As 28 principais práticas e dicas de segurança do WordPress

Publicados: 2024-01-05

WordPress é um poderoso sistema de gerenciamento de conteúdo (CMS), mas sua popularidade significa igual atenção como alvo entre os hackers. Sem as medidas de segurança necessárias, seu site pode ficar vulnerável a ataques.

Felizmente, há várias coisas que você pode fazer para manter seu site seguro. Isso varia desde tarefas simples, como atualizar plug-ins e realizar backups, até estratégias mais envolventes, como migrar para um provedor de hospedagem com medidas de segurança mais rigorosas.

Neste artigo, orientaremos você através de 28 práticas recomendadas de segurança do WordPress para ajudá-lo a garantir que seu site esteja protegido.

1. Mantenha WordPress, plug-ins e temas atualizados

Software desatualizado representa uma enorme ameaça aos sites. Quando um plugin ou tema não é atualizado há meses ou anos, os hackers terão mais tempo para procurar vulnerabilidades no software e encontrar uma maneira de entrar nos sites que o utilizam.

Simplificando: se você estiver usando uma versão mais antiga do WordPress, seu site estará vulnerável a ataques. Isso também se aplica a quaisquer plug-ins ou temas do seu site.

É importante ter em mente que o WordPress é extremamente popular. Ele alimenta cerca de 43% de todos os sites conhecidos. Isso significa que um único plugin com um problema de segurança pode levar a centenas ou milhares de sites com portas abertas para cibercriminosos.

A maneira mais fácil de se proteger contra essas vulnerabilidades é manter o WordPress e todos os seus componentes atualizados. Isso pode ser tão simples quanto verificar o painel todos os dias para ver quais atualizações estão disponíveis e executá-las.

atualizações disponíveis no painel do WordPress

No caso de plug-ins, você pode configurá-los para serem atualizados automaticamente, um por um. Para fazer isso, vá em Plugins → Plugins Instalados e clique em Habilitar atualizações automáticas para os plug-ins que deseja atualizar automaticamente.

ativando atualizações automáticas no WordPress

2. Altere o nome de usuário “admin” padrão

Um dos maiores erros de segurança que os usuários do WordPress podem cometer é escolher um nome de usuário como “admin” ou “administrador”. Esses são os nomes de usuário padrão que o WordPress define para você, e mantê-los no lugar facilita a entrada de invasores.

Muitos hackers tentam invadir um site tentando tantas combinações de nomes de usuário e senhas quanto possível. Isso é chamado de ataque de força bruta. Se alguém já sabe seu nome de usuário, significa que só precisa adivinhar um fator de login.

O WordPress não permite alterar o nome de usuário da conta de administrador depois de configurá-lo. Para fazer uma alteração, você precisará criar uma nova conta, atribuir a ela a função de usuário Administrador e excluir a antiga.

Você pode fazer isso acessando Usuários → Adicionar novo . Em seguida, insira os detalhes da conta, incluindo um nome de usuário difícil de adivinhar, e escolha Administrador no menu Função .

redefinindo senha no WordPress

Na próxima vez que você criar um site WordPress, precisará definir o nome de usuário do administrador para algo diferente. Essa simples mudança tornará muito mais difícil o acesso da conta pelos invasores.

3. Use senhas fortes e altere-as regularmente

Se você usa uma senha fácil como “1234” ou tem a mesma para todas as contas, é apenas uma questão de tempo até que alguém obtenha acesso ao seu site.

Embora existam maneiras de recuperar o acesso a contas roubadas, o processo pode ser árduo. Além disso, um hacker pode causar danos irreparáveis ​​ao seu conteúdo e reputação.

Ao criar uma nova conta no WordPress, o CMS irá gerar uma senha forte para você. Normalmente é uma combinação de letras, números e caracteres especiais.

Você pode usar essa senha ou alterá-la para algo mais memorável (mantendo uma mistura de letras e números).

criando uma senha forte no WordPress

Você pode até usar um gerenciador de credenciais se tiver dificuldade para lembrar dele. Os gerenciadores de senhas podem ajudá-lo a gerar senhas seguras para todas as suas contas e mantê-las seguras.

Para maior segurança, você desejará alterar suas senhas periodicamente. Dessa forma, caso haja vazamento de credenciais, sua conta estará segura.

4. Implementar autenticação de dois fatores (2FA)

Como muitos outros sites, o WordPress requer um nome de usuário e uma senha para fazer login. Isso significa que a segurança do login depende muito da força de suas credenciais.

Tela de login do WordPress

Mesmo com a senha mais forte, há uma chance de alguém obter acesso à sua conta ou a outras pessoas em seu site. Uma forma eficaz de evitar essa violação é usar a autenticação de dois fatores (2FA).

Quando você habilita 2FA, seu site exigirá um método adicional de verificação para os usuários fazerem login. Normalmente, este é um código único enviado por SMS, e-mail ou um aplicativo de autenticação.

