É sempre divertido e divertido até você não conseguir fazer login no seu amado site WordPress porque os bandidos assumiram o controle. Toda diversão e jogos até que alguém seja hackeado, perca o acesso ao painel de administração do WordPress e o inferno desapareça.
Seu humor leva o primeiro golpe. Eles diminuem rapidamente quando você descobre que foi destronado. É doloroso e frustrante para dizer o mínimo, porque, bem, algum cara está mexendo com seu sustento, se intrometendo em seus negócios e cuspindo na sua cara.
E garoto, você entrará em ação, correndo freneticamente tentando restabelecer seu site WordPress, portanto, seu negócio, à sua antiga glória. Confie em mim, você não quer ser hackeado, ninguém quer. Mas ainda assim, isso acontece com todos e diversos no dia-a-dia.
No entanto, sempre temos seus melhores interesses em mente e, como tal, reunimos várias medidas que você pode usar para reforçar a segurança do WordPress e reduzir as chances de hospedar convidados indesejados.
Com essas práticas recomendadas de segurança do WordPress, queremos que você tenha o mais seguro dos sites WordPress. Faremos o possível para detalhar os pontos, mas se você precisar de ajuda com alguma coisa, faça suas perguntas e/ou compartilhe sua opinião nos comentários.
Isso fora do caminho, vamos fortalecer seu site WordPress.
Comece com uma hospedagem WordPress de qualidade
Certamente, você não pode esperar segurança de alto nível de um host que cobra um dólar por mês. Todos nós já vimos aqueles planos de hospedagem ‘nós-temos-tudo-por-um-penny’. Esses planos obscuros de empresas de hospedagem obscuras prometendo o paraíso por apenas US $ 2 a US $ 4 por mês. Oh, eles não são tão atraentes?
Eles são principalmente pacotes de hospedagem compartilhada que terão seu site, portanto, seu negócio, vivendo no mesmo servidor com um milhão e um de outros sites. Todos os tipos de sites – bons e ruins. Eles geralmente são menos seguros do que, digamos, hospedagem gerenciada do WordPress que custa cerca de US $ 30 por mês.
Se e/ou quando um dos sites for comprometido, você corre um risco maior de ser comprometido também. Na verdade, você ficará comprometido mesmo se for tão vigilante quanto o próximo. A única maneira de mitigar os ataques relacionados ao host da Web é usar um host confiável e um plano de hospedagem seguro desde o início.
Escolher a melhor hospedagem WordPress para o seu negócio não precisa ser um desafio, considerando que existem apenas alguns fatores a serem observados. Eles incluem custo, qualidade de suporte, políticas de backup e gerenciamento de dados, atualizações no servidor e software nele e tudo mais.
Confira o artigo vinculado no parágrafo acima e escolha um host WordPress gracioso com base em recursos de segurança, entre outras coisas. Se você quiser pular a pesquisa e ir direto para hospedar seu blog WordPress em servidores seguros, nós usamos, adoramos e recomendamos o WPEngine . Eles fornecem hospedagem WordPress de alto nível, cheia de opções de segurança que vão te surpreender. Tudo em um ótimo negócio. O Media Temple e o Siteground também são outras ótimas opções de hospedagem do WordPress.
A hospedagem compartilhada Bluehost também é uma ótima opção para o iniciante que está testando as águas, mas se você precisar de hospedagem segura para o seu site WordPress, precisará atualizar do pacote de hospedagem compartilhada para um dos outros pacotes.
Por que seu anfitrião é tão importante? Fui hackeado três vezes (sim, três vezes) em seu pacote compartilhado. Bem, foi em parte minha culpa, pois eu havia negligenciado os sites das vítimas, o que deu aos hackers um dia de campo para jogar como quisessem. Desde então, desativei esses sites, pois eram riscos potenciais para outros sites nesse servidor específico (fique por perto, pois mencionaremos uma coisa ou duas sobre como negligenciar seu site pode levar a problemas desagradáveis
De volta à escolha de hospedagem WordPress de alta qualidade, como você faz isso? Um simples telefonema para o seu host de escolha deve ser suficiente. Você deve procurar ver se eles executam os servidores mais recentes. Pergunte sobre suas versões de servidor, segurança de tais servidores e o software que eles executam nesses servidores.
Em seguida, faça uma pesquisa rápida no Google para verificar (ou confirmar) as datas de lançamento do software do servidor. Isso deve dar uma pista se eles estão ou não executando o software mais recente. Também o ajudará a determinar com que frequência eles atualizam seus servidores. Se eles ficarem longos períodos sem atualizações, você não deve confiar neles com seu negócio online.
