Como melhorar a segurança do seu site WordPress

Deixar seu site vulnerável é como deixar uma porta aberta do seu negócio para invasores e ladrões. Então vamos falar sobre como melhorar a segurança do seu site WordPress

Cuidar do seu site é como cuidar da sua loja
Cuidar do seu site é como cuidar da sua loja

Imagine uma loja em que o proprietário deixa as portas abertas todas as noites e vai para casa, apenas contanto com a sorte de que chegará no outro dia e tudo estar lá para que ele continue trabalhando mais um dia tranquilamente. Quantas são as chances disso acontecer de verdade? Deixar o seu site sem a proteção necessária é praticamente a mesma coisa. Você pode chegar no dia seguinte e seu site estar lá normalmente ou ter perdido tudo.

A segurança do WordPress é um tópico de grande importância para todos os proprietários de sites. O Google coloca cerca de 10.000 sites na lista negra todos os dias para malware e cerca de 50.000 para phishing todas as semanas. E entrar numa lista dessas significa perder todo o seu trabalho e oportunidades de crescimento e vendas, por isso, é essencial prestar atenção às práticas recomendadas de segurança do WordPress.

Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, há muito que pode ser feito para manter o seu site seguro. E segurança não se trata apenas de eliminação de riscos, mas também de uma questão de redução de riscos. Como dono de um site, há muito que você pode fazer para melhorar a segurança do WordPress (mesmo se você não tiver experiência em tecnologia).

Neste guia, compartilharemos todas as principais dicas de segurança do WordPress para ajudá-lo a proteger seu site contra hackers e malwares. Temos uma série de etapas que você pode seguir para proteger seu site contra vulnerabilidades de segurança. Vamos falar um pouco sobre cada uma e dar algumas dicas de plugins que ajudarão você nessa tarefa de

-- Publicidade --

Por que a segurança do site WordPress é importante?

Um site WordPress hackeado pode causar sérios danos à receita e à reputação de sua empresa. Os hackers podem roubar informações do usuário, senhas, instalar software malicioso e até mesmo distribuir malware para seus visitantes.

Pior, você pode pegar ransomware e ter que pagar para hackers apenas para recuperar o acesso ao seu site. E por que a segurança do WordPress é importante? Em março de 2016, o Google relatou que mais de 50 milhões de usuários de sites foram alertados sobre um site que estão visitando pode conter malware ou roubar informações.

Além disso, o Google coloca na lista negra cerca de 20.000 sites para malware e cerca de 50.000 para phishing a cada semana. Se o seu site é um negócio, você precisa prestar atenção extra à segurança do WordPress. Da mesma forma que é responsabilidade do proprietário da empresa proteger o prédio da loja, como proprietário de uma empresa on-line, é sua responsabilidade proteger o site da empresa.

Mantendo o WordPress atualizado

WordPress é um software de código aberto que é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações. Para versões principais, você precisa iniciar manualmente a atualização. O WordPress também vem com milhares de plugins e temas que você pode instalar no seu site.

Atualizar wordpress
Atualizar WordPress

Esses plugins e temas são mantidos por desenvolvedores terceirizados que também lançam atualizações regularmente. Essas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa se certificar de que o software, os plugins e o tema do WordPress estão atualizados.

-- Publicidade --

Senhas fortes e permissões de usuário

As tentativas de hacking mais comuns do WordPress usam senhas roubadas. Você pode tornar isso difícil usando senhas mais fortes, exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas de FTP, banco de dados, conta de hospedagem do WordPress e seus endereços de e-mail personalizados que usam o nome de domínio do seu site.

Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. O bom é que você não precisa mais se lembrar das senhas. Você pode usar um gerenciador de senhas. Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário. Se você tiver uma grande equipe ou autores convidados, certifique-se de entender as funções e recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress e dar a eles apenas as autorizações necessárias.

O papel da hospedagem WordPress

Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom provedor de hospedagem compartilhada como Bluehost ou Siteground toma medidas extras para proteger seus servidores contra ameaças comuns.

Veja como uma boa empresa de hospedagem na web funciona em segundo plano para proteger seus sites e dados.

  • Eles monitoram continuamente sua rede em busca de atividades suspeitas;
  • Todas as boas empresas de hospedagem possuem ferramentas para prevenir ataques DDOS em grande escala;
  • Eles mantêm seu software de servidor, versões de php e hardware atualizados para evitar que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga;
  • Eles estão prontos para implantar planos de recuperação de desastres e acidentes que lhes permitem proteger seus dados em caso de acidente grave;
  • Em um plano de hospedagem compartilhada, você compartilha os recursos do servidor com muitos outros clientes. Isso abre o risco de contaminação entre sites, onde um hacker pode usar um site vizinho para atacar seu site;

Usar um serviço de hospedagem WordPress gerenciado fornece uma plataforma mais segura para o seu site. Empresas de hospedagem gerenciada do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site, deixando o seu trabalho mais fácil.

-- Publicidade --

Segurança do WordPress em etapas fáceis e sem codificação

Sabemos que melhorar a segurança do WordPress pode ser uma ideia aterrorizante para iniciantes. Especialmente se você não for técnico. Adivinha – você não está sozinho. Vamos falar um pouco sobre como você pode melhorar a segurança do WordPress com apenas alguns cliques (sem necessidade de codificação). Se você pode apontar e clicar, então você pode fazer isso!

Instale uma solução de backup do WordPress

Os backups são sua primeira defesa contra qualquer ataque ao seu site WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser hackeados, o seu também pode. Os backups permitem que você restaure rapidamente seu site WordPress caso algo ruim aconteça.