Como os hackers não têm acesso ao seu dispositivo móvel ou e-mails, eles não conseguirão fazer login na sua conta. Alguns sites oferecem a opção de usar 2FA, enquanto outros a impõem.

Se você usa o Jetpack, pode permitir que os usuários façam login com suas contas do WordPress.com. Também existe a opção de usar a funcionalidade 2FA do WordPress.com.

ativando a autenticação de dois fatores no WordPress.com

Você pode encontrar essas configurações navegando até Jetpack → Configurações e localizando a seção de login do WordPress.com . Em seguida, basta alternar a chave correspondente.

5. Use criptografia HTTPS por meio de um certificado SSL

Um certificado Secure Sockets Layer (SSL) permite que seu site seja carregado por HTTPS, que é a versão segura do HTTP. O certificado verifica se o seu site é genuíno e se a comunicação entre o navegador e o servidor está criptografada.

Você pode obter um certificado SSL gratuitamente de diversas autoridades, como Let's Encrypt. Muitos hosts da web WordPress configurarão automaticamente um certificado SSL para o seu site. Outros hosts da web permitirão que você configure um certificado manualmente via cPanel.

6. Instale um plugin de segurança confiável

Os plug-ins de segurança do WordPress geralmente vêm com uma coleção de recursos e ferramentas que ajudam a proteger seu site. Normalmente incluem:

  • Proteção contra SPAM
  • Proteção contra ataques de negação de serviço (DDoS)
  • Um firewall de aplicativo da web (WAF)
  • Verificação e limpeza de malware
  • Backups automáticos

Você pode encontrar plug-ins individuais do WordPress que realizam cada uma dessas tarefas separadamente. Mas se você optar por uma ferramenta de segurança abrangente, poderá gerenciar vários recursos no mesmo lugar, o que pode facilitar seu trabalho.

Na verdade, usar o plugin certo pode ajudá-lo a marcar vários itens nesta lista das melhores práticas de segurança do WordPress. Jetpack Security inclui todos os recursos mencionados e muitos outros.

7. Faça backup regularmente do seu site

Fazer backup de seus dados regularmente é sem dúvida a coisa mais importante que você pode fazer para mantê-los seguros. Quando se trata de sites, um backup completo pode salvar vidas em caso de violação ou mau funcionamento da segurança.

Se o seu site for hackeado ou parar de funcionar corretamente, a maneira mais fácil de resolver o problema pode ser restaurar um backup recente. Quanto mais recente for o backup, menor será a probabilidade de você perder qualquer informação crítica.

Assim que o site estiver funcionando corretamente novamente, você poderá tomar as medidas necessárias para protegê-lo contra novos ataques.

Existem muitas opções de backup para WordPress. Alguns hosts da web oferecem backups automáticos como parte do seu plano de hospedagem (normalmente se for um serviço gerenciado). No entanto, é melhor não confiar apenas nesses backups. Se o seu servidor estiver comprometido – por um erro de codificação, erro de host ou hack – os backups também podem estar.

A melhor opção é usar um plugin que armazene backups fora do local. Jetpack VaultPress Backup é uma dessas opções. A ferramenta está disponível como um plugin individual e como parte do pacote Jetpack Security mencionado anteriormente. Ele faz backup do seu site automaticamente sempre que você faz uma alteração.

Página inicial de backup do Jetpack VaultPress

Esses backups em tempo real são ideais se você adiciona constantemente novo conteúdo ao seu site. Isso significa que você sempre terá uma cópia da versão mais recente. Além disso, os backups são armazenados fora do local, para que você sempre tenha acesso a eles, mesmo que o site esteja completamente fora do ar.

8. Use um firewall de aplicativo da web (WAF)

Um WAF é um tipo de firewall projetado para filtrar o tráfego de e para um site. Ele usa regras para filtrar tipos específicos de tráfego e pode bloquear IPs maliciosos conhecidos.

Os WAFs são projetados para ajudá-lo a impedir tipos comuns de ataques cibernéticos, incluindo injeções de SQL, scripts entre sites (XSS) e falsificações de solicitações entre sites (CSRF). Eles são capazes de fazer isso graças aos seus complexos sistemas de regras.

Quanto mais abrangentes forem as regras do firewall, mais eficaz ele será. Muitos plug-ins de segurança (incluindo Jetpack Security) possuem WAFs sofisticados com conjuntos de regras projetados a partir de anos de experiência em ataques de WordPress.

Embora você possa instalar e configurar um WAF manualmente, sua melhor aposta é usar um host da web ou um plugin de segurança que configure um para você. Dessa forma, você pode aproveitar o banco de dados existente de ameaças e simplesmente ativar o firewall.

9. Faça verificações regulares em busca de malware

A verificação de malware em seu site envolve o uso de uma ferramenta de terceiros ou um plug-in de segurança. Este software analisa os arquivos, plug-ins e temas do seu site em busca de infecções por malware. Se detectar algo errado, você saberá onde está o problema.

