12 dicas de segurança do WordPress 2021 – Pare de hackers invadirem seu site

Publicados: 2022-08-27

40% de todos os sites na Internet usam o WordPress hoje. E se não me engano, você também é um deles!

O WordPress ganhou muita popularidade nos últimos anos. No entanto, grande popularidade também convida hackers habilidosos!

Todos os dias, mais de 10.000 sites são colocados na lista negra do Google por conter códigos de software malicioso. Isso torna a segurança do site uma questão de primordial importância.

No artigo de hoje, discutirei 12 medidas eficazes de segurança do WordPress e dicas de segurança que ajudarão você a proteger seu site contra vulnerabilidades online e ataques de hackers!

Então, sem mais delongas, vamos direto ao assunto!

seu site hackeado
Índice
[ocultar]
  • Dicas de segurança do WordPress e como usar o plug-in de segurança do WordPress
    • 1) Use um bom serviço de hospedagem
    • 2) Use um bom plugin de segurança
    • 3) Defina uma página de login diferente
    • 4) Use um nome de usuário e senha fortes
    • 5) Defina um limite no número de tentativas de login
    • 6) Implemente a autenticação de dois fatores
    • 6) Use Cloudflare para proteção contra ataques DDoS
    • 7) Evite usar plugins e temas nulos
    • 8) Atualize regularmente o WordPress, plugins e temas
    • 9) Remova plugins e temas inativos
    • 10) Desligue o registro do usuário
    • 11) Faça Backups Regulares
    • 12) Altere o prefixo da tabela do WordPress para evitar injeção de SQL
  • Como usar o plug-in de segurança do WordPress
  • Conclusão

Dicas de segurança do WordPress e como usar o plug-in de segurança do WordPress

1) Use um bom serviço de hospedagem

Um bom serviço de hospedagem é um ingrediente chave na criação de um site de sucesso. Você sabe que o número máximo de tentativas de hackers são feitas em servidores de hospedagem?

hospedagem ruim - crimes cibernéticos

Empresas de hospedagem com serviços de segurança precários tornaram-se um terreno fértil para crimes cibernéticos.

Bluehost é famoso por violações de segurança! Seus servidores foram invadidos várias vezes por causa de erros gritantes e brechas em seu código.

Seu site está hospedado no Bluehost? Você experimenta velocidades de carregamento de página extremamente lentas ou falhas frequentes no site? Então é hora de você mudar para algum outro host.

Uma hospedagem ruim pode comprometer todos os dados do seu site. Para se salvar, você deve sempre prestar muita atenção na hora de escolher seu serviço de hospedagem.

2) Use um bom plugin de segurança

Um plugin pode fazer toda a diferença na segurança e no desempenho do seu site. Mas, se sua hospedagem não for satisfatória, seu site sempre corre o risco de ser invadido. Portanto, uma boa hospedagem é imprescindível.

Eu recomendaria dois plugins de segurança altamente eficientes para WordPress:

  1. Segurança do Wordfence
  2. Segurança iThemes
instalação iThemes ss

Ambos os plugins são poderosos, mas o Wordfence Security tem velocidades de carregamento lentas em alguns sites, então prefiro o iThemes Security para meus sites.

3) Defina uma página de login diferente

Você deve ter notado que pode acessar a página de login dos sites WordPress através da URL: yourwebsite.com/wp-admin . Mas há um problema!

Se você pensar na perspectiva de um hacker, essa informação é um jackpot. Eu posso acessar literalmente a página de login de qualquer site WordPress adicionando wp-admin no final da URL!

O máximo de tentativas de hacking é sempre feito nas páginas de login.

Devemos evitar qualquer chance de ser hackeado. Com o iThemes Security, você pode alterar a página de login de wp-admin para outra coisa como yourwebsite.com/ this_is_my_site ou literalmente qualquer coisa que não seja comum.

Mas também mantenha-o guardado com segurança em 3-4 locais diferentes. Se você perder esse URL, não há outra maneira de acessar seu site.

Veja como você pode alterar sua página de login usando o iThemes Security:

mudança de URL da página de login do wordpress

4) Use um nome de usuário e senha fortes

O WordPress oferece o nome de usuário padrão para seus sites como 'admin' . E a maioria dos usuários nunca se preocupa em alterá-lo porque é fácil e conveniente para eles lembrarem.

Mas nomes de usuário genéricos como 'admin' tornam muito fácil para hackers encontrar sua senha porque eles já têm seu nome de usuário.

Eles podem usar técnicas como ataque de força bruta para adivinhar sua senha e, em seguida, roubar seus dados preciosos. (Quer saber o que é Brute Force Attack? Continue lendo para descobrir.)

