Quando se trata de segurança do WordPress, há muitas coisas que você pode fazer para bloquear seu site e impedir que hackers e vulnerabilidades afetem seu site ou blog de comércio eletrônico. A última coisa que você quer que aconteça é acordar uma manhã e descobrir que seu site está uma desordem. Então, hoje vamos compartilhar muitas dicas, estratégias e técnicas que você pode usar para melhorar sua segurança no WordPress e permanecer protegido.

Se você é um cliente Kinsta, não precisa se preocupar com muitos deles, pois oferecemos correções gratuitas! Mas mesmo com essa garantia, você deve sempre seguir as melhores práticas de segurança.

O WordPress é Seguro?

A primeira pergunta que você provavelmente está se perguntando é se o WordPress é seguro? Para a maior parte sim. No entanto, o WordPress geralmente fica malvisto por ser propenso a vulnerabilidades de segurança e por inerência, não ser uma plataforma segura para usar em uma empresa. Mais frequentemente, isso se deve ao fato de os usuários continuarem seguindo as piores práticas de segurança comprovadas pelo setor.

Usando o software WordPress desatualizado, plugins anulados, má administração do sistema, gerenciamento de credenciais e falta de conhecimento necessário de Web e segurança entre usuários não técnicos do WordPress mantêm os hackers em cima de seu jogo do crime cibernético. Mesmo os líderes do setor nem sempre usam as melhores práticas. A Reuters foi hackeada porque estava usando uma versão desatualizada do WordPress.

Fundamentalmente, segurança não é sobre sistemas perfeitamente seguros. Tal coisa pode ser impraticável, ou impossível de encontrar e/ou manter. Segurança é a redução de riscos, não a eliminação de riscos. Trata-se de empregar todos os controles apropriados disponíveis a você, dentro do razoável, que lhe permitem melhorar sua postura geral, reduzindo as chances de se tornar um alvo e subsequentemente, ser hackeado. – Codex de Segurança do WordPress

Agora, isso não quer dizer que não existam vulnerabilidades. De acordo com um estudo do Q3 2017 realizado pela Sucuri, uma empresa de segurança multiplataforma, foi que o WordPress continua a liderar os sites infectados em 83%. Isso é de 74% em 2016.

Vulnerabilidades de segurança do WordPress
Vulnerabilidades de segurança do WordPress

O WordPress domina mais de 43.6% de todos os sites na internet e com centenas de milhares de combinações de temas e plugins, não é surpreendente que existam vulnerabilidades e sejam constantemente descobertas. No entanto, há também uma grande comunidade em torno da plataforma WordPress, para garantir que essas coisas sejam corrigidas o mais rápido possível. A equipe de segurança WordPress é formada por aproximadamente 50 (de 25 em 2017) especialistas, incluindo desenvolvedores líderes e pesquisadores de segurança – cerca da metade são funcionários da Automattic e um número de trabalhos na área de segurança web.

Vulnerabilidades do WordPress

Confira alguns dos diferentes tipos de vulnerabilidades de segurança do WordPress abaixo.

Backdoors

A vulnerabilidade de backdoor fornece aos hackers passagens ocultas ignorando a criptografia de segurança para obter acesso a sites WordPress por meio de métodos anormais – wp-Admin, SFTP, FTP etc. Depois de explorados, backdoors permitem que hackers destruam servidores contaminando-os com ataques entre sites – comprometendo vários sites hospedados no mesmo servidor. No segundo trimestre de 2016, a  Sucuri informou que os backdoors continuam a ser uma das muitas ações que os invasores realizam após a invasão, com 71% dos sites infectados tendo alguma forma de hospedagem de backdoor.

Distribuição da família de malware
Distribuição da família de malware

Os backdoors são frequentemente criptografados para aparecer como arquivos de sistema legítimos do WordPress, e chegam aos bancos de dados do WordPress explorando pontos fracos e bugs em versões desatualizadas da plataforma. O TimThumb fiasco foi um excelente exemplo de vulnerabilidade de backdoor explorando scripts obscuros e software desatualizado comprometendo milhões de sites.

Felizmente, a prevenção e a resolução dessa vulnerabilidade são muito simples. Você pode escanear seu site WordPress com ferramentas como o SiteCheck, que pode facilmente detectar backdoors comuns. Autenticação de dois fatores, bloqueando IPs, restringindo o acesso do administrador e impedindo a execução não autorizada de arquivos PHP, facilmente cuida de ameaças backdoor comuns, as quais abordaremos mais abaixo.  Canton Becker também tem um ótimo post sobre como limpar a bagunça da backdoor em suas instalações do WordPress.

Pharma Hacks

O Pharma Hack é usado para inserir códigos maliciosos em versões desatualizadas de sites e plugins do WordPress, fazendo com que os mecanismos de pesquisa retornem anúncios de produtos farmacêuticos quando um site comprometido é pesquisado. A vulnerabilidade é mais uma ameaça ao spam do que o malware tradicional, mas dá aos mecanismos de busca motivos suficientes para bloquear o site em acusações de distribuição de spam.

As partes móveis de um Pharma Hack incluem backdoors em plugins e bancos de dados, que podem ser limpos seguindo as instruções deste Blog Sucuri. No entanto, são muitas vezes variantes viciosas de hospedagens maliciosas criptografadas escondidas em bancos de dados e exigem um processo de limpeza completo para corrigir a vulnerabilidade. Contudo, você pode evitar facilmente o Pharma Hacks usando provedores de hospedagem WordPress recomendados com servidores atualizados e atualizando regularmente suas instalações, temas e plugins do WordPress.

Tentativas de login por brute-force

Tentativas de login de brute-force usam scripts automatizados para explorar senhas fracas e obter acesso ao seu site. Autenticação em duas etapas,  limitação de tentativas de login, monitoramento de logins não autorizados, bloqueio de IPs e uso de senhas fortes são algumas das maneiras mais fáceis e altamente eficazes de evitar ataques de brute-force. Mas, infelizmente, vários proprietários de sites do WordPress não conseguem executar essas práticas de segurança, enquanto os hackers conseguem facilmente comprometer até 30.000 websites em um dia usando ataques de brute-force.

