Os 10 principais problemas de segurança do WordPress e como corrigi-los
Publicados: 2020-09-16
O WordPress é de longe um dos CMSs de código aberto mais usados do mundo. Ele movimenta milhões de sites e detém uma participação de mercado de 35%. Isso torna o WordPress o CMS alfa entre blogueiros, designers, proprietários de lojas WooCommerce e outros proprietários de negócios.
Apesar de ser tão popular, muitos usuários do WordPress não sabem o básico para proteger seus sites do WordPress. Pior ainda, muitos usuários acreditam no equívoco (muito perigoso) de que instalar um certificado SSL é o suficiente para proteger seu site. Portanto, é importante discutir os vários métodos eficazes de proteção do site WordPress.
Cofundador da Sucuri, Dre Armeda acredita que:
“As pessoas são e continuarão a ser o maior problema de segurança com o WordPress.”, Dre Armeda discute a segurança do WordPress
Também acredito que metade das vulnerabilidades de segurança do WordPress ocorrem por negligência. Esse é um motivo importante pelo qual os sites WordPress são um alvo fácil para os cibercriminosos. Muitos usuários iniciantes simplesmente instalam o WordPress e confiam na segurança padrão do site WordPress.
Neste post, apresentarei várias dicas básicas e algumas não tão comuns sobre como lidar com problemas de segurança do WordPress.
Vamos começar!
- Invista na hospedagem certa na web
- Adquira backups programados
- Faça uma senha forte
- Limitar tentativas de login
- Altere o URL de login do WordPress e o nome de usuário padrão
- Mantenha o usuário do WordPress atualizado
- Excluir plug-ins ou temas não utilizados
- Impedir injeção de SQL e invasão de URL
- Negar acesso a arquivos confidenciais no WordPress
- Ocultar a versão do WordPress e alterar o prefixo padrão do banco de dados
- Dica bônus: como o Cloudways ajuda a proteger um site WordPress
O básico
A segurança do WordPress envolve principalmente consertos simples e bom senso. A ideia é aplicar correções que minimizem os problemas de segurança comumente conhecidos do WordPress e aumentem a segurança do site.
DICA # 1: Invista na hospedagem certa na web
A segurança do site começa com um provedor de hospedagem WordPress gerenciado e seguro. Isso se tornou um aspecto essencial para construir sua presença online. Um host seguro não terá apenas processos de segurança comprovados pelo setor, mas também o ajudará no caso de algo dar errado com seu site. Quase todos esses provedores têm uma estratégia eficaz de recuperação de desastres que funciona caso seu site sofra um incidente.
Para lhe dar uma ideia das opções de hospedagem na web, existem cinco tipos de soluções de hospedagem na web onde você pode hospedar seus sites WordPress:
Hospedagem compartilhada: uma única máquina servidor é compartilhada entre várias contas de usuário. Se uma única conta for hackeada, todo o servidor ficará comprometido. Em muitos casos, o servidor não está realmente protegido porque existem muitas lacunas.
Hospedagem dedicada: você realmente possui o servidor e apenas o seu site está hospedado no servidor. Como você é o proprietário do servidor, a segurança do servidor é limitada à sua experiência em segurança cibernética.
Hospedagem VPS: Na hospedagem VPS, você obtém uma parte dedicada de uma máquina física. Semelhante à hospedagem dedicada, você é o único responsável pela segurança. Se você não é versado em segurança cibernética, precisa aprender rápido ou gastar muito dinheiro terceirizando a segurança do seu servidor.
Hospedagem em nuvem: em uma solução de hospedagem em nuvem, você possui uma parte de uma rede de máquinas servidoras físicas conectadas. As soluções de hospedagem em nuvem são seguras por definição, mas como um servidor dedicado, você deve dedicar muito tempo e esforço à segurança.
Hospedagem em nuvem gerenciada: como o nome diz, uma solução de hospedagem em nuvem gerenciada gerencia todos os aspectos do seu servidor em nuvem, incluindo segurança do lado do servidor, desempenho e atualizações. Isso é o que o Cloudways faz - ele fornece várias camadas de segurança (sendo uma delas firewalls em nível de plataforma), resultando em um ambiente de hospedagem seguro para que você não precise se preocupar com a segurança do seu servidor.
Fadiga de segurança. Sentindo-se sobrecarregado?
Experimente o Cloudways para aumentar a segurança do seu site WordPress.