Portanto, como usuário do WordPress, esteja um passo à frente dos hackers e comece a aplicar senhas fortes em seu site.

Com o plugin iThemes Security, você pode definir essas configurações rapidamente.

wordpress impor senha forte

5) Defina um limite no número de tentativas de login

Então, estávamos falando sobre Brute Force Attack. É um tipo de ataque cibernético em que o hacker continua tentando diferentes combinações de senhas para acessar sua conta até encontrar a senha correta/destino.

Senhas fracas levam apenas alguns segundos para serem quebradas. Os fortes podem levar muito tempo. Como o processo de adivinhação de senha leva um tempo considerável, esse ataque também é chamado de pesquisa exaustiva.

Este é um método muito confiável de quebrar a senha de alguém porque, eventualmente, depois de experimentar todas as combinações, eles certamente encontrarão a senha de destino, não importa o quão forte ela seja!

Segundo as estatísticas, em 2017, cerca de 5% das violações de segurança ocorreram por causa de ataques de força bruta! Então você pode imaginar como é simples realizar esse ataque!

No entanto, você pode controlar essas atividades definindo um limite no número de tentativas de login.

Por exemplo, se um usuário tentar fazer login em sua conta por mais de 3 vezes, ele será bloqueado por 24 horas. Isso garantirá uma melhor segurança. O iThemes Security oferece ótimas configurações de personalização para tentativas de login.

tentativas de login de limite de segurança do wordpress

6) Implemente a autenticação de dois fatores

Como já vimos, os hackers podem eventualmente encontrar todas as combinações de senhas usando o ataque de força bruta. Isso significa que não importa quão forte seja sua senha, sua conta ainda nunca estará segura!

É aqui que o 2FA marca a sua presença. 2FA (autenticação de dois fatores) é uma camada adicional de segurança depois de proteger suas contas com senhas.

Ele fornece um segundo método de verificação da identidade do usuário combinando dois fatores – o que você sabe (por exemplo, sua senha) e o que você possui (por exemplo, sua impressão digital ou outro recurso de identificação).

wordpress 2fa

Sempre que alguém tenta fazer login na sua conta, a autenticação de dois fatores envia uma OTP (senha de uso único) exclusiva para o seu dispositivo por meio de SMS. Depois de inserir esse código, ele permite que você acesse a conta.

Este método é de longe o método mais seguro e eficaz de todos, e todos devem usá-lo em suas contas para garantir a máxima segurança.

6) Use Cloudflare para proteção contra ataques DDoS

DDoS (Distributed Denial of Service) é um ataque cibernético onde os hackers usam uma rede de computadores zumbis chamada 'Botnet' para interromper o tráfego normal e quebrar seu site.

O objetivo principal de um ataque DDoS é tornar seu site indisponível para usuários genuínos, inundando-o com mais solicitações do que seu servidor da Web pode lidar.

Em palavras simples, é como um engarrafamento indesejado que não permite a passagem de pessoas genuínas.

Então, como você pode evitar esse engarrafamento? Cloudflare é o seu salva-vidas neste caso! Ele protege seu site de todas as atividades online maliciosas, como ataques DDoS, vírus, bots e outros elementos intrusivos.

Ele também melhora a velocidade de carregamento da sua página, ajuda nas classificações do mecanismo de pesquisa e fornece um certificado SSL gratuito para ajudar a garantir mais segurança de suas comunicações online de terceiros.

Você pode obter um certificado SSL gratuito e proteção contra ataques DDoS através destas etapas simples:

wordpress usando proteção cloudflare
  1. Crie uma conta no Cloudflare.com
  2. Adicione seu site
  3. Escolha o plano gratuito/pago conforme sua escolha
  4. Adicione os servidores de nomes da Cloudflare em seus registros DNS.

Isso vinculará seu site à Cloudflare e você poderá aproveitar seus excelentes recursos de segurança.

7) Evite usar plugins e temas nulos

A maioria dos usuários do WordPress nem sabe que está usando temas/plugins nulos.

Temas e plugins nulos são recursos premium distribuídos gratuitamente. O distribuidor pode adicionar seu próprio código malicioso em seu código-fonte e roubar seus dados.

Outra desvantagem dos temas/plugins Nulled é a falta de atualizações. O desenvolvedor lança atualizações com frequência para corrigir os problemas de segurança no software.

Mas para temas Nulled, o distribuidor não é um desenvolvedor legal. Portanto, não há atualizações disponíveis. Assim, eles são altamente vulneráveis ​​a hackers de terceiros.

