°.

Não há um conjunto limitado de maneiras de hackear um site. Os invasores podem usar muitas técnicas para acessar seu site.

Por exemplo, eles podem roubar seu PC e ter acesso físico ao seu computador. Eles também podem usar técnicas de vigilância para ver suas senhas ao fazer login de uma rede pública em seu site.

Vamos mergulhar em como fortalecer nossas instalações do WordPress para tornar a vida um pouco mais difícil para os invasores.

Continue lendo para saber mais sobre cada uma dessas 16 maneiras de fortalecer a segurança do seu site WordPress:

1. Usar HTTPS.
2. Sempre use senhas fortes.
3. Use gerenciadores de senhas para armazenar suas senhas.
4. Habilite o Captcha nos formulários de login.
5. Evite tentativas de login de força bruta.
6. Use autenticação de dois fatores.
7. Mantenha os plugins atualizados.
8. Definir cabeçalhos HTTP de segurança.
9. Defina as permissões de arquivo corretas para arquivos do WordPress.
10. Desative a edição de arquivos do WordPress.
11. Desative todos os recursos desnecessários.
12. Oculte a versão do WordPress.
13. Instale um firewall do WordPress.
14. Mantenha backups.
15. Use SFTP.
16. Monitore as atividades dos usuários.

1. Proteja seu site com HTTPS

Não é por acaso que vamos começar protegendo o site com HTTPS.

Tudo o que você faz flui pela rede e pelos cabos. O HTTP troca dados como texto simples entre o navegador e o servidor. Portanto, qualquer pessoa que tenha acesso à rede entre o servidor e o navegador poderá visualizar seus dados não criptografados.

Se você não proteger sua conexão, corre o risco de expor dados confidenciais a invasores. Com HTTPS, seus dados serão criptografados e os invasores não poderão ler os dados transmitidos, mesmo que tenham acesso à sua rede.

Portanto, o passo número um para proteger seu site é habilitar o HTTPS. Se você ainda não mudou para HTTPS, pode usar este guia para mover seu WordPress para HTTPS.

Ferramentas e plugins do WordPress que você pode usar para migrar HTTP para HTTPS

1. Melhor Pesquisa Substituir.
2. Script de pesquisa e substituição de banco de dados.

2. Sempre use senhas fortes

A maneira mais comum de os hackers acessarem sites é por meio de senhas fracas ou pwned. Isso o torna vulnerável a ataques de força bruta.

Aumente sua segurança usando senhas fortes mais do que qualquer outra forma listada abaixo.

Sempre use senhas fortes e verifique regularmente se elas foram pwned.

Plugins do WordPress para aumentar a segurança das senhas:

1. Não permitir senha Pwned.
2. Baixe o Gerenciador de Políticas de Senhas.
3. Senha bcrypt.

3. Use gerenciadores de senhas para armazenar suas senhas

Quando você faz login enquanto trabalha em uma rede pública, não pode ter certeza de quem está observando o que você está digitando em seu laptop ou gravando suas senhas.

Para resolver esse problema, use gerenciadores de senhas para acessar facilmente suas senhas e armazená-las em um local seguro.

Mesmo que seu PC seja acessado, eles não poderão obter suas senhas. Os gerenciadores de senhas são baseados em navegador e não em plugins do WordPress.

Complementos do navegador do gerenciador de senhas:

1. Última passagem.
2. 1Senha.
3. NordPass.

4. Adicione CAPTCHA no Formulário de Login e Registro

Quando você protege seu site com HTTPS e usa senhas fortes, já dificultou bastante a vida dos hackers.

Mas você pode dificultar ainda mais adicionando CAPTCHA aos formulários de login.

Captchas são uma ótima maneira de proteger seus formulários de login contra ataques de força bruta.

Plugins para adicionar Captcha no login do WordPress:

1. Login Sem Captcha reCAPTCHA.
2. Segurança de login reCAPTCHA.

5. Proteja-se de tentativas de login por força bruta

Login CAPTCHA lhe dará proteção contra tentativas de força bruta até um certo ponto, mas não completamente. Muitas vezes, uma vez que os tokens captcha são resolvidos, eles são válidos por alguns minutos.

O Google reCaptcha, por exemplo, é válido por 2 minutos. Os invasores podem usar esses dois minutos para tentar tentativas de login de força bruta em seu formulário de login durante esse período.

Para resolver esse problema, você deve bloquear tentativas de login com falha por endereço IP.

Plugins do WordPress para evitar ataques de força bruta:

1. Tentativas de login com limite de WP.
2. Limitar tentativas de login recarregadas.

6. Configure a autenticação de dois fatores (2FA)

Com senhas seguras e captcha nos formulários de login, você fica mais protegido, sim.