Redirecionamentos maliciosos

Redirecionamentos maliciosos criam backdoors em instalações do WordPress usando FTP, SFTP, wp-admin e outros protocolos e inserem códigos de redirecionamento no site. Os redirecionamentos geralmente são colocados em seu arquivo .htaccess e em outros arquivos principais do WordPress em formatos codificados, direcionando o tráfego da Web para sites maliciosos. Vamos passar por algumas maneiras que você pode evitar em nossas etapas de segurança do WordPress abaixo.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) é quando um script mal-intencionado é injetado em um site ou aplicativo confiável. O invasor usa isso para enviar código mal-intencionado, geralmente scripts do lado do navegador, para o usuário final sem que eles saibam. O objetivo é geralmente pegar dados de cookie ou sessão ou até mesmo reescrever HTML em uma página.

De acordo com o WordFence, as vulnerabilidades de Cross-Site Scripting são a vulnerabilidade mais comum encontrada em plugins do WordPress por uma margem significativa.

Denial of Service

Talvez o mais perigoso de todos, o Denial of Service (DoS) explora erros e bugs no código para sobrecarregar a memória dos sistemas operacionais do site. Hackers comprometeram milhões de websites e conseguiram milhões de dólares explorando versões desatualizadas e com bugs do software WordPress com ataques DoS. Embora os cibercriminosos com motivação financeira tenham menor probabilidade de segmentar pequenas empresas, eles tendem a comprometer websites vulneráveis e desatualizados ao criar cadeias de botnets para atacar grandes empresas.

Mesmo as versões mais recentes do software WordPress podem não conseguir defender contra ataques DoS de alto perfil, mas pelo menos ajudará você a evitar ser pego no fogo cruzado entre instituições financeiras e criminosos cibernéticos sofisticados. E não se esqueça do dia 21 de outubro de 2016. Este foi o dia em que a internet caiu devido a um ataque DNS DDoS. Leia mais sobre por que é importante usar um provedor de DNS premium e estratégia de failover para aumentar sua segurança no WordPress.

Guia de Segurança do WordPress

De acordo com  estatísticas da internet, mais de 100.000 sites são hackeados todos os dias. 😮 É por isso que é tão importante levar algum tempo e seguir as seguintes recomendações abaixo sobre como melhorar a segurança do seu WordPress.

Sites do WordPress hackeados todos os dias
Sites do WordPress hackeados todos os dias

Nos certificaremos de manter este post atualizado com informações relevantes à medida que as coisas mudam com a plataforma WordPress e novas vulnerabilidades surgem.

  1. Invista em Hospedagem segura do WordPress
  2. Use a última versão do PHP
  3. Use nomes de usuário e senhas inteligentes
  4. Versões Mais Recentes
  5. Bloquear Administrador do WordPress
  6. Autenticação de dois fatores
  7. HTTPS – certificado SSL
  8. Solidificando wp-config.php
  9. Desativar o XML-RPC
  10. Ocultar WordPress Version
  11. Cabeçalhos de Segurança HTTP
  12. Plugins de Segurança do WordPress
  13. Segurança de banco de dados
  14. Conexões seguras
  15. Permissões de arquivo e servidor
  16. Desativar a edição no Painel de Controle
  17. Evitando Hotlinking
  18. Sempre faça backups do WordPress
  19. Proteção contra DDoS

1. Invista em Hospedagem Segura do WordPress

Quando se trata de segurança do WordPress, há muito mais do que apenas bloquear seu site, embora possamos dar as melhores recomendações sobre como fazer isso abaixo. Há também segurança em nível de servidor da web para a qual seu host do WordPress é responsável. Levamos a segurança muito a sério aqui na Kinsta e lidamos com muitas dessas questões para nossos clientes. É muito importante que você escolha um host em que possa confiar para o seu negócio. Ou se você está hospedando o WordPress em seu próprio VPS, então você precisa ter o conhecimento técnico para fazer essas coisas sozinho.

É muito importante que você escolha um host no qual possa confiar. Ou se você está hospedando o WordPress em seu próprio VPS, então você precisa ter o conhecimento técnico para fazer essas coisas sozinho. E para ser honesto, tentar ser um administrador de sistemas para economizar US $ 20 / mês é uma má ideia.

Hospedagem segura de WordPress
Hospedagem segura de WordPress

Server hardening é a chave para manter um ambiente WordPress completamente seguro. São necessárias várias camadas de medidas de segurança em nível de hardware e software para garantir que a infraestrutura de TI que hospeda sites do WordPress seja capaz de se defender contra ameaças sofisticadas, tanto físicas quanto virtuais.

Por esse motivo, os servidores que hospedam o WordPress devem ser atualizados com o sistema operacional mais recente e com softwares (de segurança), além de serem totalmente testados e verificados quanto a vulnerabilidades e malwares. Um exemplo recente disso aconteceu quando recentemente tivemos que corrigir o NGINX para vulnerabilidades de segurança do OpenSSL que foram descobertas.

Firewalls em nível de servidor e sistemas de detecção de invasão devem estar instalados antes de instalar o WordPress no servidor para mantê-lo bem protegido, mesmo durante as fases de instalação do WordPress e do site. No entanto, todos os softwares instalados na máquina destinados a proteger o conteúdo do WordPress devem ser compatíveis com os sistemas de gerenciamento de banco de dados mais recentes para manter o desempenho ideal. O servidor também deve ser configurado para usar protocolos de criptografia de rede e transferência de arquivos seguros (como SFTP em vez de FTP) para ocultar conteúdo confidencial de intrusos mal-intencionados.