Por fim, não há opções de suporte ou personalização com temas Nulled. Você não pode alterar as fontes, cores das fontes, posição dos widgets ou outros elementos na página.

Portanto, nunca use temas nulos. Você deve sempre optar por temas GPL (GNU General Public License). Uma licença GPL é uma licença gratuita e identificada que dá aos usuários a liberdade de usar e alterar seu código de software.

Portanto, antes de comprar ou instalar, certifique-se de que seu tema esteja sob a licença GPL.

8) Atualize regularmente o WordPress, plugins e temas

Os desenvolvedores de temas e plugins continuam constantemente corrigindo as falhas e atualizando seus temas/plugins. Portanto, sempre atualize-os a cada 15 dias, caso contrário, você corre o risco de ser hackeado.

Além disso, nunca deixe de atualizar seu site WordPress para a versão mais recente para desfrutar de uma experiência tranquila.

plugins de atualização do wordpress

Por exemplo, se alguém encontrou uma maneira de hackear os dados das pessoas explorando o código de um tema/plugin. Você está usando este tema/plugin também.

Agora, se você esquecer de atualizar, ficará vulnerável a esses ataques de hackers maliciosos!

9) Remova plugins e temas inativos

Digamos que você queira exibir uma galeria de imagens em sua postagem. Você instala um plug-in para ele e, depois que seu trabalho é concluído, ele fica na pasta de plug-ins sem uso por anos! Isso não aconteceu com cada um de nós?

plugins inativos wordpress

Essa prática pode colocar seus dados preciosos em risco porque os hackers tentaram adulterar seus dados por meio de temas e plugins inativos também. Portanto, sempre certifique-se de excluí-los se não estiverem mais sendo usados.

Quantos plugins inativos você tem em seu site agora? Deixe-me saber na caixa de comentários!

10) Desligue o registro do usuário

Que tipo de site você tem? Exige que os usuários criem suas contas em seu site? Caso contrário, é melhor desabilitar os 'registros de usuários'.

Se você estiver usando seu site WordPress para fins básicos de blog, mantenha esse recurso desativado porque tentativas de hackers também podem ocorrer na página de registro de usuários.

11) Faça Backups Regulares

Isso nem precisa dizer – Faça backups do site regularmente. Mas o importante a lembrar é que deve ser Off-Site Backup.

backup externo wordpress

Os Backups Off-Site criptografam, compactam e protegem nossos dados em um servidor diferente do servidor principal. Isso tem muitos benefícios como:

  • Economiza espaço de armazenamento
  • Temos um backup de dados caso todo o sistema falhe
  • Evita o tempo de inatividade do site
  • Protege nossos dados contra ataques online

Mas é preciso saber como criar um backup e também como restaurá-lo.

O máximo de pessoas pode fazer backups, mas restaurá-los é onde o problema ocorre. Para garantir a segurança do seu site, aprenda essas habilidades básicas imediatamente!

12) Altere o prefixo da tabela do WordPress para evitar injeção de SQL

As tabelas do WordPress contêm todas as informações sobre seu site, incluindo suas informações de login. Assim, é o alvo mais favorito dos hackers.

E se você notou, o prefixo para tabelas de banco de dados do WordPress é wp_ por padrão. Como usuários normais como você e eu não acham necessário alterá-lo, fica mais fácil para os invasores direcionar esse prefixo padrão e executar SQL Injection em nosso site.

wordpress evitar injeção de sql

A injeção de SQL é uma técnica de hacking onde o hacker se aproveita de alguma vulnerabilidade em um tema/plugin para se apossar das tabelas do banco de dados do usuário, ganhando assim o mesmo nível de autoridade no banco de dados que o proprietário, ou seja, você.

Não parece assustador? O plugin iThemes Security oferece opções fáceis para editar o prefixo da tabela e evitar SQL Injection com zero esforço!

wordpress alterar prefixo da tabela db

Como usar o plug-in de segurança do WordPress

Para saber como você pode usar o WordPress Security Plugin, você pode assistir a este vídeo. Eu usei a versão gratuita do iThemes Security Pro para configurar todas as medidas de segurança do WordPress.

Conclusão

Então, isso foi tudo por hoje. Espero que este artigo o ajude a manter seu site WordPress seguro seguindo estas dicas e usando plugins de segurança.

Que outras medidas de segurança vocês implementam em seus sites? Compartilhe-os na seção de comentários abaixo.

Além disso, se você gosta deste conteúdo, certifique-se de assinar este blog . Aqui é Kripesh se despedindo! Nos vemos na próxima. Cuidem-se e continuem aprendendo, pessoal!