O WordPress é uma ótima plataforma, mas os hackers e a outra escória da Internet podem causar estragos a qualquer momento, especialmente se o seu tema (ou instalação do WordPress) facilitar para eles. É particularmente por isso que você nunca deve procurar por “temas gratuitos do WordPress”, algo que todos nós já fizemos uma vez ou outra. Tome nota, não sou contra temas gratuitos do WordPress, e existem alguns bons temas gratuitos no WordPress.org ou mesmo aqui no WPExplorer em nossa seção de temas gratuitos , mas a grande maioria dos temas gratuitos que você encontrará espalhados pela web são nem sempre realmente “grátis”.
Esses temas geralmente têm linhas ocultas de código ou links que o desenvolvedor ou hacker colocou apenas para seu próprio benefício. Ele está habilmente oculto, então você provavelmente não notará esse código subjacente até que seja tarde demais. Com isso fora do caminho, vamos discutir algumas coisas sobre a segurança do seu WordPress ? Neste post, abordaremos:
- Dicas para proteger seu site WordPress
- Dez dos melhores plugins de segurança do WordPress
Atualize sua plataforma WordPress
Vamos começar com as primeiras coisas primeiro; atualizando seu site WordPress. Independentemente do tema gratuito ou premium escolhido, você ainda estará vulnerável a todos os tipos de ataques se estiver executando em uma plataforma antiga. Essa é a verdade feia e um dos casos em que velho não é ouro .
A Automattic lançou o WordPress 3.7 (ou Basie ) no outro dia, e se você não atualizou para esta nova versão, está tornando tudo muito fácil para os hackers. Isso porque, mesmo com um tema premium, você ainda pode ser hackeado se alguém explorar uma falha de segurança em uma plataforma WordPress antiga.
A compatibilidade de plugins não deve ser um problema, já que bons plugins são atualizados quase assim que uma nova atualização do WordPress é lançada. Afinal, você prefere manter um plugin incompatível e perder seu site (e o plugin, é claro) ou atualizar o WordPress e instalar novos plugins (ou atualizações)? Eu iria com a segunda opção e você também deveria. Atualizar, atualizar e atualizar.
Crie senhas mais fortes
Newsflash: Se o seu nome de usuário é algo ruim como “admin” e sua senha também é algo ruim como “password123” ou algo próximo, você. vontade. estar. hackeado . Vamos lá, você não ganha nada ficando na frente de um pelotão de fuzilamento armado e gritando “Fogo!”. Torne dolorosamente difícil para os hackers passarem pela sua porta da frente criando senhas mais fortes.
Use caracteres especiais (por exemplo, hífens, vírgulas, pontos etc), letras MAIÚSCULAS, letras minúsculas e números – misture tudo e não use a mesma senha para sites diferentes. Isso é como mexer com a máfia, dar a eles um mapa da sua casa e esperar que eles não apareçam.
Adivinhe, o WordPress 3.7 torna muito fácil (e muito possível) criar senhas “à prova de hackers” mais fortes. Aproveite este novo recurso. Lembre-se de alterar sua senha de vez em quando, assim como você troca sua escova de dentes. É sua responsabilidade como proprietário de um site WordPress, então não se esqueça ou procrastine.
Proteja-se de atacantes de força bruta
Neste momento, algum hacker mascarado pode estar tentando entrar no seu site WordPress usando técnicas de força bruta . A parte mascarada é um exagero porque os hackers são apenas pessoas normais que não precisam de máscaras faciais (ou armas e facas) para perpetuar seus males. Eles simplesmente invadirão seu site e se esconderão atrás de todos os tipos de máscaras “virtuais”, também conhecidas como proxies e IPs ocultos.
Atacantes de força bruta (que é apenas um nome chique para todos os hackers) irão bombardear seus formulários de login com um universo inteiro de combinações de nome de usuário e senha até que algo aconteça. É melhor não ser o seu site.
Veja por que você precisa de senhas mais fortes?