Nós da Kinsta usamos o Google Cloud Platform para todos os nossos clientes WordPress para garantir hospedagem segura em WordPress. Uma grande vantagem disso é que ele é baseado em um modelo de segurança que foi criado ao longo de 15 anos e atualmente protege produtos e serviços como o Gmail, a Pesquisa etc. O Google atualmente emprega mais de 500 profissionais de segurança em tempo integral. Todos os sites na Kinsta também são protegidos por nossa integração gratuita Cloudflare, que inclui um firewall seguro a nível empresarial, bem como proteção gratuita DDoS.

Kinsta também usa contentores Linux (LXC) e LXD para organizá-los, além do Google Cloud Platform, o que nos permite isolar completamente não apenas cada conta, mas cada site WordPress separado. Este é um método muito mais seguro do que o oferecido por outros concorrentes. A segurança é incorporada em nossa arquitetura desde o início e esse é um método muito mais seguro do que o oferecido por outros concorrentes.

Arquitetura da Kinsta
Arquitetura da Kinsta

2. Use a Última Versão do PHP

O PHP é a espinha dorsal do seu site WordPress e portanto, é muito importante usar a versão mais recente do seu servidor. Cada versão principal do PHP é normalmente suportada por dois anos após seu lançamento. Durante esse tempo, bugs e problemas de segurança são corrigidos regularmente. A partir de agora, qualquer pessoa que execute a versão PHP 7.1 ou inferior não tem mais suporte de segurança e está exposta a vulnerabilidades de segurança não corrigidas.

Versões suportadas do PHP
Versões suportadas do PHP

E adivinha? De acordo com a página oficial do WordPress Stats, no momento em que escrevo isso, mais de 57% dos usuários do WordPress ainda estão no PHP 5.6 ou menor. Se você combinar isso com o PHP 7.0, 77,5% dos usuários estão usando atualmente versões do PHP que não são mais suportadas. Isso é assustador!

Às vezes, as empresas e os desenvolvedores demoram para testar e garantir compatibilidade com o código, mas não têm desculpa para executar algo sem suporte de segurança. Sem mencionar o enorme impacto no desempenho em versões mais antigas.

Versões PHP no WordPress Stats
Versões PHP no WordPress Stats

Não sabe em qual versão do PHP você está atualmente? A maioria dos hosts normalmente inclui isso em uma solicitação de cabeçalho no seu site. Uma maneira rápida de verificar é veicular seu site pelo Pingdom. Clique na primeira solicitação e procure por um parâmetro X-Powered-By. Normalmente, isso mostrará a versão do PHP que seu servidor da Web está usando atualmente. No entanto, alguns hosts removerão esse cabeçalho devido a razões de segurança. Kinsta remove esse cabeçalho por padrão para manter seu site seguro.

Verifique a versão do PHP no Pingdom
Verifique a versão do PHP no Pingdom

Aqui na Kinsta nós recomendamos apenas o uso de versões estáveis e suportadas do PHP, incluindo 8.0 e 8.1. PHP 5.6, 7.0 e 7.1 foram eliminados. Você pode até alternar entre as versões do PHP com um clique em nosso painel MyKinsta.

Switching between PHP versions in MyKinsta
Alternando entre versões PHP

Se você estiver em um host do WordPress que usa o cPanel, normalmente você pode alternar entre as versões do PHP clicando em “PHP Select” na categoria de software.

Versão cPanel PHP
Versão cPanel PHP

3. Use Nomes de Usuário e Senhas Inteligentes

Surpreendentemente, uma das melhores maneiras de fortalecer sua segurança no WordPress é simplesmente usar nomes de usuários e senhas inteligentes. Parece bem fácil, certo? Bem, confira a lista anual de 2019 da SplashData das senhas mais populares roubadas ao longo do ano (classificadas por ordem de popularidade).

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou

Isso está certo! A senha mais popular é “123456”, seguida por “password”, surpreendente. Essa é uma razão pela qual aqui na Kinsta em novas instalações do WordPress forçamos uma senha complexa a ser usada para o seu login wp-admin (como visto abaixo em nosso processo de instalação em um clique). Isso não é opcional.

Forçar senha segura do WordPress
Forçar senha segura do WordPress

função do núcleo do WordPress wp_hash_password usa a estrutura hashing de senha  phpass e oito passagens de hashing baseado em MD5.

Algumas das melhores seguranças começam do básico. O Google tem ótimas recomendações sobre como escolher uma senha forte. Ou você pode usar uma ferramenta online como o Strong Password Generator. Você pode aprender mais sobre como alterar sua senha do WordPress aqui.

Também é importante usar senhas diferentes para cada site. A melhor maneira de armazená-los é localmente em um banco de dados criptografado em seu computador. Uma boa ferramenta gratuita para isso é KeePass. Se você não quiser seguir esse caminho, também há gerenciadores de senhas online, como LastPass ou 1Password. Mesmo que seus dados sejam hospedados com segurança na nuvem, eles geralmente são mais seguros, pois você não usa a mesma senha em vários sites. Também evita que você use notas adesivas. 😉

E no que diz respeito à instalação do WordPress, você nunca deve usar o nome de usuário padrão “admin”. Crie um nome de usuário exclusivo do WordPress para a conta de administrador e exclua o usuário “admin”, se existir. Você pode fazer isso adicionando um novo usuário em “Usuários” no painel e atribuindo-lhe o perfil “Administrador” (como visto abaixo).

Função de administrador do WordPress
Função de administrador do WordPress

Depois de atribuir a nova conta à função de administrador, você pode voltar e excluir o usuário “Admin” original. Certifique-se de que, ao clicar em excluir, escolha a opção “Atribuir todo o conteúdo a” e selecione seu novo perfil de administrador. Isso atribuirá a pessoa como o autor dessas postagens.

