Marca - Filipe - Souza - VETOR - BRANCO

Guia de Segurança para Sites em WordPress 2023

Escrevi um guia bem simples de segurança para sites em WordPress para atender a demanda dos meus clientes e das manhas consultorias e mentorias em WordPress.
Diversos clientes que atendo, seja qual for o motivo do atendimento não levam muito a sério as questões de segurança para o WordPress, e os motivos são os mais variados, ou não sabem fazer, não acreditam que possam ser invadidos e etc.
Separei 17 tópicos onde abordarei de forma simples pontos que precisam ser observados para uma boa saúde do seu site em WordPress e manter a segurança dele.
Esse material foi desenvolvido visando meus clientes e clientes em potencial, por isso os exemplos e algumas alusões serão sempre as mais simples possível.

Atualizações da plataforma do WordPress


Mantenha o seu WordPress sempre atualizado. As mensagens de atualizações são sempre exibidas no painel de controle da plataforma assim que você realiza o login.
Realize sempre o backup antes de fazer a atualização. Fique atento às atualizações de núcleo do WordPress, essas são as mais importantes, já que trazem inúmeros benefícios para a segurança e a performance do WordPress.

Atualização de Plugins


O WordPress tem disponível em sua biblioteca milhares de plugins que você pode instalar em seu site. Todos eles precisam ser atualizados. São criados e mantidos por desenvolvedores terceirizados, que lançam atualizações regularmente.
As atualizações de plugins para o WordPress é importante porque muitas vezes traz melhorias de desempenho e segurança. É possível que o desenvolvedor corrija diversas falhas e brechas de segurança.

Atualização dos Temas do WordPress


Outro ponto que às vezes passa despercebido por muitos donos de site é a atualização dos temas do WordPress. Os temas possuem diversos códigos e funcionalidades em javascript e PHP. Esses códigos podem ter brechas de segurança ou problemas de desempenho.

Senhas

Chegamos a um ponto muito importante deste artigo: as senhas. É muito comum que os invasores utilizem senhas roubadas de outros sites ou redes sociais que vazam através de brechas na segurança.



  • Use senhas F0rt&$ e exclusivas para a área de administração do site;
  • Use senhas fortes e diferentes para o FTP, Banco de Dados e a área de Login da empresa de Hospedagem e para as contas de e-mail;
  • Habilite a autenticação em dois fatores da sua empresa de hospedagem;
  • Use um gerenciador de senhas. Você pode usar o próprio gerenciador de senhas do Google. Mas atenção: Habilite a autenticação em dois fatores da sua conta Google. Crie uma senha forte para sua conta do Google e armazene em lugar seguro. Nunca no seu celular, Whats App, computador ou conta de e-mail.

 

Não tem certeza que a sua senha é forte?
Utilize o site: https://www.security.org/how-secure-is-my-password/

Usuários do WordPress

Muitas empresas de hospedagem de baixa qualidade no Brasil ainda trazem após a instalação do WordPress o usuário “padrão” como admin.
E com isso ficou muito fácil para os hackers realizarem os ataques de força bruta no site;


Evitem os seguintes nomes para usuários:
1. admin
2. administrador
3. administrator
4. user
5. usuario
6. root
7. 123456
8. Admin
9. test
10. teste

Como Resolver:
Crie um usuário novo e dê a ele permissões de administrador Exclua os usuários antigos e que vieram na instalação do WordPress

Autenticação em Dois Fatores

Configurando o Wordfence você pode habilitar a autenticação em dois fatores. A Hostinger possui a opção de autenticação em dois fatores da sua conta. Habilite!

Hospedagem de Sites Segura e Rápida

Um site seguro não se faz somente com plugins e atitudes corretas. Você precisa de um parceiro de confiança.
A empresa de hospedagem onde você confia o seu site tem grande parcela de responsabilidade em manter os seus arquivos seguros.
Aqui no Brasil uma empresa que ganhou espaço e confiança é a Hostinger.

