5 maneiras fáceis de fortalecer sua segurança do WordPress
A segurança do WordPress é um tema quente na blogosfera no momento. Os recentes ataques de botnets em um grande número de sites WordPress fizeram com que algumas pessoas lutassem para recuperar seus dados preciosos e você deve agir rapidamente para fortalecer sua segurança WordPress.
Depois, há aqueles que pensaram no futuro e agiram antes que fosse necessário. As chances são de que eles não tiveram nenhum problema porque se tornaram um alvo difícil.
O fato é o seguinte: embora não exista um site 100% seguro, pode-se diminuir muito a probabilidade de ser hackeado dedicando um pouco de tempo para tornar seu site mais seguro do que 99% dos outros por aí. Com isso em mente, neste post vou guiá-lo através de um processo simples de cinco etapas que transformará seu site de um alvo fácil em um verdadeiro biscoito duro.
Etapa 1: atualizar tudo
Itens desatualizados em seu site representam riscos de segurança em potencial, pois podem ser usados por hackers para invadir o back-end de seu site. Por isso é tão importante manter tudo atualizado.
E quando digo tudo, quero dizer tudo:
- O núcleo do WordPress
- Temas
- Plug-ins
Temas e plugins desativados também devem ser mantidos atualizados – sua mera presença em seu site os torna um risco potencial de segurança, portanto, você deve mantê-los atualizados para fortalecer sua segurança do WordPress.
Não faz login com muita frequência? Não se preocupe – você pode usar um plugin como o Easy Updates Manager para habilitar atualizações automáticas para seu núcleo, tema e plugins do WordPress. Há também várias configurações avançadas integradas para personalizar suas atualizações e logs para ver o que foi atualizado e quando.
Muitas pessoas chegam até aqui e param, mas na verdade há mais um passo que você deve tomar: você deve considerar seriamente a remoção de quaisquer temas e plugins em seu site que não tenham sido atualizados recentemente. Você pode monitorar facilmente quando os plugins foram atualizados pela última vez com Plugin Last Updated. Isso adiciona a data da última atualização à sua lista de plugins no back-end (que deve ser exibida por padrão).
De um modo geral, eu diria que qualquer plugin não atualizado nos últimos doze meses deve ser considerado para exclusão.
Etapa 2: faça backup de tudo (e regularmente)
Eu sei que é uma sugestão óbvia, mas seria negligente da minha parte não incluir backups do WordPress . O simples fato é que poucas coisas (se alguma coisa) são mais importantes para a segurança do seu site.
Se o seu site estiver sujeito a um hack realmente destrutivo (o que sempre é possível), sua última linha de defesa é um backup recente. Isso significa que, mesmo que o pior aconteça, você ainda terá algo para se apoiar. Se você não mantiver backups regulares, para ser bem direto, você está ferrado.
Há um enorme número de soluções de backup por aí, mas minha primeira sugestão seria escolher um provedor de hospedagem que inclua backups automáticos em seu serviço. Se você for vítima de uma tentativa de hacking que danifica seu site, deve descobrir que seu provedor é rápido em restaurar o site à sua glória anterior.
Além disso, as melhores opções são VaultPress e BackupBuddy . Eles custam dinheiro, mas meu conselho é nunca economizar em sua solução de backup. Pessoalmente, sou usuário do VaultPress (assim como o WPExplorer) — eles oferecem uma solução abrangente de backup, bem como recursos de segurança adicionais.
Etapa 3: alterar seu nome de usuário padrão
Se você ainda estiver usando o perfil “admin” padrão que veio com sua instalação do WordPress, agora é a hora de mudar.
Por quê? Porque o primeiro passo para qualquer tentativa de login de força bruta é tentar fazer login com o nome de usuário “admin” e, em seguida, executar um enorme número de tentativas de senha para obter entrada. Se você criar um nome de usuário mais exclusivo, você interromperá essa tentativa de invasão em suas trilhas.
Alternar perfis e tudo o que está potencialmente associado a ele (transferência de propriedade de postagens etc.) pode parecer uma tarefa bastante assustadora, mas é um passo importante para proteger seu site e é muito mais fácil do que parece. Confira o YouTube para tutoriais se você quiser alguma orientação extra.
Etapa 4: crie uma senha forte exclusiva (e altere-a regularmente)
Hoje em dia, a maioria das pessoas é experiente o suficiente para saber que sua senha não deve ser “senha”. O que eles podem não saber é que as tentativas de hackers de força bruta tentarão um número surpreendente de combinações de senhas na tentativa de acessar sites. Se a sua senha faz sentido ou é de alguma forma previsível (por exemplo, é composta de palavras ou padrões numéricos reconhecíveis), seu site está em risco.
Na realidade, existem três regras de ouro para a geração de senhas de melhores práticas:
- Deve ser verdadeiramente aleatório e único
- Ele deve ser usado apenas uma vez (ou seja, não em vários sites)
- Deve ser alterado periodicamente (por exemplo, uma vez por mês)
Se você seguir essas três regras, seu site será muito mais seguro. Em termos de geração de senhas verdadeiramente aleatórias, você pode usar um gerador online gratuito, como eu recomendo que você se inscreva em uma conta gratuita no LastPass e use esse serviço para (a) gerar e (b) armazenar todas as suas senhas.
Etapa 5: instalar a proteção de plug-in
Há um grande número de plugins por aí que afirmam aumentar a segurança do seu site. A escolha simples pode ser esmagadora, mas vou cortar o joio e recomendar o que considero o plugin mais simples e eficaz para você utilizar.
Esse plugin é o Wordfence : um plugin gratuito popular e altamente avaliado. Inclui uma ampla variedade de recursos de segurança, incluindo (mas não limitado a):
- Um firewall
- Proteção de IP malicioso
- Verificações de backdoor
- Verificações de malware
- Segurança de login aprimorada
Embora o Wordfence seja um modelo freemium e tenha uma versão paga com mais opções, o plugin em si e o serviço básico não custam nada. Instalar isso em seu site é um acéfalo.
Na realidade, estou apenas arranhando a superfície aqui. Embora a implementação das medidas de segurança acima ajude a fortalecer a segurança do WordPress acima da grande maioria dos outros, sempre há mais o que você pode fazer e sempre há uma chance de ainda ser hackeado.
Eu cobri maneiras simples de fortalecer sua segurança do WordPress neste post. Se você implementou todos eles e ainda está com fome de mais, eu aconselho que você comece verificando a página de segurança oficial do WordPress no WordPress.org Codex .
Agora é a sua vez – eu adoraria saber quais recomendações simples você tem para fortalecer sua segurança do WordPress. Podem ser dicas e truques simples, sugestões de plugins ou até mesmo um serviço premium recomendado como o VaultPress mencionado acima. Dispare na seção de comentários!