Escrevi um guia bem simples de segurança para sites em WordPress para atender a demanda dos meus clientes e das manhas consultorias e mentorias em WordPress.
Diversos clientes que atendo, seja qual for o motivo do atendimento não levam muito a sério as questões de segurança para o WordPress, e os motivos são os mais variados, ou não sabem fazer, não acreditam que possam ser invadidos e etc.
Separei 17 tópicos onde abordarei de forma simples pontos que precisam ser observados para uma boa saúde do seu site em WordPress e manter a segurança dele.
Esse material foi desenvolvido visando meus clientes e clientes em potencial, por isso os exemplos e algumas alusões serão sempre as mais simples possível.
Mantenha o seu WordPress sempre atualizado. As mensagens de atualizações são sempre exibidas no painel de controle da plataforma assim que você realiza o login.
Realize sempre o backup antes de fazer a atualização. Fique atento às atualizações de núcleo do WordPress, essas são as mais importantes, já que trazem inúmeros benefícios para a segurança e a performance do WordPress.
O WordPress tem disponível em sua biblioteca milhares de plugins que você pode instalar em seu site. Todos eles precisam ser atualizados. São criados e mantidos por desenvolvedores terceirizados, que lançam atualizações regularmente.
As atualizações de plugins para o WordPress é importante porque muitas vezes traz melhorias de desempenho e segurança. É possível que o desenvolvedor corrija diversas falhas e brechas de segurança.
Outro ponto que às vezes passa despercebido por muitos donos de site é a atualização dos temas do WordPress. Os temas possuem diversos códigos e funcionalidades em javascript e PHP. Esses códigos podem ter brechas de segurança ou problemas de desempenho.
Chegamos a um ponto muito importante deste artigo: as senhas. É muito comum que os invasores utilizem senhas roubadas de outros sites ou redes sociais que vazam através de brechas na segurança.
Não tem certeza que a sua senha é forte?
Utilize o site: https://www.security.org/how-secure-is-my-password/
Muitas empresas de hospedagem de baixa qualidade no Brasil ainda trazem após a instalação do WordPress o usuário “padrão” como admin.
E com isso ficou muito fácil para os hackers realizarem os ataques de força bruta no site;
Evitem os seguintes nomes para usuários:
1. admin
2. administrador
3. administrator
4. user
5. usuario
6. root
7. 123456
8. Admin
9. test
10. teste
Como Resolver:
Crie um usuário novo e dê a ele permissões de administrador Exclua os usuários antigos e que vieram na instalação do WordPress
Configurando o Wordfence você pode habilitar a autenticação em dois fatores. A Hostinger possui a opção de autenticação em dois fatores da sua conta. Habilite!
Um site seguro não se faz somente com plugins e atitudes corretas. Você precisa de um parceiro de confiança.
A empresa de hospedagem onde você confia o seu site tem grande parcela de responsabilidade em manter os seus arquivos seguros.
Aqui no Brasil uma empresa que ganhou espaço e confiança é a Hostinger.
Alguns pontos para observar:
1. Os planos tem preços acessíveis;
2. É um servidor rápido;
3. Constantemente estão monitorando seus arquivos;
4. Possui ferramentas contra ataques DDOS em grande escala;
5. Mantém atualizados os softwares do servidor, as versões do PHP e até o hardware;
6. E eu não ganho NADA para elogiar o trabalho dos caras!
Em Hospedagens compartilhadas você “divide” o espaço para o seu site com outros sites. Se um dos seus “vizinhos” for atacado, o hacker pode usar essa brecha para invadir você também.
Usar uma CDN como a **Cloudflare,** por exemplo, além de contribuir para a velocidade de carregamento do seu site, ajudará e muito na segurança também.
Seria uma camada a mais de segurança para o seu site. O plano gratuito já atende e muito.
Site: https://www.cloudflare.com
– Realize backups quinzenais do seu site;
– Crie uma rotina de backups de acordo com a sua necessidade;
– Caso você tenha um blog que é atualizado semanalmente, então faça os
backups toda semana.
Plugins para Backup:
Depois que você criar as suas rotinas de backup, o próximo passo que precisamos dar é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece em seu site.
Isso inclui monitoramento de integridade de arquivos, limita as tentativas de login com falha, verificação de malware, monitoramento de alteração de arquivos, etc.
Wordfence – https://br.wordpress.org/plugins/wordfence/
Sucuri – https://wordpress.org/plugins/sucuri-scanner/
A grande maioria das empresas de hospedagem já fornecem os certificados gratuitos da Let’s Encrypt.
Outra vantagem em usar o SSL é a garantia de exibição do seu site na busca do Google.