Esteja atento e faça outras perguntas relacionadas e nunca pare até ter certeza de que o seu host é o host mais seguro que o dinheiro pode comprar.
Faça feno enquanto o sol brilha e esteja preparado
Chave de computador de backup em azul para arquivamento e armazenamento
Embora isso possa não impedir que os bandidos invadam seu blog ou loja online do WordPress, a preparação pode diminuir o impacto do ataque. Estou falando de backups de dados aqui meu amigo; backups regulares que o protegerão da perda de dados importantes.
Um backup lhe dá tranquilidade para que você possa dormir melhor à noite. Um backup é a solução rápida que você deseja quando as coisas vão para o sul. Quando seu incrível site de receitas começa a vender Viagra em todas as páginas, você só pode contar com um backup para se recuperar de tal ataque.
Você deve fazer backup de toda a sua instalação do WordPress; arquivos principais, bancos de dados e tudo mais. Os especialistas recomendam ainda criptografar seus backups e armazenar uma cópia do mesmo em mídia somente leitura.
Você pode facilmente agendar backups diários ou aproveitar ferramentas como MySQL Workbench , WordPress Database Backup (WP-DB-Backup) e BackWPup entre outros. Você também pode aprender mais:
- Faça backup do WordPress para a nuvem com BackWPup – um guia abrangente
- Fazendo backup do seu banco de dados
- Restaurando seu banco de dados do backup
Plug-ins do WordPress
Outro dia, Ryan Dewhurst , do WPScan, descobriu (e relatou) uma vulnerabilidade de injeção de SQL cego no WordPress SEO por Yoast . Agora, o WordPress SEO by Yoast é um plugin de SEO popular, com mais de um milhão de instalações ativas. Isso significa que se um hacker explorasse essa falha de segurança, eles teriam mais de um milhão de sites WordPress à sua mercê. Mais de um milhão de sites!
Oh não, por favor, não se assuste. O Yoast lançou uma correção de segurança no mesmo dia em que a vulnerabilidade foi descoberta. Há apenas um problema embora. Ao contrário do WordPress, os plugins não são atualizados automaticamente, o que significa que você ainda estará vulnerável se não tiver atualizado para a versão mais recente do WordPress SEO.
Você também pode argumentar que não sabia nada sobre isso, mas os hackers têm todos os detalhes, pois a informação é de domínio público, onde está prontamente disponível para todos. O que diabos você está esperando? Aperte esse botão de atualização já. Atualize todos os seus outros plugins também.
Ainda neste negócio de plugins do WordPress, você só deve comprar ou baixar plugins do WordPress de fontes confiáveis. Para estar no lado seguro, obtenha seus plug-ins do extenso repositório de plug-ins do WordPress ou de fornecedores respeitáveis, como CodeCanyon .
Existem hackers que se disfarçam de desenvolvedores de plugins legítimos em uma tentativa de fornecer a você plugins alinhados com código malicioso. Não caia em seus truques baratos, obtenha seus plugins de sites confiáveis. Além disso, não deixe plugins inativos por aí – exclua todos os plugins não utilizados porque eles são um ponto de entrada favorito para hackers. Sim, eles são, mesmo quando estão desativados.
A propósito, a menos que você esteja com WPEngine e Siteground , não conte com seu host para mantê-lo seguro no que diz respeito às vulnerabilidades do plug-in – assuma a responsabilidade e morda a bala.
Temas do WordPress
Se os hackers não forçarem sua entrada por meio de plugins desatualizados, comprometidos ou mal codificados, eles encontrarão brechas em seus temas. Na verdade, a maioria dos ataques acontece por meio de temas e plugins, então sim, você precisa estar mais atento aqui.
Em primeiro lugar, assim como com os plugins do WordPress, você não pode se dar ao luxo de pegar temas de qualquer lugar. Você vai pegar um vírus, malware ou coisa pior e depois vai reclamar quando a merda bater no ventilador.
Se você está operando com um orçamento muito apertado ou está apenas começando, pode conferir alguns de nossos temas WordPress gratuitos, mas codificados profissionalmente, ou os milhares de temas gratuitos em WordPress.org . Atualmente, eu uso o tema elegante gratuito do nosso próprio estábulo, e tem funcionado maravilhas. Ver? Nada de pregar água e beber vinho aqui
Para temas premium, um ótimo tema custará US $ 60 ou mais em alguns dos melhores mercados de temas, como Elegant Themes e Themeforest . Você obtém um ótimo produto, suporte de primeira linha e atualizações de segurança, entre outras coisas. Se você precisa apontar na direção certa, eu adoraria recomendar o gracioso tema Total WordPress que é nada menos que bonito e seguro.