DICA 2: Aproveite os backups programados
À primeira vista, os backups agendados podem não parecer uma medida de segurança do WordPress. No entanto, essa etapa crucial pode ser um salva-vidas quando ocorre um desastre. Nesses casos, os backups de sites são uma ótima maneira de colocar o site novamente online poucas horas após um desastre.
Os backups do WordPress podem ser feitos em dois níveis: backups externos e / ou backup via provedor de hospedagem.
1- Backup fora do local do WordPress
Fazer backup de um site WordPress é muito fácil, graças ao plug-in UpdraftPlus que faz backup de um site WordPress para soluções de armazenamento externas, como Dropbox, Google Drive e Amazon S3.
Se você deseja explorar a ideia em detalhes, aqui está um guia extenso para fazer backup de um site WordPress.
Observação: 2- Backup local do WordPress
Fazer backup de um site WordPress no servidor do provedor de hospedagem cria um backup local. Muitos provedores de hospedagem em nuvem WordPress fornecem um processo de backup local no qual todo o servidor pode ser feito automaticamente ou manualmente no mesmo servidor.
Se você é um cliente Cloudways, você está em boas mãos. Você pode ter um backup local (mesmo servidor) E também pode ser feito backup de todo o servidor no Amazon S3 . Confira um guia para fazer backup de um servidor WordPress.
DICA # 3: tenha uma senha forte
Uma senha forte é um item de segurança WordPress muito básico, mas frequentemente esquecido, que protege contra muitas vulnerabilidades do WordPress.
Idealmente, as senhas devem ser difíceis de adivinhar para as pessoas e devem conter letras maiúsculas e minúsculas, pontuação e números ( por exemplo # [email protected] $).
Os especialistas também sugerem o uso de diferentes senhas para diferentes sites, como contas de mídia social e contas de e-mail.
Para impor o hábito de senhas fortes em seu site, você deve usar um plug-in para aplicar as políticas de senha fortes do WordPress. Isso garante que todos os seus usuários usem senhas fortes.
Ataques de força bruta: uma senha forte é sua primeira defesa contra ataques de força bruta que tentam várias combinações de nomes de usuário e senhas até que seu site seja comprometido. Uma senha fraca nunca funciona bem contra um ataque de força bruta.
CAPTCHA é considerado uma das melhores proteções contra ataques de força bruta. Anteriormente, o Google iniciou um projeto “Google Invisible reCAPTCHA” no qual os visitantes não precisam ser veterinários manualmente. Por padrão, é invisível e só entra em ação quando o Google suspeita que o visitante não é humano.
Leia mais sobre como adicionar o reCAPTCHA invisível do Google ao WordPress
DICA # 4: Limite as tentativas de login
Por padrão, o WordPress não impõe nenhuma restrição sobre quantas vezes um visitante pode experimentar nomes de usuário e senhas várias vezes no login. Esta é a razão por trás de muitos problemas de segurança do WordPress causados pelo usuário não intencionais.
Para evitar isso e adicionar uma camada extra de segurança aos sites do WordPress, os administradores do site devem instalar um plug-in de limite de tentativas de login que evite que hackers explorem esse problema e monte um ataque de força bruta de login em seu site.
Esta ferramenta inteligente bloqueia o IP de qualquer possível hacker que tente este ataque no painel de administração do seu site WordPress. O plug-in faz isso limitando o número de tentativas malsucedidas por usuário.
Use a autenticação de dois fatores : A autenticação de dois fatores (2FA) é uma prática de segurança padrão do setor que usa credenciais de duas camadas para minimizar as chances de login não autorizado em sites. Se você deseja adicionar 2FA ao seu site WordPress, veja como você pode adicionar autenticação de dois fatores a um site WordPress.
DICA # 5: altere o URL de login do WordPress e o nome de usuário padrão
Depois de lançado o WordPress você pode ir ao painel de administração e alterar seu site de acordo com suas necessidades. Isso não será possível se você não tiver acesso ao painel de administração do WordPress.
Alterar URL de login do WordPress : Alterar a URL de login WP-admin padrão torna difícil para os hackers lançar um ataque de força bruta em seu site. Essa etapa simples fortalece muito a segurança do seu site WordPress.
Embora existam muitos plug-ins disponíveis, eu recomendo o plug-in WPS Hide Login para alterar o URL de administração padrão do WordPress. O plugin tem mais de 700.000 ativos instalados e tem análises de 5 estrelas.