O Chrome exibe um alerta de sites não seguros. Mesmo que o seu site seja institucional, é MUITO importante ter o SSL.
Através do Painel de Controle do WordPress é possível editar os arquivos do site. É interessante desabilitar essa opção.
Para fazer isso você precisa:
1. Editar o arquivo wp-config.php;
2. Incluir o seguinte código:
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
Existem duas formas para fazer isso: uma é a mais simples, que é com o uso do próprio plugin Wordfence. Nele tem a opção para desativar;
Outra forma de garantir ainda mais segurança para o seu WordPress é desabilitando a execução de arquivos PHP em locais e pastas onde não tem necessidade, como é o caso da pasta de uploads.
Com o uso do Bloco de Notas crie um arquivo com o nome de .htaccess e cole esse código dentro dele:
<Files *.php>
deny from all
</Files>
Agora envie esse arquivo via FTP ou Gerenciador de Arquivos do seu Host para: /wp-content/uploads/
Um dos mais populares plugins para criação de formulários para WordPress, o Contact Form 7, também é um dos piores em termos de segurança;
Em 2020 houve uma brecha perigosa que permitia ao hacker transformar o seu site em um parque de diversões: mudar conteúdo, redirecionar o site, excluir todo o conteúdo, mudar permissões de usuários, etc…
Se você usa Elementor, não tem necessidade para usar esse plugin!
Evite ao máximo a opção de UPLOAD de arquivos. Muitas empresas usam essa opção quando querem que alguem envie um currículo, por exemplo. O Upload de arquivo, se não for bem tratado é uma das mais graves falhas de segurança de um site;
Quando as pastas do seu site ficam expostas facilita a leitura de toda a árvore de arquivos do seu site. Essa é mais uma das brechas que o hacker utilizará para encontrar arquivos que permitam a invasão.
Navegando pela árvore de diretórios do seu site, qualquer um pode ter acesso a arquivos que talvez você não queira disponibilizar, por exemplo: e-books.
Como resolver:
Se você nunca ouviu falar do **XML-RPC,** então tome cuidado ao desconectar ele. A função dele é conectar o seu site em WordPress com outros aplicativos da web e móveis.
Nos primórdios do WordPress esse protocolo servia para que uma aplicação offline pudesse se conectar ao seu site e postar um texto, por exemplo. Isso ocorreu em uma época que o WP era muito usado como blog.
Existem duas principais fraquezas do XML-RPC que foram exploradas no passado.
A primeira é usar ataques para entrar no seu site. Um invasor tentará acessar seu site usando xmlrpc.php e tentando várias combinações de nome de usuário e senha.
Eles podem efetivamente usar um único comando para testar centenas de senhas diferentes. Isso permite que eles ignorem as ferramentas de segurança que
normalmente detectam e bloqueiam esses tipos de ataques.
A segunda foi derrubar um site realizando um ataque DDoS. Hackers usariam o recurso pingback no WordPress para enviar pingbacks para milhares de sites instantaneamente. Esse recurso em xmlrpc.php fornece aos hackers um suprimento quase infinito de endereços IP para distribuir um ataque DDoS.
Fonte:
Hostinger: https://www.hostinger.com.br/tutoriais/o-que-e-xmlrpc-php
Agora que você já sabe para que serve os problemas que acarretam use o plugin do Wordfence para desativar ele. Evite baixar um plugin especialmente para desabilitar o XML-RPC.
Aproveite plugins que executam várias funcionalidades.
Você pode usar o **Asset CleanUp** para otimizar o carregamento do Javascript e CSS da sua página e também remover vários recursos que afetam a segurança do seu site, entre eles o XML-RPC.
O que é reCAPTCHA?
O reCAPTCHA é um serviço do Google que ajuda os sites a se protegerem de spam e atividades abusivas, por meio de identificação de usuários humanos e bots automatizados.
Fonte: https://maplink.global/blog/o-que-e-recaptcha/
O reCAPTCHA tem mais nexo com uma segurança antispam para o site, mas eu acho interessante citar ela, pois como ficou claro na explicação acima, ele protege o site contra atividades abusivas.
Um fato interessante é que o reCAPTCHA pode proteger os formulários do seu site e o login da área de administração do WordPress.
Você pode configurar o Wordfence com reCAPTCHA, assim você pode colocar mais uma camada de segurança na página de administração do seu WordPress.
Usamos cookies em nosso site para melhorar a sua experiência, lembrando suas preferências e visitas repetidas. Ao clicar em “Aceitar e Fechar”, você concorda com a utilização de TODOS os cookies.