Como NÃO proteger seu site WordPress
Qual é a primeira coisa que você faria quando quisesse proteger seu site WordPress? Descubra os cinco principais plugins de segurança, considere o quão acessíveis eles são e, em seguida, vá em frente e instale um. Feito isso, agora você pode sentar e relaxar, certo? Errado!
Usar um plug-in de segurança não garante a segurança. A segurança não é uma coisa absoluta e ninguém pode garantir a segurança total. O melhor que podemos fazer é reduzir o risco de um hack. E ao contrário da crença popular, o proprietário do site precisa estar envolvido em manter o site seguro. Saber o que você deve e não deve fazer é significativo.
Embora existam vários guias sobre o que você deve fazer para manter seu site WordPress seguro, estamos oferecendo um guia sobre o que você deve EVITAR fazer. Você notará que os conselhos aqui estão em conflito com a crença geral. Mas, pela nossa experiência, muitos conselhos estão desatualizados e oferecem uma falsa sensação de segurança.
Se a questão da segurança do WordPress incomoda você tanto quanto a nós, dê uma olhada no seguinte.
1. Não use muitos plugins de segurança
Dada a grande variedade de plugins disponíveis, com vários conjuntos de recursos, é tentador usar mais de um plugin de segurança do WordPress. Para ser honesto, é um exagero. Estar preocupado com a segurança do seu site é normal, mas você deve se perguntar se realmente precisa de mais de um plugin de segurança? Quais são os recursos essenciais para o requisito do seu site? Os recursos vão pisar nos dedos uns dos outros?
Por exemplo, um conflito pode surgir quando os plugins começam a modificar arquivos como wp-config.php ou htaccess. Os plugins podem facilmente mexer nesses arquivos, mas não os modificam de maneira unânime. Isso pode criar conflitos e tornar seu site lento.
Com sites WordPress, as coisas podem dar errado de vez em quando. Todo mundo odeia a temida Tela Branca da Morte . Ter vários plugins que afetam profundamente seu site pode dificultar os problemas de depuração. Agora, se houvesse apenas um plugin, encontrar e corrigir a causa do erro teria sido mais fácil e menos complicado.
2. Não altere o prefixo do banco de dados
Existem várias maneiras pelas quais um site WordPress pode ser comprometido. O hacker pode obter acesso ao banco de dados de um site por meio de ataque de injeção de SQL. Uma vulnerabilidade em um plug-in ou tema pode ser usada para invadir o banco de dados do site (é por isso que sugerimos que você use um plug-in de backup de banco de dados do WordPress para evitar armadilhas semelhantes).
Um método popular de impedir que hackers se aprofundem no seu site é alterar o prefixo da tabela padrão. Como você pode ver na imagem abaixo, no WordPress, o prefixo padrão da tabela é ‘wp_.’ O WordPress permite que você altere o prefixo da tabela (ou seja, ‘xzy_’) para ocultar certas tabelas.
Na superfície, isso parece uma boa ideia. Se os hackers não souberem o nome da tabela, eles não poderão recuperar os dados dela. Este é, no entanto, um raciocínio falso. Depois que alguém invade seu banco de dados, ainda há maneiras de descobrir as tabelas. Portanto, alterar os nomes do prefixo é inútil. Além disso, modificar o prefixo padrão pode fazer com que vários plugins se comportem mal.
Além disso, alterar o prefixo do banco de dados durante o voo é difícil de implementar e pode causar o travamento do seu site. Isso ocorre porque há muitas mudanças que precisam ser feitas em todos os níveis. Qualquer erro no processo será catastrófico para o seu site.
3. Evite ocultar sua página de login
Há sempre alguém tentando invadir seu site quebrando sua senha. Durante ataques de força bruta, os hackers tentam fazer login no seu site usando uma combinação de nomes de usuário e senhas populares. E daí se escondermos a página de login? Isso vai matar dois coelhos com uma cajadada só, certo? O hacker não poderá encontrar a página de login e a carga no seu servidor será reduzida.
O WordPress tem uma página de login padrão. O URL para a página geralmente se parece com este exemplo.com/wp-login.php. Uma maneira bem conhecida de salvar seu site do ataque de força bruta é ocultar ou alterar a página de login padrão para algo como example.com/mylogin.php. Embora isso pareça um plano infalível, vamos descobrir a eficácia do método para manter seu site WordPress seguro.
Redução de carga do servidor
Depois de ocultar ou alterar o local da sua página de login, toda vez que alguém tentar abri-la, ocorrerá um erro 404. No entanto, as tentativas de login são um processo pesado. Sempre que a página de erro 404 é carregada, ela consome muitos recursos do servidor. E acaba deixando seu site mais lento. Portanto, a crença comum de que ocultar sua página de login reduzirá a carga no servidor está incorreta.