Página inicial do Jetpack Scan

Lembra quando você executava verificações antivírus em seu computador e isso demorava uma eternidade? Agora, a maioria dos softwares antivírus é executada em segundo plano e só incomoda se houver algum problema. As verificações de malware com o Jetpack Security funcionam perfeitamente.

E, ao contrário de outras ferramentas que apenas informam que há um problema, se o Jetpack encontrar algo, ele geralmente fornecerá soluções para resolver o problema, geralmente com um único clique.

Se você tomar medidas para proteger seu site, as infecções por malware deverão ser extremamente raras. Mesmo assim, nunca é demais ter verificações automáticas de malware configuradas para o caso de você ser atingido por uma exploração de dia zero ou algum outro tipo de ataque difícil de impedir.

10. Bloqueie formulários e comente spam

Qualquer site WordPress com seções ou formulários de comentários abertos pode encontrar spam. Isso pode variar desde concorrentes postando links para seus sites até invasores compartilhando URLs maliciosos ou tentando usar scripts para obter acesso não autorizado.

A solução simples para esse problema é moderar os comentários em seu site. Mas à medida que o seu site cresce, filtrar comentários de spam pode se tornar um trabalho de tempo integral. Não é incomum ter milhares de mensagens aguardando moderação.

Você poderia tentar usar um CAPTCHA para impedir envios de spam de robôs, mas inevitavelmente irritará alguns usuários e diminuirá o envolvimento legítimo e as conversões de que seu site precisa para prosperar.

A melhor opção é usar o Akismet. Essa ferramenta funciona totalmente em segundo plano para impedir envios de spam em comentários e formulários, para que você nem perceba o que está acontecendo. Os usuários legítimos podem continuar sem a necessidade de resolver um quebra-cabeça, responder uma charada ou até mesmo clicar em uma caixa.

Tudo isso acontece com 98% de precisão.

O Akismet também é personalizável, para excluir imediatamente certos comentários e reter outros para você revisar manualmente e aprovar ou negar.

Você pode obter o Akismet como seu próprio plug-in, mas se estiver comprometido em melhorar a segurança geral e a experiência do usuário com o mínimo de esforço (e despesas), também poderá obtê-lo como parte do plano Jetpack Security.

11. Implemente permissões seguras de arquivos usando FTP

Cada arquivo e pasta em um sistema baseado em UNIX possui um conjunto de permissões. Essas permissões são representadas por conjuntos de três números. Por exemplo, “777” significa que cada usuário possui permissões completas de gravação, leitura e execução para um arquivo ou diretório.

O primeiro dos três números representa quem possui o arquivo ou diretório. O segundo número representa contas em um grupo de proprietários e o terceiro representa todos os outros usuários.

No exemplo acima, cada sete significa que cada um desses tipos de usuários possui permissões de leitura (quatro), gravação (2) e execução (1). Se você somar esses valores, obterá sete.

As permissões de arquivo que você atribui aos arquivos e diretórios do WordPress determinarão quem pode acessá-los, lê-los e editá-los. As permissões de arquivo recomendadas para WordPress são 755 para diretórios e 644 para arquivos.

Para definir essas permissões, você precisará se conectar ao seu site por meio de uma ferramenta de protocolo de transferência de arquivos (FTP) como o FileZilla. Você pode obter suas credenciais de FTP em sua conta de hospedagem.

Depois de se conectar ao seu site, navegue até o diretório raiz (geralmente denominado public_html ). Dentro desta pasta, você pode selecionar qualquer subdiretório ou arquivo desejado, clicar com o botão direito sobre ele e escolher a opção que diz Permissões de arquivo .

editando permissões de arquivo no FileZillal

Uma nova janela aparecerá onde você pode definir a permissão para o arquivo ou diretório selecionado por meio do campo Valor numérico .

editando permissões de arquivo para wp-includes

Se você alterar as permissões dos diretórios, também verá uma opção que diz Recurse into subdirectories . Isso permitirá que você defina as mesmas permissões para todos os subdiretórios ou arquivos.

Observe que existem algumas exceções à regra quando se trata das permissões ideais para arquivos do WordPress. Um deles é o arquivo wp-config.php , que discutiremos na próxima seção.

12. Proteja seu arquivo wp-config.php

O arquivo wp-config.php inclui informações críticas sobre o seu site e seu banco de dados. É um dos arquivos principais do WordPress mais importantes, o que significa que você deve tomar medidas adicionais para protegê-lo.

Em termos de permissões, é melhor definir wp-config.php como 400 ou 440. Se você se lembrar do detalhamento da seção anterior, saberá que esses valores de permissão se traduzem em:

  • 400: Somente o proprietário pode ler o arquivo.
  • 440: Somente o proprietário e os usuários do grupo do proprietário podem ler o arquivo.

Isso remove completamente as permissões de gravação do wp-config.php . Geralmente, essa é uma escolha segura, pois impede que qualquer pessoa possa modificar as configurações do arquivo.