Enquanto você lê a linha acima, seu site pode estar recebendo 20, 30, 40…100 tentativas de login não autorizadas! Não, não estou usando táticas de susto nem nada, estou apenas afirmando o óbvio. Existem sites que recebem até trezentos ataques de força bruta em menos de uma hora. Isso não deve deixá-lo paralisado de medo de qualquer maneira, porque você pode derrotar os atacantes de força bruta em seu joguinho.
Como proteger seu site WordPress contra ataques de força bruta
Existem algumas etapas simples que você pode seguir para ajudar a proteger seu site WordPress contra ataques de login de força bruta.
- Crie senhas mais fortes
- Converse com seu host sobre isso e eles poderão ajudar (Eles podem pedir para você editar um determinado arquivo .htaccess , mas sua melhor resposta para isso deve ser: “Eu não tenho ideia de quem é .htaccess ou onde eles moram ou se eles gostariam de me ver…” Ok, este é o ponto: apenas peça a eles para ajudá-lo a configurar coisas se você não sabe nada sobre .htaccess porque se você mexer com esse garotinho malvado ( .htaccess ), você estará vendo a infame página de erro 404 em todo o seu site.) Além disso, peça ao seu host para bloquear os endereços IP ofensivos para sempre. Para todo sempre.
- Use plugins como o Limit Login Attempts , que dificultará bastante os invasores de força bruta.
Mas se você realmente não pode deixar de experimentar seu arquivo .htaccess, basta adicionar o seguinte código…
<Files wp-config.php>
order allow,deny
deny from all
</Files>
… ao arquivo .htaccess para proteger ou “esconder” seu arquivo wp-config.php de invasores de força bruta. O wp-config.php contém todas as informações confidenciais do seu site WordPress. Você sabe, o tipo de informação que os hackers sonham em colocar as mãos, então não dê a eles. Coloque o seguinte código…
<Files .htaccess>
order allow,deny
deny from all
</Files>
…em seu arquivo .htaccess também para proteger o arquivo .htaccess de hackers mal-intencionados. Observe que basicamente você pode proteger qualquer arquivo usando o arquivo .htaccess modificando o código acima de acordo.
Limpe seu WordPress regularmente
Temas e plugins antigos e desatualizados que você não usa mais devem morder a poeira e morder a poeira DURAMENTE. Eles devem ir, e não há compromissos aqui. É confuso e dará aos hackers toda a madeira de casca de que precisam para incendiar sua casa.
Com temas e plugins antigos por aí, fica muito mais difícil para os profissionais de segurança desempenharem suas funções caso seu site seja comprometido, como será o caso se você optar por manter temas e plugins antigos. Limpe regularmente, você não precisa dessa desordem. Seu site será mais rápido também.
Inscreva-se para CDNs gratuitos
CDN é a abreviação de Content Delivery Networks e um bom exemplo é CloudFlare . As CDNs “aceleram” seu conteúdo, permitindo o carregamento de páginas da web em menos de um segundo, o que é ótimo, mas isso não é tudo. As CDNs também protegem seu site contra hackers, scumware e malware, filtrando o tráfego de entrada . Você não precisa pagar um único centavo para usar um CDN, basta se inscrever para uma conta gratuita. vou recomendar:
- CloudFlare
- Serviço PageSpeed
do Google (avaliação limitada) - Outros serviços gratuitos de CDN
Nota lateral: estaríamos absolutamente certos se presumissemos que o Google leva a segurança a sério
Faça backup do seu site WordPress
O backup do seu site ajudará você a fazer as coisas funcionarem novamente se um hacker realmente paciente passar por suas medidas de segurança. É tão importante , mas não é tão difícil porque – plugins de backup gratuitos! Você pode fazer backup do seu site WordPress usando estes plugins:
Também existem serviços de backup pagos:
Os 10 principais plug-ins de segurança do WordPress
Agora que abordamos alguns problemas de segurança e como se proteger, vamos treinar nosso foco e atenção nos dez melhores plugins de segurança do WordPress (são milhares). Os dez plug-ins a seguir serão reproduzidos como segurança em seu site.
