15 maneiras de tornar seu site WordPress mais seguro
Publicados: 2020-10-08O WordPress é um CMS (sistema de gerenciamento de conteúdo) popular. É um dos sistemas de gerenciamento de conteúdo mais fáceis de usar, com muitas variedades de temas e plugins úteis. Você pode criar qualquer site de nicho usando o WordPress. É por isso que o WordPress habilita cerca de 36% dos sites na internet. No entanto, a popularidade pode ter seus custos. Como o WordPress detém uma posição tão vantajosa no mercado, é frequentemente atacado por hackers. O WordPress continua sendo uma escolha popular para preparar qualquer site rapidamente e também possui muitos recursos. Portanto, é aconselhável tornar seu site WordPress mais seguro para aproveitar a plataforma sem se preocupar com ameaças cibernéticas. Além disso, a maioria das pessoas assume erroneamente que, se tiver um site comercial completo, só então deve gastar seu dinheiro extra na implementação de medidas de segurança. No entanto, mesmo que você o use para uma página de portfólio, loja de comércio eletrônico ou qualquer outro tipo de site, é melhor adotar medidas de proteção. Vamos dar uma olhada em 15 maneiras simples de tornar seu site WordPress mais seguro e impedir que hackers arruinem seus negócios.
1. Escolha sempre uma excelente empresa de hospedagem:
Este deve ser o primeiro e mais crucial passo para garantir a segurança do site. Certifique-se de usar uma boa empresa de hospedagem que provou ter recursos de segurança úteis. Alguns recursos a serem observados podem ser – PHP (versão mais recente), firewall, MySQL, monitoramento de segurança 24 horas por dia, 7 dias por semana e Apache. Você também deve tentar manter os serviços de hospedagem que realizam verificações regulares de malware e fazem backups diários. Excelentes serviços de hospedagem também teriam medidas para prevenção de DDOS. Se você pensa na segurança do seu WordPress como camadas, o serviço de hospedagem que você escolhe é a primeira camada ou os hackers de parede tentariam entrar no seu site. Portanto, mesmo que os bons serviços de hospedagem custem um pouco mais no bolso, tome essa pitada para garantir que você esteja escolhendo um serviço de hospedagem confiável e respeitável.
2. Altere o nome de usuário do administrador:
Se você já usou o WordPress anteriormente ou é um novo usuário, você deve ter percebido que o WordPress costumava manter 'Admin' como o nome de usuário padrão. A maioria dos usuários nunca se preocupa em alterar esse nome de usuário. O problema com isso é que os hackers teriam uma boa chance de acertar seu nome de usuário ao tentar atacar seu site com força bruta. Você não deve usar 'Admin' como seu nome de usuário do WordPress. Atualmente, o WordPress ainda permite que os usuários definam seu nome de usuário desde o início, em vez de fornecer o nome de usuário 'Admin'. No entanto, se você tiver um site WordPress instalado anteriormente, verifique seu nome de usuário e altere-o se ainda estiver definido como 'Admin'. Se for, você pode criar um nome de usuário de administrador diferente para seu site navegando até Usuários e, em seguida, Adicionar novo. Lá você pode inserir seu nome de usuário e senha exclusivos. Certifique-se de definir como Administrador e, em seguida, clique no botão Adicionar novo usuário.
3. Sempre use senhas fortes:
A senha do seu site WordPress e do seu serviço de hospedagem devem ser fortes e seguras. Sempre use uma mistura de caracteres maiúsculos e minúsculos diversos, como alfabetos, números, símbolos e muito mais para desenvolver uma senha forte. Também é ideal para usar software de gerenciamento de senhas como LastPass ou Dashlane para gerar e armazenar senhas seguras para você.
4. Use uma conta de editor ou colaborador para postar em seu site:
Esta é uma maneira brilhante de adicionar segurança ao seu site WordPress. O WordPress permite que você crie contas de colaborador e editor se você precisar acessar outros usuários para escrever blogs ou postar em seu site, mas não conceder a eles direitos administrativos. Você pode criar uma conta para si mesmo e postar no site usando-os. Isso tornaria um desafio para os hackers danificarem seu site. Mesmo que eles consigam hackear seus perfis de colaborador ou editor, eles não terão nenhum controle administrativo ou privilégios.