Atribuir todo o conteúdo ao administrador
Atribuir todo o conteúdo ao administrador

Você também pode renomear manualmente o seu nome de usuário atual no phpMyAdmin com o seguinte comando. Certifique-se de fazer backup de seu banco de dados antes de editar tabelas:

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Use Sempre a Versão mais Recente do WordPress, Plugins e Temas

Outra maneira muito importante de proteger sua segurança do WordPress é sempre mantê-la atualizada. Isso inclui o núcleo, os plugins e os temas do WordPress (ambos do repositório e premium do WordPress). Eles são atualizados por um motivo e muitas vezes, incluem aprimoramentos de segurança e correções de bugs. Recomendamos que você leia nosso guia detalhado sobre como a atualização automática do WordPress funciona.

Sites WordPress invadidos
Sites WordPress invadidos

Infelizmente, existem milhões de empresas por aí executando versões desatualizadas do software e dos plugins do WordPress e ainda acreditam que estão no caminho certo do sucesso dos negócios. Eles citam razões para não atualizar, como “o site vai quebrar” ou “as modificações do núcleo desaparecerão “ou” o plug-in X não funcionará “ou” eles simplesmente não precisam da nova funcionalidade”.

Na verdade, os sites quebram principalmente por causa de erros em versões mais antigas do WordPress. As modificações principais nunca são recomendadas pela equipe do WordPress e pelos desenvolvedores especialistas que entendem os riscos envolvidos. E as atualizações do WordPress incluem principalmente correções de segurança obrigatórias juntamente com a funcionalidade adicional necessária para executar os plug-ins mais recentes.

Você sabia que tem sido relatado que vulnerabilidades de plugins representam 55,9% dos pontos de entrada conhecidos para hackers? Foi isso que o WordFence encontrou em um estudo de 2016, onde entrevistaram mais de 1.000 proprietários de sites WordPress que haviam sido vítimas de ataques. Ao atualizar seus plug-ins, você pode garantir que você não seja uma dessas vítimas. Também é recomendável que você instale somente plug-ins confiáveis. As categorias “em destaque” e “popular” no repositório do WordPress podem ser um bom lugar para começar.

Sites WordPress invadidos
Sites WordPress invadidos

Também é recomendável que você instale somente plugins confiáveis. As categorias “em destaque” e “popular” no repositório do WordPress podem ser um bom lugar para começar. Ou faça o download diretamente do site do desenvolvedor. Desencorajamos o uso de plugins e temas do WordPress nulos.

Primeiro, você nunca sabe o que o código modificado pode conter. Isso pode facilmente acabar no seu site sendo invadido. Não pagar por plugins premium do WordPress também não ajuda a comunidade a crescer como um todo. Precisamos dar suporte aos desenvolvedores.

Veja como excluir corretamente um tema do WordPress.

Você pode usar uma ferramenta online como o VirusTotal para verificar um plugin ou temas para ver se ele detecta algum tipo de malware.

VirusTotal
VirusTotal

Como atualizar o WordPress Core

Existem algumas maneiras fáceis de atualizar sua instalação do WordPress. Se você é um cliente Kinsta nós fornecemos backups automáticos com uma opção de restauração de um clique. Desta forma, você pode testar novas versões do WordPress e plugins sem ter que se preocupar com isso. Ou você também pode testar primeiro em nosso ambiente de teste.

Para atualizar o núcleo do WordPress, você pode clicar em “Atualizações” no seu painel do WordPress e clicar no botão “Atualizar agora”.

Atualizar o WordPress core
Atualizar o WordPress core

Você também pode atualizar o WordPress manualmente baixando a última versão e fazer o upload via FTP.

Importante! Sobrescrever as pastas erradas pode quebrar seu site se não for feito corretamente. Se você não estiver confortável fazendo isso, por favor, verifique com um desenvolvedor primeiro.

Siga os passos abaixo para atualizar a sua instalação existente:

  1. Delete os antigos diretórios (wp-includes e wp-admin).
  2. Atualize os novos diretórios (wp-includes e wp-admin).
  3. Carregue os arquivos individuais da nova pasta wp-content para a sua pasta existente wp-content, sobrescrevendo arquivos existentes. NÃO apague sua pasta existente wp-content. NÃO exclua nenhum arquivo ou pasta em seu diretório existente (wp-content) (exceto pelo que está sendo substituído por novos arquivos).
  4. Carregar todos os novos arquivos soltos do diretório raiz da nova versão para o diretório raiz do WordPress existente.

Como atualizar os plugins do WordPress

Atualizar seus plugins do WordPress é um processo muito semelhante à atualização do núcleo do WordPress. Clique em “Atualizações” no seu painel do WordPress, selecione os plugins que você deseja atualizar e clique em “Atualizar Plugins”.

Atualizar plugins do WordPress
Atualizar plugins do WordPress

Da mesma forma, você também pode atualizar um plug-in manualmente. Simplesmente pegue a versão mais recente do desenvolvedor do plug-in ou do repositório do WordPress e carregue-a via FTP, sobrescrevendo o plug-in existente no diretório /wp-content/plugins.

Também é importante observar que os desenvolvedores nem sempre mantêm seus plug-ins atualizados. A equipe do WP Loop fez uma ótima análise de quantos plugins do WordPress no repositório não estão atualizados com o núcleo atual do WordPress. De acordo com a pesquisa, quase 50% dos plugins do repositório não foram atualizados em mais de 2 anos.

Isso não significa que o plug-in não funcionará com a versão atual do WordPress, mas é recomendável que você escolha plug-ins ativamente atualizados. Plugins desatualizados são mais propensos a conter vulnerabilidades de segurança.

Plugins wordpress não atualizados
Fonte de imagem: WP Loop

Use seu melhor julgamento quando se trata de plugins. Veja a data da “Última atualização” e quantas avaliações o plugin tem. Como visto no exemplo abaixo, este está desatualizado e tem críticas negativas, por isso é mais provável que recomendemos ficar longe dele. O WordPress também tem um aviso no topo da maioria dos plugins que não foram atualizados há algum tempo.