Outra maneira de proteger o wp-config.php é mover um nível acima do diretório raiz. O WordPress procurará o arquivo em um diretório acima se não conseguir encontrá-lo no local padrão.

Isso significa que o WordPress ainda funcionará normalmente, mas os invasores podem ser enganados pelo fato de não conseguirem encontrar o arquivo.

13. Desative a edição de arquivos em seu arquivo wp-config.php

O WordPress oferece diversas opções para edição de arquivos. Uma delas é usar os editores de plugins e arquivos de tema, que estão disponíveis no painel.

Esses editores de arquivos permitem que você faça alterações no código do seu site sem precisar se conectar a ele via FTP. A desvantagem dessa abordagem é que se um hacker obtiver acesso a uma conta que tenha permissão para usar esses editores, ele poderá causar estragos no seu site.

Portanto, você pode considerar desabilitar a edição de arquivos no WordPress. Você pode fazer isso abrindo o arquivo wp-config.php e adicionando a seguinte linha de código a ele:

 define('DISALLOW_FILE_EDIT', true);

Observe que alguns temas e plug-ins desabilitarão automaticamente a edição de arquivos. Se você não vir os editores de arquivos ou temas no painel, é provável que esteja usando uma dessas ferramentas.

14. Restrinja a navegação no diretório em seu arquivo .htaccess

Se a navegação no diretório estiver habilitada, você pode visitar yourwebsite.com/content/ . Em vez de receber um erro 403 proibido, você verá uma lista de subdiretórios e arquivos dentro dessa pasta.

Desativar a navegação no diretório é essencial se você deseja proteger seu site. Se alguém puder ver o conteúdo das pastas do seu site, poderá obter muitas informações, como o tema e os plug-ins que você usa. Eles também poderão navegar em arquivos de mídia sem restrições, o que é terrível do ponto de vista da privacidade.

A maioria dos hosts da web WordPress desativa a navegação em diretórios por padrão. Se o seu não oferece esse recurso, você mesmo pode habilitá-lo editando o arquivo .htaccess no diretório raiz .

Para fazer isso, abra o arquivo e adicione a seguinte linha de código:

 Options -Indexes

Salve as alterações e feche o arquivo. Agora, se você tentar navegar para um diretório por meio de um navegador, receberá um erro informando que não tem acesso a ele.

15. Restringir o acesso ao diretório wp-admin

wp-admin é o local padrão para o diretório do WordPress. Se você visitar a página inicial do seu site e adicionar /wp-admin ao final da URL, você chegará ao painel do WordPress (após passar pela página de login).

Esta estrutura é padrão para sites WordPress. Isso facilita a localização e o acesso ao painel, tanto para você quanto para os invasores.

Uma forma de proteger o administrador do WordPress é protegê-lo com uma senha. Dessa forma, os usuários precisarão inserir uma senha diferente após passar pela página de login.

Se o seu host usa cPanel, você pode adicionar uma senha ao diretório wp-admin usando o Directory Privacy ferramenta.

encontrando “privacidade do diretório” no cpanel

Uma vez dentro desta ferramenta, navegue pelas pastas até encontrar o diretório wp-admin . Clique em EDITAR botão próximo a ele e, na página seguinte, marque a opção que diz Proteger este diretório com senha .

opção para proteger com senha um diretório

Agora, a ferramenta de privacidade do diretório solicitará que você defina uma senha para wp-admin . Depois de salvar a senha, tente acessar o painel do WordPress. Um pop-up de senha deve aparecer diretamente no navegador.

16. Oculte seu URL de login wp-admin

Outra forma de proteger o administrador do WordPress é alterar a URL que leva à página de login. Se você combinar essa estratégia com a proteção adicional por senha abordada na seção acima, nenhum invasor poderá entrar no painel do seu site.

Você pode alterar o URL wp-login manualmente, mas usar um plugin pode simplificar o processo. WPS Hide Login é uma ferramenta simples que permite definir um novo URL de login sem a necessidade de editar nenhum código do seu site.

Plug-in WPS Ocultar login

Depois de instalar o plugin, vá para Configurações → Ocultar login do WPS e procure a seção que diz URL de login. Use o campo próximo a essa opção e substitua o URL de login padrão por um personalizado.

Você pode querer usar uma mistura aleatória de letras e números. Isso tornará mais difícil para os invasores adivinharem. Apenas certifique-se de marcar a nova página de login ou definir um URL que você possa lembrar.

17. Limite as tentativas de login

Conforme mencionado anteriormente, os invasores podem obter acesso ao seu site testando várias combinações de nomes de usuário e senhas. Definir senhas fortes pode ser uma forma eficaz de bloquear tentativas, mas há outra coisa que você pode fazer para impedir ataques de força bruta.