URL alternativo não é difícil de adivinhar
Parte do sucesso do WordPress como CMS se deve aos plugins que facilitam as modificações em um site. Não é de surpreender que uma maneira popular de ocultar uma página de login de um site seja usando um plug-in. Esses plugins vêm com um conjunto de URLs de login alternativos padrão como xzy.com/wplogin.php, etc. Fomos treinados para usar apenas as configurações padrão. Uma vez que instalamos o plugin e alteramos nossa URL, não damos muita atenção a isso. Mas existem apenas alguns URLs que um plugin pode oferecer. Não é muito difícil descobrir esses URLs de login predefinidos. Portanto, o uso de URL alternativo pode ser ineficaz na maioria dos casos.
Problemas de usabilidade
A beleza do WordPress é que é fácil de usar. É uma plataforma familiar. Para um site com muitos usuários, alterar ou ocultar a página de login pode causar alguns problemas. Várias vezes nos deparamos com postagens em fóruns do WordPress em que os usuários são bloqueados em um site devido a uma alteração no URL de login. Na maioria dos casos, as alterações foram feitas usando um plugin e os usuários não foram informados da situação causando o caos.
4. Não bloqueie endereços IP manualmente
Se você tiver um plug-in de segurança instalado em seu site, será notificado sempre que alguém tentar fazer login em seu site. Você pode facilmente obter o IP que envia essas solicitações maliciosas e bloqueá-las usando o arquivo .htaccess . É um trabalho manual intensivo e não uma prática muito conveniente.
Não amigável
Uma pessoa não técnica tentando modificar os arquivos .htaccess é uma receita para o desastre. Um sistema de gerenciamento de conteúdo como o WordPress tem uma formatação muito rígida. Mesmo usando as ferramentas mais populares como FTP/SFTP é muito arriscado. Um pequeno erro ou um posicionamento incorreto do comando pode causar o travamento do site.
Muitos IPs para bloquear
Para evitar entrar na lista negra, os hackers usam endereços IP de todo o mundo. Anteriormente, discutimos sobre o bloqueio manual de endereços IP que estão constantemente tentando invadir seu site. O trabalho (como mencionamos antes) requer muito tempo e esforço, mas não é exatamente um uso muito eficiente do tempo. Mas se você usar qualquer um dos principais plugins de segurança do WordPress, por exemplo, Malcare , poderá automatizar o processo de bloqueio. Esses plugins de segurança cuidam de todas as brechas de segurança do WP.
5. Escondendo o WordPress
Existe uma suposição geral de que ocultar seu CMS torna mais difícil para pessoas com intenção vil de invadir seu site. E se pudéssemos esconder o fato de que seu site está rodando no WordPress. Isso protegeria seu site de hackers que desejam explorar vulnerabilidades comuns. Uma maneira fácil de fazer isso é (você adivinhou) usando um plugin. Mas o método falha quando os hackers não se importam em qual plataforma seu site está sendo executado. Além disso, existem várias maneiras de descobrir se um site está sendo executado no WordPress .
Além de usar um plugin, pode-se optar por fazer o trabalho manualmente. Mas é um processo demorado. Uma única atualização do WordPress pode desfazer tudo o que você trabalha em poucos segundos. O que significa que você teria que repetir o processo várias vezes ou evitar as atualizações do WP. Pular as atualizações do WordPress é como abrir a porta da frente para um hacker entrar em sua casa.
6. A proteção de senha wp-admin não funciona
A página de login padrão do WordPress (que se parece com isso – example.com/wp-admin) é um gateway para o seu site. Uma página de login típica se parece com a imagem abaixo.
Aqui você precisará usar suas credenciais para acessar o painel do WordPress. A senha que protege a página de login ajuda a ocultar ou proteger esse gateway para o painel. É uma boa ideia, mas não sem suas brechas.
Cortesia da imagem: LookLinux
Em primeiro lugar, é difícil manter ou até mesmo alterar a senha, caso você a perca. Além de serem ineficazes em fornecer segurança adicional, essas modificações em seu site podem ser muito perigosas. Por exemplo, quando você protege com senha a página de administração, solicitações como /wp-admin/admin-ajax.php não podem ignorar a proteção. Existem plugins que podem depender da funcionalidade Ajax do seu site. E quando não conseguem acessar essa funcionalidade, começam a se comportar mal. Portanto, isso pode causar a quebra do site.
Para você
Se você tiver alguma dúvida ou sugestão sobre o que deve ser evitado para proteger seu site WordPress, informe-nos nos comentários.