Plugin WordPress antigo com classificações ruins
Plugin WordPress antigo com classificações ruins

Há também muitos recursos disponíveis para ajudá-lo a ficar por dentro das mais recentes atualizações e vulnerabilidades de segurança do WordPress. Veja alguns deles abaixo:

Arquivo de segurança do WordPress
Arquivo de segurança do WordPress

5. Bloqueie o Seu Administrador do WordPress

Às vezes, a estratégia popular de segurança do WordPress pela obscuridade é apropriadamente eficaz para uma empresa online e um site WordPress comuns. Se você dificulta que os hackers encontrem certos backdoors, então é menos provável que você seja atacado. Bloquear sua área de administração do WordPress e fazer login é uma boa maneira de reforçar sua segurança. Duas ótimas maneiras de fazer isso primeiro são alterando o URL de login padrão do wp-admin e também limitando as tentativas de login.

Como alterar seu URL de login do WordPress

Por padrão, o URL de login do seu site WordPress é domain.com/wp-admin. Um dos problemas com isso é que todos os bots, hackers e scripts por aí também sabem disso. Ao alterar o URL, você pode se tornar menos um alvo e proteger-se melhor contra ataques de brute-force. Esta não é uma solução para todos os problemas, é simplesmente um pequeno truque que pode definitivamente ajudar a protegê-lo.

Para alterar o URL de login do WordPress, recomendamos o uso do plugin WPS Hide login gratuito ou do plugin Perfmatters premium. Ambos os plugins possuem um campo de entrada simples. Lembre-se de escolher algo exclusivo que não esteja em uma lista que um bot ou script possa tentar verificar.

Ocultar URL de login do WordPress
Ocultar URL de login do WordPress

Como limitar tentativas de login

Embora a solução acima de alterar sua URL de login administrativo possa ajudar a diminuir a maioria das tentativas de login incorretas, colocar um limite em vigor também pode ser muito eficaz. O plugin gratuito Limit Login Attempts Reloaded é uma ótima maneira de configurar facilmente durações de bloqueio, tentativas de login e listas de permissões e listas negras de IP.

Limit Login Attempts Reloaded plugin
Limit Login Attempts Reloaded

Se você está procurando uma solução de segurança WordPress mais simples, outra ótima alternativa é o plugin gratuito Login Lockdown. O bloqueio de login registra o endereço IP e o registro de data e hora de cada tentativa de login com falha. Se mais de um determinado número de tentativas for detectado em um curto período de tempo a partir do mesmo intervalo de IP, a função de login será desativada para todas as solicitações desse intervalo. E é completamente compatível com o plugin WPS Hide login que mencionamos acima.

login lockdown wordpress
Lockdown WordPress

Como adicionar uma autenticação HTTP básica (proteção htpasswd)

Outra maneira de bloquear seu administrador é adicionar a autenticação HTTP. Isso requer um nome de usuário e senha antes de poder acessar a página de login do WordPress. Observação: geralmente, isso não deve ser usado em sites de comércio eletrônico ou sites de associação. Mas pode ser uma maneira muito eficaz de impedir que bots atinjam seu site.

Solicitação de autenticação .htpasswd
Solicitação de autenticação .htpasswd

Apache

Se você estiver usando um host cPanel, poderá ativar diretórios protegidos por senha em seu painel de controle. Para configurá-lo manualmente, primeiro você precisa criar um arquivo .htpasswd. Você pode usar esta ferramenta geradora. Em seguida, envie o arquivo para um diretório sob sua pasta wp-admin, como:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Em seguida, crie um arquivo .htaccess com o seguinte código e faça o upload para o diretório /wp-admin/. Certifique-se de atualizar o caminho do diretório e o nome de usuário.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

A única ressalva para fazer isso é que ele irá quebrar o AJAX (admin-ajax) no front-end do seu site. Isso é exigido por alguns plug-ins de terceiros. Portanto, você também precisará adicionar o seguinte código para o arquivo .htaccess acima.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

Se você está usando Nginx, você também pode restringir o acesso com a autenticação básica HTTP. Confira este tutorial.

Se você hospedar seu site WordPress em Kinsta, você pode usar nossa ferramenta de proteção de senha fácil (htpasswd) no painel do MyKinsta. Você pode encontrá-la na seção “Ferramentas” do seu site. Basta clicar em “Ativar”, escolher um nome de usuário e senha, e você está pronto para ir!

Ativar a proteção .htpasswd
Ativar a proteção .htpasswd

Depois de ativado, seu site do WordPress precisará de autenticação para acessá-lo. Você pode alterar as credenciais a qualquer momento ou desativá-las quando não precisar mais delas.

Bloquear um caminho URL

Se você estiver usando um firewall de aplicativo da web (WAF) como o Cloudflare ou o Sucuri, eles também terão maneiras de bloquear um caminho de URL. Essencialmente, você pode configurar uma regra para que apenas o seu endereço IP seja capaz de acessar o URL de login do administrador do WordPress. Novamente, isso geralmente não deve ser usado em sites de comércio eletrônico ou sites de associação, pois eles também dependem do acesso ao back-end de seu site.

6. Tire Proveito da Autenticação de Dois Fatores

E, claro, não podemos esquecer a autenticação de dois fatores! Não importa o quão segura é a sua senha, há sempre o risco de alguém a descobrir. A autenticação de dois fatores envolve um processo de 2 etapas, no qual você precisa não apenas de sua senha para efetuar login, mas de um segundo método. Geralmente, é um texto (SMS), chamada telefonica ou senha única com base em tempo (TOTP). Na maioria dos casos, isso é 100% eficaz na prevenção de ataques de brute-force em seu site WordPress. Por quê? Porque é quase impossível que o invasor tenha sua senha e seu celular.

Na verdade, existem duas partes quando se trata de autenticação de dois fatores. Primeiro é a sua conta e ou painel que você tem com o seu provedor de hospedagem. Se alguém tiver acesso a isso, poderá alterar suas senhas, excluir seus sites, alterar registros de DNS e todo tipo de coisas horríveis. Kinsta tem parceria com Authy  onde temos autenticação de dois fatores disponível para o seu painel MyKinsta.