Você deve se esforçar para manter seu(s) tema(s) atualizado(s) em todos os momentos para que você não tenha problemas. Dito isso, exclua todos os temas não utilizados por motivos óbvios.
Se você tiver algum verde extra para gastar ou for um desenvolvedor do WordPress, poderá criar seus próprios temas personalizados. Este é o único meio infalível, embora caro, de obter temas WordPress seguros.
Claro, você (ou seu desenvolvedor) deve seguir os melhores padrões de codificação da web e atualizar o(s) tema(s) se necessário. Se você contratar um desenvolvedor da Web para criar um tema, certifique-se de que ele seja respeitável primeiro. Você também pode verificar se o seu tema atende aos padrões de temas mais recentes do WordPress usando um plug-in como o Theme Check . Se movendo…
Atualizar WordPress
Você deve sempre administrar seus negócios on-line na versão mais recente do WordPress, o que é fácil. Você deve pensar que é óbvio que todos atualizariam o WordPress regularmente, considerando que todos recebemos notificações no painel.
No entanto, nem sempre é esse o caso, pois muitas vezes você encontrará empreendedores on-line que não atualizam para a versão mais recente semanas e até meses após o lançamento da atualização.
Você sempre pode obter o sabor oficial e mais recente do WordPress em WordPress.org . Você também é advertido contra baixar ou instalar o WordPress de qualquer outro site, porque você pode pegar algo. Algo muito ruim como um hack de exploração de backdoor ou algum código JavaScript que carrega lixo e outros hacks para o seu servidor. Apenas não baixe o WordPress de qualquer outro site que não seja o WordPress.org.
Atualizar sua instalação do WordPress é um trabalho fácil – apenas uma questão de apontar e clicar. Você é, no entanto, aconselhado a fazer backup do seu site antes de qualquer atualização, caso algo ocorra no processo. Além disso, você perderá todas as alterações feitas nos arquivos principais, pois o processo de atualização afeta todos os arquivos e pastas do WordPress.
O recurso de atualização automática foi introduzido no WordPress 3.7 para cuidar de pequenas correções de segurança e tornar todo o processo de atualização mais fácil para desenvolvedores e usuários finais. Agora, você só precisa se preocupar com as principais atualizações de versão, então sim, seu trabalho deve ser fácil. Você só precisa ativar a atualização automática.
Atualize, atualize, atualize ou prepare-se para se arrepender, se arrepender, se arrepender.
Limpe seu computador
Depois do ensino médio, cerca de dez anos atrás, trabalhei brevemente em um cyber café. Foi muito interessante, pois conheci tantas pessoas e fiz minha entrada no mundo do marketing digital.
Mas nem sempre foi divertido graças a worms, cavalos de tróia, vírus, malware etc. Lembro que às vezes tinha que fechar o café por um dia só para formatar os computadores. Não importava que eu tivesse programas antivírus instalados e rodando em todos os computadores. Mas eu discordo.
Se algum hacker conseguir obter um keylogger em sua máquina como um cavalo de tróia (o que significa que o keylogger está oculto em outro programa para mascarar o fato de o hacker estar registrando cada toque de tecla em seu PC), você nunca protegerá seu site, não importa que.
Seu site será invadido várias vezes, já que você está apenas fornecendo suas informações de login para os bandidos. E como eles podem ver todas as suas teclas, eles terão acesso às suas contas online – todas elas. Falar de e-mail, Facebook, Twitter, YouTube etc.
Assistente de keyloggers, há coisas piores no lado negro da internet. Por exemplo:
Na verdade, existem vírus à solta que infectam seu computador local e, em seguida, procuram conexões FTP abertas e carregam automaticamente um arquivo de hack para seu host usando essa conexão. – Brad Williams, Bloqueando o WordPress
Os computadores do cyber café não são exatamente como você deseja acessar o painel de administração do WordPress. Talvez seja inevitável, mas sempre certifique-se de que todos os computadores que você usa não possuem malware, vírus e spyware. Caso contrário, você estará entregando aos hackers suas informações de login e muito mais em uma bandeja de prata.
Certifique-se de que seu sistema operacional e programas em seu computador estejam atualizados. Em seguida, ligue seus firewalls e obtenha o melhor programa antivírus. Cansei de formatar os computadores o tempo todo, então saí em uma viagem para encontrar o melhor programa antivírus. E eu encontrei. Desde então, tenho usado e amado Eset.