Melhor segurança WP
Este plugin de segurança do WordPress é das boas pessoas da Foo Plugins . De acordo com Foo Plugins, o plugin Better WP Security “… pega os melhores recursos e técnicas de segurança do WordPress e os combina em um único plugin…” para que você possa corrigir muitas falhas de segurança sem problemas conflitantes ou perda de conteúdo em seu site.
O Better WP Security tem mais de um milhão de downloads no WordPress.org e, com um único clique, você pode detectar, ocultar, proteger e recuperar seu site. Além disso, é GRATUITO, mas você pode optar por comprar o serviço de instalação e um token de suporte Premium.
Verificação de segurança WP
Como você saberia que sua segurança do WordPress precisava ser corrigida se você não executasse verificações de segurança? Você saberia que precisa ser consertado se as coisas começarem a desmoronar, com certeza, mas você não quer esperar até que o inferno se solte.
Graças ao WP Security Scan, você pode escanear seu site WordPress em alguns minutos e evitar surpresas de segurança que levariam seu site para baixo. Além disso, o plug-in oferece dicas úteis para corrigir vulnerabilidades de segurança. Outros recursos importantes do WP Security Scan incluem a capacidade de:
- Faça backup do seu site
- Adicione arquivos index.php a wp-content, wp-content/themes, wp-content/uploads e wp-content/plugins para evitar a listagem de diretórios
- Permissões de arquivo de relatório
- Monitore a atividade do seu site
- Remova a versão wp para descarrilar hackers
A lista continua e, com 1,2 milhão de downloads, este plugin “obtém” a segurança do WordPress.
Limitar tentativas de login
Este plugin é uma boa defesa contra atacantes de força bruta. Com Limitar tentativas de login, você pode restringir as tentativas de login para cada endereço IP. Depois que um número predefinido de tentativas de login é alcançado, o plug-in bloqueia o endereço IP responsável por impedir os invasores de força bruta mortos em suas trilhas (ou consoles).
LIMITE DE DOWNLOAD DE TENTATIVAS DE LOGIN
Solução de segurança de login
Para divulgar isso, acho que esta é a mãe de todos os plugins de segurança de login. A solução de segurança de login ajuda você a reforçar a força da senha, bem como forçar a redefinição de senha para todos os usuários. O envelhecimento da senha também é uma opção com o plugin. Além disso, o logout de sessões ociosas é automático.
Com o Login Security Solution, você pode esquecer (ou digitar incorretamente) sua senha algumas vezes sem ser bloqueado, mas ainda assim os invasores de força bruta terão uma tarefa gigantesca invadindo seu site. Parece ótimo, certo?
BAIXE A SOLUÇÃO DE SEGURANÇA DE LOGIN
WordPress File Monitor Plus
Este plugin faz apenas uma coisa e faz muito bem. Ele rastreia todas as alterações no seu sistema de arquivos. Se os arquivos forem adicionados, alterados ou removidos, você receberá uma notificação por e-mail em tempo real. Quão suave? Este plugin ajudará você a acompanhar os recursos do seu site e pode ser bastante útil ao restaurar ou limpar seu site WordPress.
BAIXE O WORDPRESS FILE MONITOR PLUS
Bloquear consultas ruins, também conhecido como churrasco
Um nome bastante chique (BBQ) para um plugin, mas não se engane nem um pouco, esse bad boy filtra o tráfego de entrada para impedir ameaças conhecidas muito antes de quebrar seu site. O BBQ é foda e é um ótimo plugin para proteger seu site contra solicitações de URL maliciosas. Segundo os autores, o plugin nasceu da simplicidade, ou seja, não requer configuração – basta instalá-lo e ativá-lo. Sem frescuras.