A segunda parte da autenticação de dois fatores refere-se à sua instalação real do WordPress. Para isso, existem alguns plugins que recomendamos:

Muitos deles têm seus próprios aplicativos que você pode instalar em seu telefone:

Depois de instalar e configurar um dos plugins acima, você normalmente terá um campo adicional na sua página de login do WordPress para inserir seu código de segurança. Com o plugin Duo, você primeiro faz login com suas credenciais e em seguida, é necessário escolher um método de autenticação, como Duo Push, chamada ou senha.

Esse método pode ser facilmente combinado com a alteração do seu URL de login padrão, que consultamos anteriormente. Portanto, a URL de login do WordPress não é apenas algo que você conhece, mas agora exige autenticação extra para entrar. 💪

Página do autenticador de dois fatores WordPress
Página do autenticador de dois fatores WordPress

Portanto, certifique-se de aproveitar a autenticação de dois fatores, que pode ser uma maneira fácil de reforçar sua segurança no WordPress.

7. Use HTTPS para conexões criptografadas – Certificado SSL

Uma das formas mais negligenciadas de reforçar a segurança do WordPress é instalar um certificado SSL e execute seu site por HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) é um mecanismo que permite que seu navegador ou aplicativo da Web se conecte com segurança a um site. Um grande equívoco é que, se você não aceitar cartões de crédito, não precisará de SSL.

Bem, vamos explicar algumas razões pelas quais o HTTPS é importante além do comércio eletrônico. Muitos hosts, incluindo Kinsta, agora oferecem certificados SSL gratuitos com o Let’s Encrypt.

Conexões criptografadas HTTPS
Conexões criptografadas HTTPS

1. Segurança

Naturalmente, a maior razão para o HTTPS é a segurança adicional e sim, isso se aplica muito aos sites de comércio eletrônico. No entanto, qual é a importância das suas informações de login? Para aqueles que executam sites WordPress com vários autores, se você estiver executando o HTTP, toda vez que uma pessoa fizer login, essas informações serão passadas para o servidor em texto simples. O HTTPS é absolutamente vital para manter uma conexão segura entre um site e um navegador. Dessa forma, você pode impedir melhor que hackers e/ou intermediários tenham acesso ao seu site. Assim, até mesmo os blogs, sites de notícias, agências do WordPress, todos podem se beneficiar do HTTPS, pois isso garante que nada passe em texto simples.

Então, se você tem um blog, site de notícias, agência, etc., todos eles podem se beneficiar do HTTPS, pois isso garante que nada passe em texto simples.

2. SEO

Google disse oficialmente que HTTPS é um fator de classificação. Embora seja apenas um pequeno fator de classificação, a maioria de vocês provavelmente obteria qualquer vantagem que você pudesse obter em SERPs para vencer seus concorrentes.

3. Confiança e credibilidade

De acordo com uma pesquisa da GlobalSign, 28,9% dos visitantes procuram a barra de endereços verde no navegador. E 77% deles estão preocupados com os dados que estão sendo interceptados ou mal utilizados online. Ao ver esse cadeado verde, os clientes instantaneamente terão mais tranquilidade sabendo que seus dados são mais seguros.

4. Dados de referência

Muitas pessoas não percebem que os dados de referência HTTPS para HTTP estão bloqueados no Google Analytics. Então, o que acontece com os dados? Bem, a maior parte é apenas agrupada com a seção “tráfego direto”. Se alguém está indo de HTTP para HTTPS, o referenciador ainda é passado.

5. Avisos do Chrome

A partir de 24 de Julho de 2018, as versões do Chrome 68 e superiores começaram a marcar todos os sites não HTTPS como “Não seguros”. Independentemente de coletar dados ou não. É por isso que o HTTPS é mais importante do que nunca!

Isso é especialmente importante se seu website obtiver a maior parte do tráfego do Chrome. Você pode procurar no Google Analytics na seção Audiência no Navegador e no SO para ver a porcentagem de tráfego que seu site WordPress recebe do Google Chrome. O Google está deixando muito mais claro para os visitantes que seu site WordPress pode não estar sendo executado em uma conexão segura.

Chrome não é um site seguro
Chrome não é um site seguro

6. Performance

Por causa de um novo protocolo chamado HTTP/2, muitas vezes, aqueles que executam sites otimizados adequadamente em HTTPS podem até ver melhorias na velocidade. HTTP/2 requer HTTPS por causa do suporte ao navegador. A melhoria no desempenho deve-se a uma variedade de razões, como o HTTP/2 poder suportar melhor multiplexação, paralelismo, compactação HPACK com codificação Huffman, a extensão ALPN e push de servidor.

E com TLS 1.3 sendo lançado a partir de 21 de março de 2018, as conexões HTTPS são ainda mais rápidas. O Kinsta suporta o TLS 1.3 em todos os nossos servidores e no nosso Kinsta CDN.
Repensando sobre o HTTPS agora? Confira nosso guia de migração em profundidade do WordPress HTTPS para ajudá-lo e aprender mais em nossa comparação TLS vs SSL.

Para impor uma conexão segura e criptografada entre você e o servidor ao fazer logon e administrar seu site, adicione a seguinte linha ao seu arquivo wp-config.php:

define('FORCE_SSL_ADMIN', true);

(Leitura sugerida: se você estiver usando versões antigas do TLS, você pode querer corrigir as notificações ERR_SSL_OBSOLETE_VERSION no Chrome).

8. Reforce Seu Arquivo wp-config.php

Seu arquivo wp-config.php é como o coração e a alma da sua instalação do WordPress. É de longe o arquivo mais importante em seu site quando se trata de segurança do WordPress. Ele contém as informações de login do banco de dados e as chaves de segurança que manipulam a criptografia das informações nos cookies. Abaixo estão algumas coisas que você pode fazer para proteger melhor esse importante arquivo.