Alguns pontos para observar:
1. Os planos tem preços acessíveis;
2. É um servidor rápido;
3. Constantemente estão monitorando seus arquivos;
4. Possui ferramentas contra ataques DDOS em grande escala;
5. Mantém atualizados os softwares do servidor, as versões do PHP e até o hardware;
6. E eu não ganho NADA para elogiar o trabalho dos caras!

Em Hospedagens compartilhadas você “divide” o espaço para o seu site com outros sites. Se um dos seus “vizinhos” for atacado, o hacker pode usar essa brecha para invadir você também.

 

CDN


Usar uma CDN como a **Cloudflare,** por exemplo, além de contribuir para a velocidade de carregamento do seu site, ajudará e muito na segurança também.
Seria uma camada a mais de segurança para o seu site. O plano gratuito já atende e muito.
Site: https://www.cloudflare.com

 

Plugins para Backup

– Realize backups quinzenais do seu site;

– Crie uma rotina de backups de acordo com a sua necessidade;

– Caso você tenha um blog que é atualizado semanalmente, então faça os
backups toda semana.

Plugins para Backup:

  1. All-in-One WP Migration: https://br.wordpress.org/plugins/all-in-one-wp-migration/
  2. UpdraftPlus: https://br.wordpress.org/plugins/updraftplus/

Plugins para Segurança

Depois que você criar as suas rotinas de backup, o próximo passo que precisamos dar é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece em seu site.

Isso inclui monitoramento de integridade de arquivos, limita as tentativas de login com falha, verificação de malware, monitoramento de alteração de arquivos, etc.


Wordfencehttps://br.wordpress.org/plugins/wordfence/
Sucurihttps://wordpress.org/plugins/sucuri-scanner/

SSL


A grande maioria das empresas de hospedagem já fornecem os certificados gratuitos da Let’s Encrypt.
Outra vantagem em usar o SSL é a garantia de exibição do seu site na busca do Google.
O Chrome exibe um alerta de sites não seguros. Mesmo que o seu site seja institucional, é MUITO importante ter o SSL.

Desativar a edição de arquivos


Através do Painel de Controle do WordPress é possível editar os arquivos do site. É interessante desabilitar essa opção.
Para fazer isso você precisa:


1. Editar o arquivo wp-config.php;
2. Incluir o seguinte código:
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

Desativar a execução de arquivos PHP em determinados diretórios do WordPress

Existem duas formas para fazer isso: uma é a mais simples, que é com o uso do próprio plugin Wordfence. Nele tem a opção para desativar;
Outra forma de garantir ainda mais segurança para o seu WordPress é desabilitando a execução de arquivos PHP em locais e pastas onde não tem necessidade, como é o caso da pasta de uploads.
Com o uso do Bloco de Notas crie um arquivo com o nome de .htaccess e cole esse código dentro dele:

<Files *.php>
deny from all
</Files>

Agora envie esse arquivo via FTP ou Gerenciador de Arquivos do seu Host para: /wp-content/uploads/

Contact Form 7

Um dos mais populares plugins para criação de formulários para WordPress, o Contact Form 7, também é um dos piores em termos de segurança;
Em 2020 houve uma brecha perigosa que permitia ao hacker transformar o seu site em um parque de diversões: mudar conteúdo, redirecionar o site, excluir todo o conteúdo, mudar permissões de usuários, etc…
Se você usa Elementor, não tem necessidade para usar esse plugin!
Evite ao máximo a opção de UPLOAD de arquivos. Muitas empresas usam essa opção quando querem que alguem envie um currículo, por exemplo. O Upload de arquivo, se não for bem tratado é uma das mais graves falhas de segurança de um site;

Desativar indexação e navegação de diretório

Quando as pastas do seu site ficam expostas facilita a leitura de toda a árvore de arquivos do seu site. Essa é mais uma das brechas que o hacker utilizará para encontrar arquivos que permitam a invasão.

Navegando pela árvore de diretórios do seu site, qualquer um pode ter acesso a arquivos que talvez você não queira disponibilizar, por exemplo: e-books.