Isso envolve limitar o número de tentativas de login que os usuários podem fazer em um período específico. Essa limitação não afetará usuários comuns, mas deve ser suficiente para impedir ataques de força bruta que usam bots. Ao limitar a taxa na qual eles podem testar novas credenciais, você pode minimizar as chances de sucesso.

Existem muitas ferramentas que você pode usar para limitar as tentativas de login no WordPress. Se você usar o Jetpack, terá acesso ao recurso de proteção contra força bruta. Isso limita automaticamente as tentativas de login que o Jetpack identifica como maliciosas.

opção para ativar a proteção contra ataques de força bruta com Jetpack

O Jetpack também pode ajudá-lo a colocar endereços IP na lista de permissões, para que não sejam bloqueados pela ferramenta de proteção de força bruta. Você pode usar isso para o seu endereço IP e o de seus colegas de trabalho para evitar sinalizações falsas.

Explore os benefícios do Jetpack

Saiba como o Jetpack pode ajudar você a proteger, acelerar e expandir seu site WordPress. Ganhe até 50% de desconto no primeiro ano.

Explorar planos

18. Desconecte usuários inativos automaticamente

Muitos sites desconectarão você da sua conta após um determinado período de tempo. Esta é uma medida de segurança projetada para evitar que outras pessoas invadam sua sessão caso tenham acesso ao seu computador.

Isso pode não ser um problema dependendo de onde você faz login, mas ainda é uma medida de segurança que vale a pena implementar. Isso se aplica principalmente se houver outras pessoas com acesso ao painel do seu site.

O WordPress não desconecta usuários automaticamente. Para adicionar esta funcionalidade, você precisará usar um plugin como Inactive Logout.

Plug-in de logout inativo

Depois de instalar o plugin, vá para Configurações → Logout inativo → Configurações gerais . Procure a opção Idle Timeout e defina o valor para o timer que desejar, em minutos.

definindo o tempo limite de inatividade em minutos

Agora, os usuários serão desconectados automaticamente se ficarem ociosos por esse período de tempo. O plugin também permite configurar uma mensagem que informa porque sua sessão foi encerrada, para que não fiquem confusos quando retornarem.

19. Altere o prefixo padrão do banco de dados WordPress

Cada banco de dados WordPress tem um nome. Por padrão, esse nome é wp_something, com “something” substituindo o nome real do banco de dados.

O que é realmente importante aqui é o prefixo. Por padrão, o WordPress usa o prefixo wp_ , o que significa que os invasores podem adivinhar facilmente o nome completo do banco de dados.

A simples alteração do prefixo pode tornar essa tarefa muito mais difícil para os invasores. Infelizmente, não é tão simples alterar o prefixo do banco de dados WordPress.

Este processo requer que você edite os arquivos principais e faça alterações no próprio banco de dados. Portanto, antes de fazer qualquer outra coisa, você precisará realizar um backup completo do site, que inclui todos os arquivos e o banco de dados. Dessa forma, se algo der errado, você poderá restaurar o backup.

Para começar, acesse o site via FTP e acesse o arquivo wp-config.php . Abra o arquivo e procure esta linha dentro:

 $table_prefix = 'wp_';

Você pode prosseguir e substituir o prefixo “wp_” por outro, como “newprefix_”. No entanto, isso é apenas um exemplo. Você vai querer escolher algo que seja difícil de adivinhar.

Agora salve o arquivo e acesse o banco de dados usando phpMyAdmin. Selecione o banco de dados WordPress na lista à esquerda e clique em SQL no menu na parte superior da tela acima da lista de tabelas.

Isso abrirá uma página onde você poderá executar comandos SQL que afetam o banco de dados. O que você precisa fazer agora é substituir os prefixos de tabela existentes para todas as tabelas do banco de dados. Por padrão, isso significa as seguintes tabelas:

  • wp_options
  • wp_postmeta
  • wp_postagens
  • wp_term_relationships
  • wp_term_taxonomy
  • wp_terms
  • wp_commentmeta
  • wp_comments
  • wp_links

Tenha em mente que alguns plugins também podem adicionar novas tabelas ao banco de dados. Você também precisará atualizar os prefixos dessas tabelas.

Para cada tabela, você precisará executar o seguinte comando SQL:

 RENAME table wp_xxxx TO newname_xxxx;

Os espaços reservados “xxxx” representam o nome de cada tabela após o sublinhado. Da mesma forma, você precisará alterar o prefixo newname_ para aquele que você definiu anteriormente ao modificar wp-config.php .

Repita esse processo conforme necessário para cada tabela do banco de dados. Quando estiver pronto, você poderá retornar ao painel.

Alterar o prefixo do banco de dados pode interromper quaisquer plug-ins e temas ativos em seu site. Essas ferramentas não reconhecerão o banco de dados atualizado até que você as desative e reative.

Portanto, você precisará passar por cada plugin e tema do seu site e seguir esse processo. Quando terminar, verifique seu site para ter certeza de que tudo está funcionando como deveria.