Além disso, fique longe de sites não confiáveis, mas se precisar porque – curiosidade, desative todos os scripts, ou seja, Java, JavaScript, Flash etc em seu navegador. Ou simplesmente não visite esses malditos sites .
Crie senhas mais fortes
É hora da história. Desta vez eu tomei um café a mais e criei um site WordPress que eu “criativamente” batizei de #YouCan’tHackThis. Criativamente está entre aspas porque eu estava surfando nas ondas de um café alto. Talvez eu tivesse bebido um ou dois drinques antes do café; Eu simplesmente não consigo me lembrar. Eu crio muitos sites WordPress apenas por diversão.
Meu nome de usuário era…espere…Unhackulture (vamos culpar o café) e minha senha era, bem, não me lembro. Foi uma bagunça, porém, a senha, e por isso mesmo, nunca se manteve firme quando alguma pessoa rude da internet (ou coisa) atingiu a página de login com ‘força bruta’.
Para encurtar a história, minhas defesas cederam e #YouCan’tHackThis caiu como as paredes de Jericó. O Google me enviou o temido e-mail “Hacking Suspected” com um URL de exemplo e, em uma investigação mais aprofundada, encontrei muito lixo.
O hacker teve a audácia de postar uma captura de tela de sua área de trabalho no meu amado #YouCan’tHackThis como se fosse me provocar. Ele/ela/isso teve coragem eu te digo, porque em cima da captura de tela, havia páginas e páginas de penugem, conteúdo de preenchimento que não tinha direção.
Eu baixei o site inteiro e reforcei a segurança em meus outros sites. Instalei o iThemes Security e hoje tudo o que recebo são e-mails de “Notificação de bloqueio de site”. Se alguém tentar forçar a entrada em qualquer um dos meus sites usando força bruta, eles serão bloqueados por um século! Sim, são 100 anos no lixo hacker. Haha, estou me deixando levar.
Senhas fracas farão com que você seja hackeado. Da mesma forma, esse nome de usuário de administrador que você tanto guarda tornará mais fácil para os hackers. Crie nomes de usuário personalizados ao instalar o WordPress e use o indicador de força ao criar sua senha. Isso deve ser suficiente, mas se você quiser ir além, deve fazer o check-out das ferramentas 1Password e KeePass .
Denunciar vulnerabilidade de segurança
É sua responsabilidade como usuário do WordPress relatar uma vulnerabilidade de segurança assim que a descobrir.
Primeiro, é um bom carma. Em segundo lugar, o que vai, volta. Terceiro, se a vulnerabilidade estiver em um plugin ou tema que você usa, você recebe atualizações de segurança e um grande obrigado. Como resultado, seu site não é comprometido e você constrói uma boa reputação ao mesmo tempo em que torna o mundo um lugar melhor.
É nossa responsabilidade coletiva como WordPressers apontar todas as falhas de segurança que encontramos. Afinal, é para o nosso próprio bem.
Reforçar as permissões de arquivo/pasta
Agora estamos entrando no grosso da segurança do WordPress. Como um iniciante absoluto, eu odiaria que você surtasse. Vou agitá-lo e servi-lo gelado do jeito que você gosta. Aqui vamos nós.
Se cada Tom, Dick e Harry que obtém acesso ao seu servidor pode editar (também conhecido como escrever) seus arquivos e pastas, então há tão pouco que você pode fazer para impedir o dano que se seguirá.
Mas e se fizéssemos que certos arquivos e pastas só pudessem ser escritos por você? Bem, os hackers não saberão o que fazer. Eles podem entrar bem, mas o dano que causariam quando seus arquivos não são editáveis/graváveis
Mas como você lida com esse negócio de permissão de arquivo/pasta? Aqui está um esquema possível a seguir:
- Todos os arquivos na pasta raiz devem ser graváveis
apenas por você - /wp-admin/ – todos os arquivos devem ser graváveis
apenas por você - /wp-includes/ – todos os arquivos devem ser graváveis
apenas por você - /wp-content/themes – todos os arquivos devem ser graváveis
por você e pelo servidor web - /wp-content/plugins – todos os arquivos devem ser graváveis
por você
Como você define permissões de arquivo/pasta?
Para satisfazer o esquema acima, você precisa definir permissões para 755 para pastas e 644 para arquivos. Quão? Essa é a parte mais fácil. Você pode usar seu cliente FTP (como o Filezilla) ou fazer login diretamente no seu Gerenciador de Arquivos via cPanel.