Mas e se os hackers usassem métodos de vigilância e gravassem a senha que você digitou em vídeo para acessar seu site?

Se eles tiverem sua senha, apenas a autenticação de dois fatores poderá proteger seu site contra invasores.

Plugins do WordPress para configurar a autenticação 2FA:

1. Dois fatores.
2. Autenticador do Google.
3. Autenticação de dois fatores do WordPress (2FA, MFA).

7. Mantenha o WordPress Core e os Plugins atualizados

Vulnerabilidades ocorrem frequentemente no núcleo e plugins do WordPress e, quando ocorrem, são encontradas e relatadas. Certifique-se de atualizar seus plugins com a versão mais recente para evitar que sites sejam invadidos por falhas conhecidas e relatadas em arquivos.

Eu não recomendaria mudar para a atualização automática, pois isso pode resultar na quebra de seus sites sem o seu conhecimento.

Mas eu recomendo fortemente que você ative as atualizações secundárias do núcleo do WordPress adicionando esta linha de código em wp-config.php, pois essas atualizações incluem patches de segurança para o núcleo.

 define( 'WP_AUTO_UPDATE_CORE', 'menor');

8. Definir cabeçalhos HTTP de segurança

Os cabeçalhos de segurança trazem uma camada extra de proteção, restringindo as ações que podem ser executadas entre o navegador e o servidor quando se navega no site.

Os cabeçalhos de segurança visam proteger contra ataques de Clickjacking e Cross-site Scripting (XSS).

Os cabeçalhos de segurança são:

• Strict-Transport-Security (HSTS).
• Política de segurança de conteúdo.
• X-Frame-Options.
• X-Content-Type-Options.
• Buscar cabeçalhos de metadados.
• Referenciador-Política.
• Cache-Control.
• Limpar-Site-Data.
• Recurso-Política.

Não nos aprofundaremos em cada explicação de cabeçalho de segurança, mas aqui estão alguns plugins para corrigi-los.

Plugins do WordPress para habilitar cabeçalhos de segurança:

1. Cabeçalhos HTTP para melhorar a segurança do site.
2. Cabeçalhos de Segurança GD.

9. Defina as permissões de arquivo corretas para arquivos do WordPress

Permissões de arquivo são regras no sistema operacional que hospeda seus arquivos do WordPress; essas regras definem como os arquivos podem ser lidos, editados e executados. Essa medida de segurança é essencial, principalmente quando você hospeda um site em hospedagem compartilhada.

Se configurado incorretamente, quando um site em hospedagem compartilhada é invadido, os invasores podem acessar arquivos em seu site e ler qualquer conteúdo lá – especificamente wp-config.php – e obter acesso completo ao seu site.

• Todos os arquivos devem ser 644.
• Todas as pastas devem ser 775.
• wp-config.php deve ser 600.

As regras acima significam que sua conta de usuário de hospedagem pode ler e modificar arquivos e o servidor web (WordPress) pode modificar, excluir e ler arquivos e pastas.

Outros usuários não podem ler o conteúdo de wp-config.php. Se definir 600 para wp-config.php derrubar seu site, altere-o para 640 ou 644.

10. Desative a edição de arquivos do WordPress

É um recurso conhecido no WordPress que você pode editar arquivos do back-end do administrador.

Não é realmente necessário porque os desenvolvedores usam SFTP e raramente usam isso.

11. Desative todos os recursos desnecessários

O WordPress vem com muitos recursos que você pode não precisar. Por exemplo, o endpoint XML-RPC no WordPress foi criado para comunicação com aplicativos externos. Os invasores podem usar esse endpoint para logins de força bruta.

Desabilite XML-RPC usando o plugin Desabilitar XML-RPC-API.

Outro problema embutido no WordPress é fornecer um endpoint REST-API para listar todos os usuários no site.

Se você anexar “/wp-json/wp/v2/users” a qualquer instalação do WordPress, verá uma lista de nomes de usuário e IDs de usuário como dados JSON.

Desabilite usuários REST-API adicionando esta linha de código em functions.php

 function disable_users_rest_json( $resposta, $usuário, $request ){

 Retorna '';

}add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Ocultar a versão do WordPress

O WordPress injeta automaticamente um comentário com a versão do WordPress no HTML da página. Ele fornece ao invasor a versão do seu WordPress instalado como informação adicional.

Por exemplo, se você estiver usando uma versão do WordPress cujo núcleo foi relatado como tendo uma vulnerabilidade, o invasor sabe que pode usar a técnica relatada para invadir seu site.

Ocultar as metatags da versão do WordPress usando estes plugins:

1. Meta Generator e removedor de informações de versão.
2. WP Generator Remover da Dawsun.

13. Instale um firewall do WordPress

Um firewall é um aplicativo da Web executado em sites e analisa todas as solicitações HTTP recebidas. Ele aplica uma lógica sofisticada para filtrar solicitações que potencialmente podem ser uma ameaça.