20. Oculte sua versão do WordPress

No passado, o WordPress exibia no rodapé a versão do software que um site estava usando. A ideia era que essas informações pudessem ser úteis para fins de solução de problemas e seriam muito mais fáceis de encontrar se estivessem prontamente disponíveis para visitantes front-end.

O problema com essa abordagem é que exibir o número da versão significa que os invasores podem procurar vulnerabilidades específicas dessa versão. Isso fornece aos atores mal-intencionados muitas informações que eles podem usar para realizar um ataque ao seu site.

Além disso, esse recurso não traz nenhum benefício prático para você. Afinal, você sempre pode verificar a versão WordPress do seu site no painel.

As versões mais recentes do WordPress não exibem mais essas informações no front-end. Se você puder ver o número da versão no rodapé, significa que o seu site está atrasado para uma atualização do WordPress.

21. Mantenha sua versão do PHP atualizada

Como você provavelmente sabe, o WordPress é construído principalmente em PHP. Ele depende desta linguagem de programação para executar a maioria das tarefas administrativas.

PHP também é um software. Isso significa que ele recebe atualizações regulares com novos recursos e funções e desempenho aprimorado.

O WordPress requer que seu servidor execute PHP versão 7.4 ou superior. Existem versões mais recentes do PHP, e cada uma delas traz atualizações de desempenho e segurança ao software. Essas atualizações também são transferidas para o próprio WordPress.

Os hosts da web mais respeitáveis ​​atualizam o PHP em seus servidores à medida que novas versões são lançadas. Alguns provedores até permitem que você alterne entre as versões manualmente (o que pode ser necessário para solucionar erros em seu site WordPress).

Você pode verificar qual versão do PHP seu site está executando navegando até Configurações → Saúde do site → Informações → Servidor no painel do WordPress. Aqui você terá uma visão geral da configuração do seu servidor, incluindo a versão do PHP que ele usa.

informações do servidor no WordPress

Se essa versão estiver desatualizada, você pode entrar em contato com seu host. Eles podem atualizar o PHP para você. Mesmo assim, isso é algo que você não deveria precisa fazer se você estiver usando um provedor de hospedagem confiável, pois eles cuidarão disso para você.

22. Desative o relatório de erros do PHP

O WordPress vem com uma ferramenta de depuração que permite ao CMS registrar erros de PHP. Você pode usar esses relatórios de erros para solucionar problemas técnicos em seu site.

Infelizmente, esses relatórios também podem levar a problemas de segurança. Se os invasores obtiverem acesso aos logs de erros do PHP, eles poderão obter muitas informações sobre como o seu site funciona. Eles poderão ver quais plug-ins estão ativos em seu site (se exibirem erros), bem como arquivos importantes em seu site com problemas de PHP.

A menos que você esteja solucionando ativamente um erro no WordPress, não é necessário ativar o relatório de erros do PHP. Se você estiver usando-o para diagnosticar um problema, desative o modo de depuração do WordPress assim que obtiver as informações necessárias.

Desativar o relatório de erros do PHP requer que você modifique o arquivo wp-config.php , localizado na raiz do WordPress diretório. Você pode acessar o diretório via FTP, conforme mostrado anteriormente.

Em seguida, abra o arquivo wp-config.php e adicione a seguinte linha de código:

 define ( 'WP_DEBUG', true );

Mude o verdadeiro valor para falso e salve o arquivo. Isso desativará os logs de erros no WordPress.

Você pode ativá-los novamente a qualquer momento, conforme necessário. Você só precisará alterar o valor de volta para true .

23. Remova plugins e temas desnecessários

Plugins e temas são o que tornam o WordPress uma plataforma tão versátil. Eles adicionam novos recursos ao seu site e permitem que você personalize seu design.

O problema é que algumas pessoas instalam dezenas de plugins e temas, mas usam apenas alguns deles. Por exemplo, você pode experimentar muitos temas diferentes antes de escolher o seu favorito, mas nunca desinstalar o resto.

Cada plugin ativo no seu site apresenta um risco de segurança. Normalmente, esse risco é mínimo para plug-ins que recebem atualizações regulares e têm uma equipe de desenvolvimento respeitável por trás deles. Para plug-ins desatualizados ou que não recebem mais atualizações, esse risco aumenta drasticamente.

O mesmo se aplica aos temas. Ter temas que você não usa em seu site pode levar a vulnerabilidades.

Se você não estiver usando ativamente um tema ou plugin específico, a aposta mais segura é desinstalá-lo (e não apenas desativá-lo). Isso leva apenas alguns minutos, mas pode fazer uma grande diferença na segurança do seu site. Além disso, se mudar de ideia, você sempre poderá reinstalar um plugin ou tema excluído.

No entanto, há uma exceção aqui. Você pode querer manter um tema padrão como Twenty Twenty-Three instalado, mas inativo, para fins de solução de problemas.