Usando FTP
Depois de fazer login no seu servidor web via FTP, localize o diretório/arquivo que deseja definir as permissões, clique com o botão direito nele e escolha ‘Permissões de arquivo’. Na tela pop-up exibida, selecione as permissões que julgar adequadas. O pop-up pode ser algo assim:
E aqui está a lista completa de permissões de arquivo de 000 a 777.
Usando o Gerenciador de Arquivos
Faça login no seu cPanel e navegue até o Gerenciador de Arquivos. Quando carregar, selecione seu diretório ou arquivo e clique em “Alterar permissões” no menu na parte superior. Como alternativa, você pode selecionar sua pasta ou arquivo, clicar com o botão direito do mouse e selecionar “Alterar permissões” no menu suspenso que aparece.
Segue algumas orientações:
A opção de clicar com o botão direito…
O pop-up “Alterar permissões”:
Quer aprender mais? Leia mais sobre permissões de arquivo aqui . Avançando rapidamente…
Autenticação em duas etapas
A melhor maneira de proteger seus ativos online é tornar incrivelmente difícil para os bandidos fazerem login. Se você conseguir mantê-los afastados, você ganhou metade da batalha. É aqui que entra a autenticação em duas etapas (ou dois fatores).
Ao combinar senhas fortes e autenticação de dois fatores, você adiciona uma camada de proteção ao seu site. Você melhora a segurança do seu site WordPress duas vezes.
E como temos plugins como Google Authenticator , WordFence , Authy e Duo , implementar a autenticação em duas etapas deve ser a medida de segurança mais fácil do WordPress que você pode implementar neste exato momento.
Usar SSL
SSL é um acrônimo para Secure Sockets Layer, que é uma forma padrão de estabelecer um link seguro e criptografado entre o servidor de um site e o navegador de um usuário.
Às vezes, em vez de tentar quebrar as defesas do seu site, os hackers podem decidir seqüestrar os pacotes de dados que você envia do seu navegador para o servidor web. Quando eles abrem esses pacotes, eles facilmente obtêm acesso às suas informações de login, etc.
O que fazer? Você precisa utilizar a criptografia SSL, que protege a privacidade e a integridade de todos os dados que passam entre seu site e o servidor. É exatamente por isso que você encontrará todos os principais sites usando HTTPS em vez de HTTP em seus domínios.
É fácil de implementar e pode economizar muito tempo e frustração. Basta verificar com seu registrador de domínio ou host da web, e eles ficarão felizes em instalar o SSL para você. Os certificados SSL geralmente também são baratos, então você economiza um dinheirinho ou dois.
Desabilitar contas de usuário não utilizadas
Pense nas contas de usuários em seus sites WordPress como assentos em um ônibus. Se houver um assento vazio, alguém entrará. Se o assento estiver ocupado de outra forma ou não existir, bem, ninguém ocupará esse assento em particular.
Se você ativou o registro de usuário em seu site WordPress, vasculhe as contas de usuário de vez em quando e elimine contas não utilizadas e todas as contas criadas por spammers. Se você deixar isso por aí, você está apenas pedindo para ser hackeado – e você será hackeado.
Alternativamente, você pode desabilitar o registro do usuário completamente indo para Configurações -> Geral e desmarcando ‘Qualquer pessoa pode se registrar’ onde você é membro. Você pode ver todos os usuários navegando até Usuários -> Todos os usuários no seu menu de administração do WordPress.
Ao mesmo tempo, você pode limitar as permissões em novas contas de usuário. Você faz isso facilmente navegando até Configurações -> Geral – Nova Função Padrão do Usuário e definindo a opção como ‘Assinante’. Outras funções incluem Colaborador, Autor, Editor e Administrador. Você definitivamente não quer que novos usuários tenham privilégios de administrador. É melhor atribuir aos usuários apenas os privilégios de que precisam para realizar seu trabalho.
Eu poderia continuar indo e vindo, mas vou sobrecarregar você com muitas informações, o que definitivamente nunca é minha intenção. Adoraríamos que você tivesse dicas acionáveis
De volta a você, por favor, comece a trabalhar nas áreas que mencionamos agora, porque quanto mais você esperar, mais fácil será para os bandidos. Basta começar com uma área e seguir em frente, e se você estiver travado ou em dúvida, traga suas preocupações para a seção de comentários abaixo. Ou se você tiver uma dica a acrescentar, nos avise – estaremos esperando, e isso é uma promessa solene. Todos os melhores amigos!