Pode-se configurar suas regras em cima das regras internas do firewall para bloquear solicitações. Um dos tipos comuns de ataques é a injeção de SQL.

Digamos que você execute um plugin do WordPress que é vulnerável a injeções de SQL e você não sabe sobre isso. Se você executar um firewall, mesmo que o invasor saiba da falha de segurança no plug-in, ele não poderá invadir o site.

Isso ocorre porque o firewall bloqueará as solicitações que contêm injeções de SQL.

Os firewalls bloquearão essas solicitações do IP e impedirão a chegada de solicitações perigosas sucessivas. Os firewalls também são capazes de impedir ataques DDoS detectando muitas solicitações de um único IP e bloqueando-as.

Também é possível executar firewalls em nível de DNS que são executados antes que as solicitações sejam feitas a um servidor web. Um exemplo é o firewall DNS da Cloudflare.

A vantagem desse método é que ele é mais robusto contra ataques DDoS.

Os firewalls de nível de aplicativo executados no servidor permitem que solicitações HTTP atinjam o servidor da Web e, em seguida, o bloqueiem. Isso significa que o servidor gasta alguns recursos de CPU/RAM para bloqueá-los.

Com firewalls em nível de DNS, ele não gasta recursos do servidor, portanto, é mais sustentável para ataques.

Plugins de firewall do WordPress que você pode usar:

1. Segurança Wordfence.
2. Sucuri.
3. Tudo em um WP Segurança e Firewall.
4. Segurança à prova de balas.
5. Segurança do escudo.

Nota: Se você decidir instalar firewalls, eles podem ter recursos como proteção de força bruta de login ou autenticação 2F e você pode usar seus recursos em vez de instalar os plugins mencionados acima.

14. Mantenha Backups

Se você for hackeado, a melhor maneira de se recuperar é restaurar o site da versão mais recente que não foi infectada.

Se você não armazenar backups de sites, a limpeza do site pode ser uma operação demorada. E, em alguns casos, pode não ser possível restaurar todas as informações porque o malware apagou todos os dados.

Para evitar tais cenários, faça backups regulares do banco de dados e dos arquivos do seu site.

Verifique com seu suporte de hospedagem se eles fornecem a funcionalidade de backups diários e ative-a. Caso contrário, você pode usar esses plugins para executar backups:

1. BackWPup.
2. UpdraftPlus.
3. BackupBuddy.
4. BlogVault.

15. Usar SFTP

Muitos desenvolvedores já usam SFTP para se conectar a servidores web, mas é importante lembrar disso, caso você ainda não o faça.

Assim como o HTTPS, o SFTP usa criptografia para transferir arquivos pela rede, impossibilitando a leitura como texto simples, mesmo que se tenha acesso à rede.

16. Monitore a atividade dos usuários

Discutimos várias maneiras de proteger seu site contra hackers desconhecidos. Mas e quando um de seus funcionários que tem acesso ao administrador do site faz coisas obscuras, como adicionar links no conteúdo?

Nenhum dos métodos acima é capaz de detectar um funcionário obscuro.

Isso pode ser feito observando os logs de atividade. Ao examinar a atividade de cada usuário, você pode descobrir que um dos funcionários editou um artigo que não deveria.

Você também pode analisar atividades que pareçam suspeitas e ver quais alterações foram feitas.

Plugins do WordPress para monitorar a atividade dos usuários:

1. Registro de atividade.
2. Registro de atividades do usuário.
3. Registro de atividades do WP.

Observe que você pode querer limitar o período (ou o número de registros) que esses plugins mantêm. Se houver muitos, isso sobrecarregará seu banco de dados e poderá afetar o desempenho e a velocidade do site.

O que fazer se você for hackeado?

Mesmo com todos os conselhos de especialistas em segurança e conhecendo as maneiras de proteger seus sites contra hacks, eles ainda acontecem.

Se seu site foi invadido, você precisa executar estas etapas abaixo para recuperar:

1. Altere primeiro todo o seu e-mail e outras senhas pessoais, pois os hackers podem ter acesso ao seu e-mail primeiro e, assim, conseguir acessar seu site.
2. Restaure seu site para o backup não invadido mais recente conhecido.
3. Redefina as senhas de todos os usuários do site.
4. Atualize todos os plugins se houver atualizações disponíveis.

Conclusão

Pense 360° quando se trata de segurança. Enfatize a importância da segurança para todos os seus funcionários para que eles entendam as consequências que a empresa pode sofrer se não seguirem as regras de segurança.

Se você for hackeado, recupere seu site do backup e altere todas as senhas do seu site e e-mails o mais rápido possível.