24. Remova contas de usuário desnecessárias

Como regra geral, ninguém deve ter acesso ao seu site, a menos que seja absolutamente necessário. Se você precisar conceder acesso a alguém (para publicar conteúdo, realizar manutenção ou atualizar o site), certifique-se de não atribuir a ele uma função de usuário com mais permissões do que o necessário.

Quando uma pessoa não precisar mais de acesso ao site, você poderá excluir a conta dela. Isso os impedirá de alterar o site sem a sua aprovação.

Essas contas de usuário representam outro risco. Algumas pessoas podem reutilizar credenciais de suas contas pessoais para fazer login no seu site. Se essas credenciais vazarem devido a uma violação de segurança, os invasores poderão usá-las para obter acesso ao seu site.

Excluir contas de usuário no WordPress é simples. Para fazer isso, vá para Usuários → Todos os usuários e selecione uma conta. Depois de identificar a conta que deseja remover, passe o mouse sobre ela e clique em Excluir .

Observe que esta opção só aparecerá se você for o administrador. Contanto que ninguém mais tenha acesso à conta de administrador, você deverá ser a única pessoa com capacidade de excluir contas de usuário.

25. Monitore a atividade do usuário

Se você administra um site WordPress onde outras pessoas têm acesso ao painel para publicar conteúdo, fazer alterações no site e atualizá-lo, provavelmente encontrará problemas de segurança mais cedo ou mais tarde. Por exemplo, alguém pode ter suas credenciais roubadas ou instalar um plug-in que apresenta um risco de segurança ao site.

Por esse motivo, é uma boa ideia que o administrador fique de olho no que os outros fazem quando usam o site.

Os logs de atividades são ferramentas que monitoram eventos específicos e anotam quando eles acontecem. Você pode acessar esse registro e ver quem fez o quê e quando. Isso permite detectar eventos e ações que podem impactar negativamente a segurança do seu site.

Este recurso não está disponível no WordPress por padrão, mas você pode adicioná-lo com um plugin. O Jetpack Security inclui um registro de atividades que armazena dados dos últimos 30 dias.

O log está hospedado fora do local. Portanto, se você perder o acesso ao site, poderá verificar o log para ver o que aconteceu, antes de restaurar um backup recente.

26. Use um CDN para reduzir o risco de um ataque DDoS

As redes de distribuição de conteúdo (CDNs) podem ajudá-lo a reduzir drasticamente os tempos de carregamento. Eles fazem isso armazenando seu site em cache usando uma rede de data centers distribuídos em todo o mundo. Quando alguém visita o site, o CDN intercepta a solicitação e carrega uma cópia do servidor mais próximo.

Usar um CDN oferece uma série de benefícios além da redução do tempo de carregamento. Por exemplo, há menos pressão sobre o seu servidor, o que significa que o seu site estará melhor posicionado para lidar com grandes picos de tráfego. Além disso, um CDN pode funcionar como uma barreira em caso de ataque.

Se o seu site for alvo de um ataque DDoS, o CDN poderá desligá-lo rapidamente. Muitos CDNs podem pedir aos visitantes que verifiquem se são humanos caso a rede detecte algo estranho na conexão. Como os ataques DDoS dependem de bots, muitas vezes eles não conseguem contornar esses tipos de verificações de segurança.

Mesmo que o ataque DDoS consiga atingir a CDN, os seus centros de dados são construídos para gerir fluxos massivos de tráfego. Enquanto isso, o seu próprio site estará protegido pelo CDN.

Você pode integrar qualquer CDN que desejar ao WordPress. O Jetpack CDN é muito fácil de configurar. Você pode habilitá-lo gratuitamente no plug-in Jetpack e o CDN começará a armazenar em cache os arquivos de mídia do seu site.

27. Migre para um provedor de hospedagem com foco em segurança

Cada host tem seu próprio ponto de venda. Por exemplo, alguns provedores de hospedagem estão mais focados em segurança e desempenho, enquanto outros priorizam preços acessíveis.

O ideal é que você escolha um host que prometa desempenho e segurança de alto nível (e não cobre uma taxa injusta por isso). Existem muitos hosts da web que atendem a esses critérios e cuidam de tarefas essenciais de segurança para você. Essas tarefas podem incluir:

  • Cópias de segurança
  • Configurando um WAF
  • Protegendo você contra ataques DDoS
  • Verificação e limpeza de malware

Se você deseja gastar mais tempo e energia na execução de seu site e menos protegendo -o contra ataques, você deseja escolher um host que valorize a segurança. Para começar, convém receber uma lista de hosts WordPress recomendados.

Os hosts da Web que fornecem planos de hospedagem gerenciados tendem a oferecer mais em termos de segurança. Obviamente, esses serviços serão um pouco mais caros que os planos não gerenciados, mas podem ajudar a deixar sua mente à vontade.

28. Considere uma solução de segurança corporativa

Se você executar um site de nível corporativo, suas medidas de segurança devem ir além da atualização dos plugins e fazer backups. Você precisará de uma solução de segurança que forneça proteção de ponta a ponta para o seu site.