Alterar nome de usuário padrão do WordPress : a brecha de segurança mais básica que você pode ter em seu site é o nome de usuário de administrador “admin”. Isso é muito fácil de adivinhar. Embora você possa usar um plugin para alterar este nome de usuário, existe um método mais simples para isso: Vá para o painel, crie um novo usuário e atribua a ele a função de “Administrador”.
Diferentes funções de usuário do WordPress : o WordPress permite que vários usuários contribuam para um site WordPress usando funções predefinidas. Como administrador de um site, você pode modificar ou até mesmo criar uma função de usuário separada seguindo o guia sobre funções de usuário personalizadas do WordPress.
DICA # 6: mantenha o WordPress atualizado
O Team WordPress lança regularmente atualizações para os arquivos principais. Esses patches estão disponíveis como arquivos de instalação autocontidos que corrigem problemas conhecidos e geralmente reforçam a segurança dos sites WordPress.
Manter o CMS do site é um aspecto essencial do funcionamento do site. O ideal é que o proprietário do site aplique o patch poucas horas após o lançamento, porque sempre há uma chance de que os invasores estejam à espreita por sites vulneráveis.
Isso também se aplica aos plug-ins e temas instalados. Os desenvolvedores de plug-ins seguem o ciclo de lançamento dos arquivos principais do WordPress para garantir que o plug-in acompanhe as versões mais recentes do WordPress.
Nota: Sempre teste os patches em um ambiente de preparação do WordPress para garantir que tudo continue funcionando conforme o esperado . Se sua hospedagem não tem um ambiente de teste, eu sugiro fazer um backup primeiro e começar a atualizar.
Por outro lado, se você estiver em uma hospedagem gerenciada do WordPress, os engenheiros cuidam de corrigir os arquivos principais do WordPress e garantem que a segurança não seja comprometida. A maior ameaça à segurança para eles próprios.
DICA # 7: Exclua plug-ins ou temas não usados
Testar novos temas e plug-ins é uma boa maneira de obter a experiência em primeira mão dos lançamentos mais recentes. No entanto, quando o teste termina, os usuários do WordPress geralmente desativam os plug-ins em vez de fazer uma desinstalação adequada.
Observe que os temas e plug-ins não utilizados ou inativos representam uma séria ameaça ao site WordPress. Portanto, é de extrema importância que todos os plug-ins e temas que não estão em uso sejam excluídos imediatamente para garantir que nenhum dado permaneça no banco de dados do WordPress. Aqui está um guia adequado sobre como desinstalar corretamente os plug-ins do WordPress.
Como precaução geral, sempre baixe a versão mais recente dos temas e plug-ins de um recurso confiável para garantir que o plug-in ou tema não abra uma nova brecha de segurança em seu site.
O não tão básico
Agora que você conhece os fundamentos da segurança do WordPress, é hora de verificar as dicas avançadas a seguir para aumentar a segurança de seus sites.
DICA Nº 8: Evite injeções de SQL e invasão de URL
As injeções de SQL são ataques nos quais os invasores incorporam comandos SQL em várias áreas dos sites (em particular na caixa de comentários e nas áreas de texto). Esses comandos podem comprometer o banco de dados SQL e podem revelar informações confidenciais armazenadas no banco de dados.
Modificar a URL adicionando instruções PHP é outra ameaça potencial à segurança do WordPress na qual os invasores podem disparar ataques no banco de dados e outros componentes do site.
A maioria dos sites WordPress são hospedados em um servidor Apache que possui um truque inteligente para conter esses ataques. Todos os servidores Apache possuem um arquivo .htaccess que define as regras de acesso ao site.
Para reduzir a incidência de injeções de SQL e invasão de URL, adicione o seguinte código ao arquivo .htaccess para estabelecer um forte conjunto de regras.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC]
RewriteRule ^ (. *) $ - [F, L]
RewriteCond% {QUERY_STRING} \. \. \ / [NC, OR]
RewriteCond% {QUERY_STRING} boot \ .ini [NC, OR]
RewriteCond% {QUERY_STRING} tag \ = [NC, OR]
RewriteCond% {QUERY_STRING} ftp \: [NC, OR]
RewriteCond% {QUERY_STRING} http \: [NC, OR]
RewriteCond% {QUERY_STRING} https \: [NC, OR]
RewriteCond% {QUERY_STRING} (\ <|% 3C). * Script. * (\> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} mosConfig_ [a-zA-Z _] {1,21} (= |% 3D) [NC, OR]
RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (\ [| \] | \ (| \) | <|> | E | "|; | \? | \ * | = $). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (& # X22; | & # x27; | & # x3C; | & # x3E; | & # x5C; | & # x7B; | & # x7C;). * [NC, OR ]
RewriteCond% {QUERY_STRING} ^. * (% 24 & x). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127 \ .0). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Globals | encode | localhost | loopback). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Solicitação | selecionar | inserir | união | declarar). * [NC]
RewriteCond% {HTTP_COOKIE}! ^. * WordPress_logged_in _. * $
RewriteRule ^ (. *) $ - [F, L]
</IfModule>Como você pode ver, o código “limpa” os dados que vão para os campos de entrada. Além disso, todas essas entradas são tratadas como uma string em vez de uma instrução de consulta SQL.