Como resolver:

  1. Você precisa editar o seu arquivo “.htaccess”;
  2. Acesse ele através do FTP, Cpanel ou um Gerenciador de Arquivos do seus Host;
  3. Faça download do arquivo ou edite pelo Gerenciador e adicione a seguinte linha de código ao final do arquivo: Options -Indexes;
  4. Caso você tenha feito download do arquivo e editado no seu computador, salve e realize o upload para o servidor.

 

Desativar XML-RPC no WordPress

Se você nunca ouviu falar do **XML-RPC,** então tome cuidado ao desconectar ele. A função dele é conectar o seu site em WordPress com outros aplicativos da web e móveis.

Nos primórdios do WordPress esse protocolo servia para que uma aplicação offline pudesse se conectar ao seu site e postar um texto, por exemplo. Isso ocorreu em uma época que o WP era muito usado como blog.

Existem duas principais fraquezas do XML-RPC que foram exploradas no passado.

A primeira é usar ataques para entrar no seu site. Um invasor tentará acessar seu site usando xmlrpc.php e tentando várias combinações de nome de usuário e senha.

Eles podem efetivamente usar um único comando para testar centenas de senhas diferentes. Isso permite que eles ignorem as ferramentas de segurança que

normalmente detectam e bloqueiam esses tipos de ataques.

A segunda foi derrubar um site realizando um ataque DDoS. Hackers usariam o recurso pingback no WordPress para enviar pingbacks para milhares de sites instantaneamente. Esse recurso em xmlrpc.php fornece aos hackers um suprimento quase infinito de endereços IP para distribuir um ataque DDoS.

 

Fonte:

Hostinger: https://www.hostinger.com.br/tutoriais/o-que-e-xmlrpc-php

Agora que você já sabe para que serve os problemas que acarretam use o plugin do Wordfence para desativar ele. Evite baixar um plugin especialmente para desabilitar o XML-RPC.

Aproveite plugins que executam várias funcionalidades.

Você pode usar o **Asset CleanUp** para otimizar o carregamento do Javascript e CSS da sua página e também remover vários recursos que afetam a segurança do seu site, entre eles o XML-RPC.

 

reCAPTCHA

O que é reCAPTCHA?

O reCAPTCHA é um serviço do Google que ajuda os sites a se protegerem de spam e atividades abusivas, por meio de identificação de usuários humanos e bots automatizados.

Fonte: https://maplink.global/blog/o-que-e-recaptcha/

O reCAPTCHA tem mais nexo com uma segurança antispam para o site, mas eu acho interessante citar ela, pois como ficou claro na explicação acima, ele protege o site contra atividades abusivas.

Um fato interessante é que o reCAPTCHA pode proteger os formulários do seu site e o login da área de administração do WordPress.

Você pode configurar o Wordfence com reCAPTCHA, assim você pode colocar mais uma camada de segurança na página de administração do seu WordPress.

Ficou alguma dúvida?

Não pode! Então vamos conversar para eu saber como posso potencializar o seu negócio! Se precisar de um orçamento para o seu negócio, atividade acadêmica ou mesmo tirar uma dúvida sobre tecnologia ou internet, use os canais abaixo para entrar em contato comigo. Estou quase 24h online. 
Filipe Souza - Estratégias Digitais - Eugência de Marketing Digital

Sobre

Search
Facebook Instagram Linkedin Youtube Whatsapp

Serviços

Contatos

  • Rua Jorge Batista Sampaio, 180 - Bloco 4A - Apto: 401
    Cidade Alegria
    Resende/RJ

Política de Privacidade & Cookies

Usamos cookies em nosso site para melhorar a sua experiência, lembrando suas preferências e visitas repetidas. Ao clicar em “Aceitar e Fechar”, você concorda com a utilização de TODOS os cookies.

Ler a polìtica de Privacidade

Concordar e Fechar
WeCreativez WhatsApp Support
Fale comigo pelo Whats App!
👋 Olá! Como posso ajudar?
Olá! Como posso ajudar?