BAIXAR BLOQUEAR CONSULTAS INVÁLIDAS (BBQ)
Wordfence
Parece mais um plug-in de palavrões do que um plug-in de segurança, mas não deixe que isso o desencoraje, o Wordfence faz maravilhas. Ainda é novo na arena de plugins do WordPress, mas está causando bastante agitação.
Ele cresceu rapidamente devido ao seguinte recurso exclusivo. O plugin compara seus principais arquivos, temas e plugins do WordPress com suas versões oficiais no repositório do WordPress e, se algo não parecer certo (se houver discrepâncias), o Wordfence o notificará por e-mail. Isso não é legal? Além disso, o Wordfence também verificará seu site em busca de backdoors conhecidos, malware, phishing e infecções por vírus.
Segurança à prova de balas
Segundo o autor, AITpro , este plugin irá proteger seu site WordPress contra hackers Base64, CRLF, CSRF, Code Injection, RFI, SQL Injection e XSS. Você não sabia que existiam tantos tipos de hacking, sabia? Não se preocupe, porém, este plugin é o colete à prova de balas que você precisa em sua instalação do WordPress.
O plugin vem com firewalls, registro de erros, segurança de login e monitoramento de segurança, entre outros recursos. É realmente “à prova de balas” quando se trata de hackers.
BAIXE SEGURANÇA À PROVA DE BALAS
Tudo em um WP Segurança e Firewall
Se você gosta de soluções completas (quem não gosta?), aqui está um plugin de segurança do WordPress feito apenas para você. De acordo com os desenvolvedores, o plugin All In One WordPress Security And Firewall “… levará a segurança do seu site a um nível totalmente novo…”. Você não adoraria isso?
Os principais recursos incluem verificação de vulnerabilidades, funcionalidade de lista negra, firewalls, segurança do sistema de arquivos, backup, prevenção de ataques de força bruta, pesquisa WhoIS, segurança de spam de comentários e atualizações regulares, entre outros recursos. É uma solução completa
BAIXE TUDO EM UM WORDPRESS SEGURANÇA E FIREWALL
Antivírus para WordPress
É isso mesmo, os sites também têm programas antivírus, ou melhor, plugins, para manter vírus e hackers afastados. Este plug-in de segurança do WordPress verificará seu tema em busca de injeções maliciosas automaticamente todos os dias. As verificações diárias garantem que você esteja protegido contra malware, explorações e injeções de spam. O plug-in apresenta um alerta de vírus na barra de administração, vários idiomas, verificações diárias com notificações por e-mail, bem como navegação segura opcional do Google.
Recomendação de bônus: Sucuri
Para aqueles que desejam um serviço de segurança mais abrangente, o Sucuri é um serviço de prevenção, monitoramento e limpeza que você pode usar para manter seu site WordPress seguro. Você pode até fazer com que eles lidem com backups do seu site. A Sucuri não é gratuita, porém é um ótimo investimento na proteção do seu site.
Conclusão
Antes de chegarmos ao final deste post, gostaria de lembrá-lo de nossos conselhos anteriores sobre temas gratuitos do WordPress. Por favor, e vou dizer de novo, por favor, não baixe temas gratuitos do WordPress de qualquer lugar. Você corre o risco de baixar modelos alinhados com códigos maliciosos pelos quais você não negociou.
Além disso, com o bairro não tão seguro que é a Internet, você não sabe o que pode pegar. O código malicioso quebrará seu site, venderá anúncios e links indesejados para sites desagradáveis
- Não baixe temas “premium” gratuitos para todos de qualquer lugar
- Invista em um tema WordPress premium
- Use plugins de segurança WordPress recomendados
- Crie senhas mais fortes
- Remova temas e plugins antigos (e código quebrado que não serve para nada) e
- Atualize sua plataforma WordPress já
Pra Você…
O que você faz para manter seu site WordPress seguro? Como sempre, teremos o maior prazer em receber sua opinião, então compartilhe seus pensamentos na seção de comentários abaixo e mantenha a engrenagem da discussão girando. Saúde!