5. Fortaleça sua área de administração:
Você deve se concentrar em proteger a área administrativa o máximo possível. Para isso, você deve modificar a URL padrão que é usada para login de administrador em seu site e limitar o número de tentativas de login malsucedidas. Isso bloquearia um usuário se ele excedesse esse limite. Qualquer URL de administrador do WordPress se parece com 'seudominio.com/wp-admin.' Assim como os usuários tendem a alterar seu nome de usuário 'Admin', eles geralmente não se incomodam em alterar seus URLs de administrador. Isso daria aos hackers acesso direto à página de login da sua área de administração, onde eles podem tentar invadir seu site. Para alterar sua URL de administrador, você pode usar plugins como o WPS Hide Login. E para limitar o número de tentativas não bem-sucedidas, você também pode usar o plugin Login Lockdown.
6. Mantenha sempre seus arquivos atualizados:
Arquivos desatualizados geralmente são esquecidos e representam um risco de segurança significativo para o seu site. Seu site fica aberto a vários hacks e exploits. Portanto, você deve instalar as atualizações assim que elas forem lançadas. Crie o hábito de revisar os plugins que você está usando periodicamente. Remova os plugins para os quais você não tem mais uso. Manter plugins extras que não são úteis aumenta o volume do site e oferece mais pontos de entrada para hackers.
7. Faça uso de um plugin de backup:
Você precisa criar o hábito de fazer backups do seu site, se ainda não o fez. Um sistema de backup ajuda você a restaurar seu site se o pior cenário do seu site acabar sendo invadido. Existem muitos plugins de backup confiáveis e úteis, como o UpdraftPlus, que podem ser usados para criar um agendamento de backup regular para o seu site. Não se esqueça de armazenar o arquivo de backup fora do local para garantir que os arquivos não sejam infectados.
8. Faça uso do 2FA:
Use o plug-in do Google Authenticator para configurar sua configuração 2FA (autenticação de dois fatores) para proteger seu site. Isso significa que, além de usar suas credenciais de login para fazer login, você também teria que inserir um código gerado por um aplicativo móvel para fazer login em seu site. Isso pelo menos interromperia os ataques de tentativa e erro em seu site. Por isso, pode ser uma tática útil. O 2FA está disponível como um recurso gratuito em um dos melhores plugins de segurança para WordPress, Wordfence (nós o usamos no Web Design Dev).
9. Use SSL e HTTPS:
Se você navega na internet ou até mesmo está cercado por pessoas com experiência em internet, já deve ter ouvido falar de pessoas enfatizando a necessidade de ter protocolo HTTPS e certificados de segurança SSL em seu site. HTTPS significa Hypertext Transfer Protocol Secure. SSL significa Secure Socket Layers.
HTTPS permite que o navegador de um visitante proteja uma conexão protegida com seu servidor de hospedagem, resultando em uma conexão segura com seu site. Este protocolo HTTPS é protegido por SSL. Portanto, SSL e HTTP ajudam a garantir que todas as informações trocadas entre o navegador do visitante e seu site sejam criptografadas. Usar esses dois recursos em seu site não apenas ajudará no aumento da segurança e beneficiará significativamente a classificação do seu mecanismo de pesquisa. Isso estabeleceria confiança em seus visitantes e melhoraria suas taxas de conversão também.
10. Use cabeçalhos de segurança:
Outra maneira eficiente de adicionar segurança ao seu site WordPress é implementar cabeçalhos de segurança. Esses cabeçalhos de segurança são definidos no nível do servidor para evitar ataques de hackers e reduzir o número de explorações de vulnerabilidades de segurança. Você pode instalar esses plugins de segurança manualmente adicionando códigos ou usar um plugin como Security Headers para adicioná-lo automaticamente.
11. Faça logout de usuários inativos:
Se você tiver muitos logins em seu site que não usa com frequência, mas não sai, mude esse hábito. Se algum ID de usuário que você possui ficar ocioso na maioria das vezes, certifique-se de sair dessas contas após um período de inatividade. Você também pode usar um plugin para isso, como Inactive Logout para encerrar todas as sessões inativas com facilidade. Isso é importante, pois se você fizer login no seu site para adicionar uma nova postagem no blog e se distrair com alguma outra tarefa secundária, sua sessão poderá ser facilmente invadida e os hackers poderão usar essa janela para infectar seu site.