1. Mover o wp-config.php

Por padrão, seu arquivo wp-config.php reside no diretório raiz da sua instalação do WordPress (sua pasta HTML /public). Mas você pode mover isso para um diretório que não seja www acessível. Aaron Adams escreveu uma boa explicação do porquê isso é benéfico.

Para mover seu arquivo wp-config.phpsimplesmente copie tudo em um arquivo diferente. Então no seu arquivo wp-config.php Você pode colocar o seguinte snippet para simplesmente incluir seu outro arquivo. Nota: a via do diretório pode ser diferente com base no seu host e configuração. Normalmente é simplesmente um diretório acima.

<?php
include('/home/yourname/wp-config.php');

Nota: isso não funcionará para clientes da Kinsta, pois interromperá a funcionalidade da nossa plataforma. Isso ocorre porque nossas restrições open_basedir não permitem a execução do PHP acima do diretório ~/public por razões de segurança. A boa notícia é que lidamos com isso para você! Nós fazemos efetivamente a mesma coisa bloqueando o acesso ao wp-login.php dentro do diretório ~/public. Nossa configuração padrão do Nginx inclui uma regra que retornará um 403 para qualquer tentativa de acesso de wp-config.php.

2. Atualize as chaves de segurança do WordPress

As chaves de segurança do WordPress são um conjunto de variáveis aleatórias que melhoram a criptografia das informações armazenadas nos cookies do usuário. Desde o WordPress 2.7, existem 4 chaves diferentes: AUTH_KEY, SECURE_AUTH_KEYLOGGED_IN_KEY, e NONCE_KEY.

Quando você instala o WordPress, estes são gerados aleatoriamente para você. No entanto, se você passou por várias migrações (consulte a nossa lista com os melhores plugins de migração para WordPress) ou adquiriu um site de outra pessoa, pode ser bom criar novas chaves do WordPress.

WordPress realmente tem uma ferramenta gratuita que você pode usar para gerar chaves aleatórias. Você pode atualizar suas chaves atuais que estão armazenadas no seu arquivo wp-config.php.

Chaves de segundança WordPress
Chaves de segundança WordPress

Leia mais sobre:  Chaves de segurança do WordPress.

3. Alterar permissões

Normalmente, os arquivos no diretório raiz de um site do WordPress serão definidos como 644, o que significa que os arquivos podem ser lidos e gravados pelo proprietário do arquivo e legíveis pelos usuários no proprietário do grupo desse arquivo e legíveis por todos os outros. De acordo com a documentação WordPress, as permissões no arquivo wp-config.php devem ser definidas para 440 ou 400 para impedir que outros usuários no servidor o leiam. Você pode facilmente mudar isso com o seu cliente de FTP.

permissões wp-config.php
permissões wp-config.php

Em algumas plataformas de hospedagem, as permissões podem precisar ser diferentes porque o usuário que está executando o servidor da Web não tem permissão para gravar arquivos. Se você não tem certeza sobre isso, verifique com seu provedor de hospedagem.

9. Desativar o XML-RPC

Nos úitimos anos XML-RPC tornou-se um um alvo cada vez maior  para ataques de brute-force. Como a Sucuri mencionou, um dos recursos ocultos do XML-RPC é que você pode usar o método system.multicall para executar vários métodos dentro de uma única solicitação. Isso é muito útil, pois permite que o aplicativo passe vários comandos em uma solicitação HTTP. Mas o que acontece também é que é usado para intenções maliciosas.

Existem alguns plugins WordPress como o Jetpack que dependem do XML-RPC, mas a maioria das pessoas não precisa disso e pode ser benéfico simplesmente desabilitar o acesso a ele. Não tem certeza se o XML-RPC está atualmente em execução no seu site? Danilo Ercoli, da equipe da Automattic, escreveu uma pequena ferramenta chamada XML-RPC Validator. Você pode executar o seu site WordPress através dele para ver se ele tem o XML-RPC ativado. Se não for, você verá uma mensagem de falha, como mostra a imagem abaixo no blog da Kinsta.

Validador WordPress XML-RPC
Validador WordPress XML-RPC

Para desabilitar isso completamente, você pode instalar o plugin gratuito Disable XML-RPC-API. Ou você pode desativá-lo com o plugin premium perfmatters, que também contém melhorias no desempenho da web.

Se você é um cliente da Kinsta isso não é necessário, porque quando um ataque através XML-RPC é detectado um pequeno trecho de código é adicionado ao arquivo de configuração do NGINX para interrompê-los – produzindo um erro 403.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Ocultar Sua Versão do WordPress

Ocultando a sua versão do WordPress toca novamente no assunto da segurança do WordPress pela obscuridade. Quanto menos pessoas souberem sobre sua configuração de site do WordPress, melhor. Se eles virem que você está executando uma instalação desatualizada do WordPress, isso pode ser um sinal bem-vindo para os intrusos. Por padrão, a versão do WordPress aparece no cabeçalho do código-fonte do seu site. Novamente, recomendamos que você verifique se a instalação do WordPress está sempre atualizada para que você não precise se preocupar com isso.

Versão do WordPress no código-fonte
Versão do WordPress no código-fonte

Você pode usar o seguinte código para remover isso. Basta adicioná-lo ao arquivo functions.php do seu tema WordPress.

Importante! Editar o código-fonte de um tema do WordPress pode quebrar seu site se não for feito corretamente. Se você não estiver confortável fazendo isso, por favor, verifique com um desenvolvedor primeiro.

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Você também pode usar um plugin premium como o perfmatters (desenvolvido por um membro da equipe da Kinsta), que permite ocultar a versão do WordPress com um clique, juntamente com outras otimizações para o seu site WordPress.

Ocultar versão do WordPress com perfurters
Ocultar versão do WordPress com perfurters

Outro lugar onde a versão do WordPress aparece está no arquivo readme.html padrão (como mostrado abaixo) que está incluído em todas as versões do WordPress. Ele está localizado na raiz da sua instalação, domain.com/readme.html. Você pode excluir com segurança este arquivo via FTP.