DICA # 9: negue acesso a arquivos confidenciais no WordPress
Uma instalação do WordPress contém vários arquivos confidenciais, como os arquivos wp-config.php , install.php e readme.html . Esses arquivos devem ser mantidos ocultos de todo acesso externo.
Novamente, .htaccess é seu melhor amigo. Você pode adicionar as seguintes linhas ao arquivo para evitar que arquivos importantes sejam desfigurados. O fragmento de código a seguir também impede o acesso às listas de diretórios do usuário e oculta o servidor confidencial e arquivos do WordPress contra acesso não autorizado.
Opções Todos - Índices <arquivos .htaccess> Pedido permitir, negar Negar de todos </files> <arquivos readme.html> Pedido permitir, negar Negar de todos </files> <arquivos license.txt> Pedido permitir, negar Negar de todos </files> <arquivos install.php> Pedido permitir, negar Negar de todos </files> <arquivos wp-config.php> Pedido permitir, negar Negar de todos </files> <arquivos error_log> Pedido permitir, negar Negar de todos </files> <arquivos fantastico_fileslist.txt> Pedido permitir, negar Negar de todos </files> <arquivos fantversion.php> Pedido permitir, negar Negar de todos </files>
Se você deseja se aprofundar no uso do arquivo .htaccess para otimizar seu WordPress, aqui está uma descrição detalhada do arquivo .htaccess do WordPress.
DICA # 10: Altere o prefixo padrão do banco de dados
Ocultar versão do WordPress : Por padrão, o WordPress adiciona automaticamente o número da versão atual à seção principal dos temas. Uma ótima dica de segurança é NUNCA exibir a versão do WordPress publicamente, simplesmente porque os invasores podem lançar ataques contra todas as vulnerabilidades conhecidas da versão mencionada no cabeçalho.
A seguinte linha de código simples deve ser incluída no arquivo functions.php do seu tema para ocultar as versões do WordPress.
remove_action ('wp_head', 'wp_generator');Alterar o prefixo padrão do WordPress para banco de dados : Todas as tabelas em um banco de dados do WordPress têm nomes que começam com o prefixo Embora pareça ser um ótimo recurso, para os hackers do WordPress, isso simplifica muito as coisas, removendo algumas das suposições.
Um usuário pode limitar essa previsibilidade alterando o prefixo padrão do WordPress das tabelas do banco de dados do usuário ao instalar o WordPress. Isso também pode ser feito para sites já ativos, manipulando bancos de dados de usuários em vários lugares. Eu recomendo usar um dos melhores plug-ins de segurança do WordPress que implementam uma variedade de defesas para o site do WordPress.
Cloudways ajuda a proteger sites WordPress
Após este guia detalhado para proteger sites WordPress, vale a pena mencionar que o WordPress não pode ser protegido isoladamente. Os usuários do WordPress também devem optar por um ambiente de hospedagem seguro que oferece um ambiente seguro para o site.
Aqui está como a Cloudways fornece um ambiente de hospedagem WordPress seguro.
- Infraestrutura em nuvem de primeira classe : a Cloudways fez parceria com provedores de infraestrutura em nuvem de primeira linha que têm a segurança como sua preocupação número UM. Hospedar um site WordPress na nuvem garante um alto nível de segurança.
- Firewalls : Todos os servidores lançados via Cloudways vêm com um firewall pré-instalado que atua como a primeira linha de defesa do site.
- Monitoramento de servidor : monitorar um servidor ajuda a identificar picos inesperados de alto tráfego que podem derrubar o site.
- Proteção contra bots: A proteção contra bots tem como objetivo identificar e bloquear tráfego malicioso, proteger contra ataques como ataques de dicionário, Web Scraping e ataques de força bruta. Também ajuda a reduzir o uso de recursos do servidor para aplicativos WordPress. Esses ataques têm como objetivo obter acesso não autorizado ao seu site ou oprimi-lo, mas a proteção contra bots monitora todas essas atividades e bloqueia proativamente após a detecção.