12. Bloqueie o hotlinking:
Hotlinking é roubar a largura de banda de alguém, vinculando-se diretamente aos ativos de seu site, como vídeos ou imagens. Vamos supor que você encontre uma imagem online e queira compartilhá-la em seu site. Para isso, você deve primeiro ter permissão ou pagar um prêmio por essa imagem. Caso contrário, há uma boa probabilidade de que seja ilegal fazê-lo. No entanto, se você conseguir obter permissão, poderá usar o URL da imagem e usá-lo para colocar a foto em sua postagem. Isso é problemático, pois essa imagem seria mostrada em seu site, mas seria hospedada no servidor de outro site.
Isso é problemático, pois você não terá nenhum controle sobre se a imagem permanece ou não no servidor. E as pessoas podem fazer isso em seu site também. Se você realmente deseja proteger seu site WordPress, o hotlinking levaria a velocidades de carregamento reduzidas e custos de servidor potencialmente mais altos. Você pode usar as ferramentas integradas do plug-in 'All in One WP Security and Firewall' para bloqueio e hotlinking.
13. Adicione uma pergunta de segurança de login:
Às vezes, manter o básico também ajuda significativamente. Ter autenticação de dois fatores e uma pergunta de segurança adicional que um usuário precisa responder antes de fazer login em seu site tornaria mais difícil e irritante para hackers acessarem seu site. As perguntas de segurança também podem estar relacionadas a instituições financeiras, plataformas de e-mail ou sites de associação. A questão de segurança, em essência, funciona como uma segunda senha para o seu site. Uma pergunta de segurança perfeita seria uma pergunta para a qual só você saberia a resposta. Tornar as coisas mais difíceis faria sentido se a resposta nem estivesse relacionada à pergunta. Claro, você tem que ser inteligente o suficiente para lembrar a resposta por si mesmo. Esse truque fundamental pode ajudar a proteger seu site WordPress em muitas dobras.
14. Verifique se você está executando a versão mais recente do PHP:
Manter-se atualizado com as versões mais recentes do PHP é um acéfalo quando se trata de segurança na web. No entanto, você ficaria surpreso com as estatísticas. Apenas 3,6% dos usuários do WordPress estão executando seu site na versão mais recente do PHP – 7.2. Mais de 12% dos sites do WordPress ainda estão rodando nas versões 5.4, que nem sequer são suportadas.
Não usar a versão mais recente do PHP significa que algumas falhas de segurança foram descobertas e corrigidas na nova versão. No entanto, eles não estariam disponíveis para seu site. E como os bugs e correções são mencionados abertamente em cada lista de alterações de atualização de versão do PHP, os hackers saberiam facilmente as brechas para chegar ao seu site.
15. Desative a navegação no diretório:
As pessoas que atacam sites WordPress podem utilizar a navegação em diretórios para encontrar plugins ou temas que tenham vulnerabilidades em seu site. Essas falhas podem ser usadas para invadir seu site. Eles podem obter acesso ao seu site e injetá-lo com scripts maliciosos, anúncios e links indesejados. Eles também podem examinar seus arquivos, descobrir sua estrutura de diretórios, copiar imagens e acessar outras informações. Portanto, é melhor manter a indexação de diretório e a opção de navegação desativadas. Para executar isso, você precisaria acessar seu site WordPress através de um cliente FTP e editar seu arquivo '.htaccess' no diretório raiz do seu site e adicionar a seguinte linha na parte inferior – Opções – Índices.
Estas foram as 15 maneiras de tornar seu site WordPress mais seguro. Certifique-se de seguir todas essas instruções e diretrizes e habilitá-las em seu site para garantir a máxima proteção e segurança. Todos os métodos acima adicionam uma camada de proteção ao seu site WordPress, tornando mais difícil para os hackers conseguirem o que desejam. Essas diretrizes são um excelente lugar para começar a proteger o conteúdo do seu site e as informações confidenciais. Isso também ajudaria a fortalecer sua presença on-line, porque quanto mais seguro for um site, mais seguro também será para seus visitantes. Tanto os visitantes quanto os mecanismos de busca apreciam isso, e isso lhe dá credibilidade no mercado.