O WPScan possui o maior banco de dados de vulnerabilidades de segurança do WordPress no mercado.

O WPScan oferece uma solução de segurança focada na empresa. Isso pode ser adaptado às necessidades da sua empresa e ao tipo de site que você tem. Você pode entrar em contato diretamente com o WPSCAN para obter uma avaliação da segurança do seu site e solicitar uma cotação.

Perguntas frequentes

Esta lista de dicas de segurança do WordPress abordou as medidas mais importantes para proteger seu site. Se você ainda tiver alguma dúvida sobre como melhorar a segurança do seu site, esta seção terá como objetivo responder.

Que ameaças comuns podem ser atenuadas por essas melhores práticas de segurança do WordPress?

Este guia cobre tudo, desde medidas de proteção básicas a práticas de segurança mais avançadas. Se você reservar um tempo para implementar todas as medidas descritas neste artigo, seu site deve estar protegido contra as ameaças mais comuns. Isso inclui ataques de força bruta, roubo de dados e malware.

O objetivo final dessas medidas é garantir que nenhum ator malicioso possa acessar seu site e causar danos. Eles também podem evitar erros de usuários inexperientes, como instalar um plug -in ruim.

Qual é a maneira mais fácil de melhorar a segurança do WordPress?

Se você não tiver tempo para implementar todas as medidas neste guia, a melhor coisa que você pode fazer é configurar um plug -in de segurança do WordPress. Essas ferramentas ativarão automaticamente um inúmeros recursos que ajudam a proteger seu site.

A JetPack Security é uma solução tudo em um que automatiza muitas tarefas essenciais. Ele realiza backups em tempo real, configura um firewall, digitaliza e fornece correções rápidas para malware, protege seu site contra spam e muito mais. Ele também fornece acesso a logs de atividades, para que você possa identificar quaisquer ações em seu site que possam ter causado um problema de segurança (e quem os executou).

Qual é o melhor plug -in de segurança para o WordPress?

Existem muitos plug -ins de segurança do WordPress para escolher, mas a JetPack Security é uma das soluções mais abrangentes do mercado. Ele lida com a maioria das práticas de segurança discutidas nesta postagem, incluindo backups, varredura e remoção de malware e proteção de spam.

Como faço o backup do meu site WordPress e onde devo armazenar os backups?

Existem várias maneiras de fazer backup de um site do WordPress. Você pode fazer backup de todos os arquivos e o banco de dados manualmente, usar um plug -in que o faça para você ou se inscrever em um plano de hospedagem que inclua alguns backups limitados.

Na maioria dos casos, você não deseja armazenar backups localmente ou em apenas um local. É por isso que normalmente não é recomendado confiar apenas na hospedagem de backups. Os backups da nuvem tendem a ser mais seguros, pois a maioria dos fornecedores armazena várias cópias em prol da redundância.

A Jetpack Security inclui backups em nuvem em tempo real. Tudo é armazenado fora do local, e um novo backup é feito toda vez que você faz uma alteração no seu site.

Com que frequência devo atualizar meu site WordPress?

Idealmente, você deve atualizar o WordPress e seus componentes assim que houver atualizações disponíveis. O uso da versão mais recente de qualquer software aumentará a segurança e o desempenho do seu site. Além disso, ele fornece acesso aos recursos mais recentes.

Muitas atualizações estão focadas em corrigir as vulnerabilidades de segurança. Idealmente, você deseja verificar seu site para atualizações diariamente. Você pode até ativar atualizações automáticas para plugins. Tudo isso e muito mais é possível com a JetPack Security, o plug-in de segurança e backup em tempo real.

Com que frequência devo digitalizar meu site WordPress em busca de malware?

Se puder, você deve digitalizar seu site em busca de malware diariamente. Como essa é uma tarefa tão crítica, faz sentido automatizá -la. Dessa forma, seu plug -in de segurança ou scanner de malware ainda estarão à procura de vulnerabilidades, mesmo que você não esteja disponível.

A Jetpack Security inclui varredura automatizada de malware. O plug -in digitaliza seu site periodicamente e o notifica se encontrar algo suspeito.

Segurança do Jetpack: Proteção e backups do Word-On-O-O-O-OUTRO CLOCK

Proteger um site do WordPress pode ser muito trabalho. Você precisará realizar backups regulares, realizar atualizações, procurar seu site em busca de malware e muito mais. Além disso, você deve garantir que qualquer pessoa com acesso ao seu site esteja usando nomes de usuário e senhas fortes.

Uma solução completa como a JetPack Security pode lidar com a maioria dessas tarefas para você. Você receberá backups e exames automatizados, proteção de spam, um poderoso firewall e muito mais. Tudo o que você precisa fazer é instalar o plug -in e ativar esses recursos.

Você está pronto para aumentar a segurança do seu site? Comece hoje com a Jetpack Security!