- Acesso SSH e SFTP : Muitos provedores de hospedagem ainda usam FTP para acessar arquivos. No entanto, com Cloudways SFTP (Secure File Transfer Protocol), sua conexão é criptografada e segura. Se várias equipes estiverem trabalhando em um projeto hospedado em um servidor, elas podem receber acesso a um aplicativo específico em vez de ao servidor inteiro.
- SO e aplicativos atualizados : os especialistas da Cloudways ficam de olho nos lançamentos mais recentes e garantem sua disponibilidade após testes de estabilidade e compatibilidade.
- Credenciais geradas aleatoriamente : todos os aplicativos iniciados via Cloudways têm credenciais geradas aleatoriamente padrão que são difíceis de adivinhar.
- Backup : em caso de desastre, o backup do site é sua melhor aposta para uma recuperação de desastre mais rápida. Você pode definir a frequência de backup para até uma hora.
- Certificado SSL grátis : Cloudways fornece uma instalação de certificado SSL de um clique com um recurso de renovação automática.
- Ambiente de teste gratuito: Cloudways oferece um ambiente de teste gratuito do WordPress para garantir que tudo continue funcionando conforme o esperado.
- Suporte de chat ao vivo 24 horas por dia, 7 dias por semana : Ainda está preocupado com a segurança e o desempenho do servidor? O Suporte Cloudways está sempre disponível o tempo todo.
- Suporte por telefone: este é o complemento de suporte premium, se você precisar de qualquer assistência, você também pode entrar em contato e nosso engenheiro sênior responderá diretamente a qualquer momento.
Faça perguntas frequentes
P: Como faço para corrigir o WordPress não seguro?
R: Siga este guia e veja todos os pontos que mencionei, espero que te ajude muito.
P: Devo usar um certificado SSL para proteger meu site WordPress?
R: Sim, você deve, a maioria das empresas de hospedagem oferece certificado SSL gratuito de um clique.
P: O WordPress tem problemas de segurança?
R: WordPress é o Sistema de gerenciamento de conteúdo (CMS) mais utilizado atualmente. Com a ajuda de vários temas e plug-ins, é possível personalizar facilmente seu site de acordo com seus gostos e preferências. No entanto, a segurança do WordPress é um dos principais problemas que preocupam muitos.
Bottomline
As dicas de segurança do WordPress garantem um site eficaz e seguro. No entanto, muitas pessoas esquecem que defender um site WordPress é um processo contínuo que precisa de atenção contínua diante de novas ferramentas e truques que surgem no ciberespaço.
Eu sugiro fortemente que os usuários do WordPress mantenham um registro do que aconteceu no WordPress usando um plug-in de auditoria de segurança e usem o plug-in de segurança WordPress preferido que fortalece o ambiente WordPress contra ameaças de segurança.
Sinta-se à vontade para acrescentar se achar que perdi algo. Vou adicioná-lo à lista o mais rápido possível. Se você tiver alguma dúvida, poste nos comentários abaixo.
P. O WordPress tem problemas de segurança?
Como toda plataforma, o WordPress tem sua parcela de problemas de segurança. No entanto, os problemas de segurança do WordPress podem ser facilmente evitados se você seguir as práticas recomendadas de segurança do WordPress.
P. Por que o WordPress não é seguro?
Muitos dos problemas de segurança do WordPress ocorrem porque os administradores do site optam por ignorar as práticas padrão sobre plug-ins e temas. Em muitos casos, isso pode ser evitado conduzindo uma auditoria de segurança e cuidando das brechas para que o site permaneça seguro.
P. O WordPress é facilmente hackeado?
Não. As versões recentes do WordPress são bastante seguras. Essa segurança básica pode ser aprimorada ainda mais com a instalação de plug-ins de segurança do WordPress, optando apenas por temas e plug-ins de desenvolvedores respeitados e seguindo as melhores práticas de segurança do WordPress.
P. Como posso melhorar minha segurança do WordPress?
A segurança do WordPress pode ser melhorada seguindo algumas dicas básicas:
1. Escolha uma solução de hospedagem segura.
2. Instale um certificado SSL (um requisito essencial para sites de negócios)
3. Configure um plug-in de segurança WordPress confiável
4. Instale a limitação da taxa de login por meio de um plugin
5. Certifique-se de que o TFA está ativo