Existem muitos plugins de backup gratuitos e pagos do WordPress que você pode usar. E se você está procurando um, então, temos um guia sobre como usar um plugin de backup do WordPress. A coisa mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente os backups completos do site em um local remoto (não em sua conta de hospedagem).

Recomendamos armazená-lo em um serviço de nuvem como Google Drive, Dropbox ou nuvens privadas como Stash. Com base na frequência com que você atualiza seu site, a configuração ideal pode ser backups diários ou em tempo real.

Melhor plugin de segurança para WordPress

Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que controle tudo o que acontece em seu site. Isso inclui monitoramento de integridade de arquivo, tentativas de login malsucedidas, verificação de malware, etc.

-- Publicidade --

Para esse serviço, vamos recomendar um plugin de segurança gratuito para WordPress, o Sucuri Scanner. Você precisa instalar e ativar o plugin Sucuri Security para começar a monitorar o seu site.

Como usar o Sucuri Security

Após a ativação, você precisa ir ao menu Sucuri em seu administrador do WordPress. A primeira coisa que você deverá fazer é gerar uma chave de API gratuita. Isso permite o registro de auditoria, verificação de integridade, alertas de e-mail e outros recursos importantes. A próxima coisa que você precisa fazer é clicar na guia “Hardning” no menu de configurações. Percorra todas as opções e clique no botão “Aplicar”.

Plugin sucuri scanner
Plugin Sucuri Scanner

Essas opções ajudam a bloquear as principais áreas que os hackers costumam usar em seus ataques. A única opção de proteção que é uma atualização paga é o Firewall de aplicativo da Web, que explicaremos na próxima etapa, portanto, ignore-o por enquanto. A parte de proteção, as configurações padrão do plugin são boas o suficiente para a maioria dos sites e não precisam de alterações ou configurações extras. A única coisa que recomendamos personalizar é “Alertas por e-mail”.

As configurações de alerta padrão podem sobrecarregar sua caixa de entrada com e-mails. Recomendamos o recebimento de alertas para ações importantes, como alterações em plugins, registro de novo usuário, etc. Você pode configurar os alertas acessando Configurações Sucuri »Alertas.

Depois de ativado as configurações padrão, recomendamos conhecer com calma o plugin de segurança do WordPress. Navegue por todas as guias e configurações para ver tudo o que ele faz, como verificação de malware, registros de auditoria, rastreamento de tentativa de login com falha, etc. Segurança nunca é demais.

-- Publicidade --

Habilitar Firewall de Aplicativo da Web (WAF)

A maneira mais fácil de proteger seu site e ter certeza sobre a segurança do WordPress é usando um firewall de aplicativo da web (WAF). Um firewall de site bloqueia todo o tráfego malicioso antes mesmo de chegar ao seu site. Veja o que ele faz:

Firewall de site de nível DNS – esse firewall roteia o tráfego de seu site por meio de seus servidores proxy em nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor da web.

Firewall em nível de aplicativo – esses plugins de firewall examinam o tráfego assim que ele atinge seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall de nível DNS para reduzir a carga do servidor. Mais uma vez, recomendamos a Sucuri Security como firewall de aplicativo da web para WordPress. Lembre-se, esse é um opcional pago.

Uma vantagem do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção da lista negra. Basicamente, se você for hackeado sob sua supervisão, eles garantem que consertarão seu site (não importa quantas páginas você tenha).

Esta é uma garantia muito importante, porque consertar sites hackeados é caro. Os especialistas em segurança normalmente cobram por hora para fazer isso e, dependendo do ataque, não dá para saber quanto irá lhe custar. O Sucuri Security não é o único provedor de firewall de nível DNS que existe. O outro concorrente popular é o Cloudflare. Veja qual é o melhor para você e para o seu site e escolha a opção que lhe parecer mais adequada.

-- Publicidade --

Mova seu site WordPress para SSL / HTTPS

SSL (Secure Sockets Layer ou camada de soquete seguro) é um protocolo que criptografa a transferência de dados entre o seu site e o navegador do usuário. Essa criptografia torna mais difícil para alguém rastrear e roubar informações.

Como funciona o SSL

Depois de habilitar o SSL, seu site usará HTTPS em vez de HTTP, você também verá um cadeado próximo ao endereço do seu site no navegador. Os certificados SSL são normalmente emitidos por autoridades de certificação e seus preços variam de R$ 300 a mais de mil reais por ano. Devido ao custo adicional, a maioria dos proprietários de sites opta por continuar usando um protocolo inseguro.

Para corrigir isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer certificados SSL gratuitos para proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas, facilitando mais do que nunca para que todos comecem a usar o SSL para todos os seus sites WordPress. Muitas empresas de hospedagem estão oferecendo um certificado SSL grátis para o seu site WordPress. Se a sua hospedagem não fornece esse tipo de certificado, então, você poderá escolher um da sua preferência e de acordo com o valor que você tem disponível. Veja alguns preços para certificados simples:

Segurança do seu site wordpress
Fonte: HSI

Se você fizer tudo o que mencionamos até agora, você está em um bom nível de segurança. Existem outras formas de manter o seu site seguro, além de outros plugis. Você usa alguma coisa extra na segurança do seu site? Deixe nos comentários e aproveite para ler mais sobre tecnologia e WordPress no nosso site.

-- Publicidade --
Avatar of paulo fabris

Paulo Fabris é um jornalista, escritor, RPGista, gamer, cosplayer, nerd e fã de animes desde a época da TV Manchete.