Versão do WordPress no arquivo readme
Versão do WordPress no arquivo readme

Se você estiver executando o WordPress 5.0 ou superior, isso não será mais aplicável, pois o número da versão não será mais incluído no arquivo.

11. Adicionar os cabeçalhos de segurança HTTP mais recentes

Outro passo que você pode dar para fortalecer sua segurança no WordPress é aproveitar os cabeçalhos de segurança HTTP. Geralmente, eles são configurados no nível do servidor da Web e informam ao navegador como se comportar ao manipular o conteúdo do seu site. Existem muitos cabeçalhos de segurança HTTP diferentes, mas abaixo deles são normalmente os mais importantes.

KeyCDN tem uma excelente publicação se você quiser ler mais sobre a segurança dos cabeçalhos HTTP.

Você pode verificar quais cabeçalhos estão em execução no seu site do WordPress, iniciando os devtools do Chrome e observando o cabeçalho na resposta inicial do seu site. Abaixo está um exemplo no Kinsta.com. Você pode ver que estamos utilizando os cabeçalhos strict-transport-security, x-content-type e x-frame-options.

Cabeçalhos de segurança HTTP
Cabeçalhos de segurança HTTP

Você também pode escanear seu site WordPress com a ferramenta gratuita securityheaders.io de Scott Helme. Isso mostrará quais cabeçalhos de segurança HTTP você tem atualmente no seu site. Se você não tiver certeza de como implementá-las, poderá perguntar ao seu host se elas podem ajudar.

Cabeçalhos de segurança HTTP
Cabeçalhos de segurança HTTP

12. Use os Plugins de segurança do WordPress

E, claro, temos que dar a alguns plugins de segurança do WordPress algumas menções. Há muitos grandes desenvolvedores e empresas por aí que fornecem ótimas soluções para ajudar a proteger melhor o seu site WordPress. Aqui estão alguns deles.

Temos firewalls de hardware, segurança ativa e passiva, verificações atualizadas a cada minuto e vários outros recursos avançados para impedir que invasores tenham acesso aos seus dados. Se, apesar de nossos esforços, seu site estiver comprometido, nós o corrigiremos gratuitamente.

Aqui estão alguns recursos e usos típicos dos plugins acima:

  • Gerar e forçar senhas fortes ao criar perfis de usuário
  • Forçar que as senhas expirem e sejam redefinidas regularmente
  • Registro de ações do usuário
  • Atualizações fáceis de chaves de segurança do WordPress
  • Análise de Malware
  • Autenticação de dois fatores
  • reCAPTCHAs
  • Firewalls de segurança do WordPress
  • Lista de permissões de IP
  • Lista negra de IP
  • Logs de alteração de arquivo
  • Monitorar alterações de DNS
  • Bloquear redes maliciosas
  • Ver informações WHOIS sobre visitantes

Uma característica muito importante que muitos plugins de segurança incluem um utilitário de soma de verificação. O que isto significa é que eles inspecionam sua instalação do WordPress e procuram por modificações nos arquivos principais, conforme fornecidos pelo WordPress.org (via API). Quaisquer alterações ou modificações nesses arquivos podem indicar um hack. Você também pode usar o WP-CLI para executar sua própria soma de verificação.

Certifique-se de ler nosso guia completo sobre o File Integrity Monitoring.

Outro ótimo plugin que merece uma menção honrosa é o plugin WP Security Audit Log. Isso é incrível para aqueles que trabalham em sites multisite ou simplesmente multi-autores. Isso ajuda a garantir a produtividade do usuário e permite que os administradores vejam tudo o que está sendo alterado; como logins, alterações de senha, alterações de tema, alterações de widget, novas criações de postagens, atualizações do WordPress, etc.

É uma solução completa de registro de atividades do WordPress. Desde que foi escrito, o plugin WP Security Audit Log tem mais de 80.000 instalações ativas com uma classificação de 4,7 das 5 estrelas. É uma excelente escolha se você estiver procurando uma solução de segurança compatível com WordPress multisite.

Visualizador de log de auditoria de segurança
Visualizador de log de auditoria de segurança

Ele também possui complementos premium adicionais, como notificações por email, gerenciamento de sessões de usuário, pesquisa e relatórios. Confira estes plugins de segurança WordPress que podem te ajudar.

13. Forte Segurança de Banco de Dados

Existem algumas maneiras de melhorar a segurança em seu banco de dados do WordPress. A primeira é usar um nome de banco de dados inteligente. Se o seu site for chamado de truques de voleibol, por padrão, seu banco de dados do WordPress provavelmente será chamado wp_truquesdefutebol. Ao alterar o nome do seu banco de dados para algo mais impreciso, ele ajuda a proteger seu site, tornando mais difícil para os hackers identificarem e acessarem os detalhes do seu banco de dados.

Uma segunda recomendação é usar um prefixo de tabela de banco de dados diferente. Por padrão, o WordPress usa o wp_. Mudar isso para algo como 39xw_ pode ser muito mais seguro. Quando você instala o WordPress, ele pede um prefixo de tabela (como visto abaixo). Há também maneiras de alterar o prefixo da tabela do WordPress em instalações existentes. Se você é um cliente Kinsta, isso não é necessário. Temos site e banco de dados bloqueado!

wordpress table prefix
WordPress table prefix – img src: jatinarora

14. Sempre use Conexões Seguras

Não podemos enfatizar o suficiente como é importante usar conexões seguras! Certifique-se de que sua hospedagem WordPress tome precauções, como oferecer SFTP ou SSH. SFTP ou Secure File Transfer Protocol (também conhecido como protocolo de transferência de arquivos SSH), é um protocolo de rede usado para transferências de arquivos. É um método mais seguro do que o FTP padrão.

Apenas oferecemos suporte a conexões SFTP na Kinsta, para garantir que seus dados permaneçam seguros e criptografados. A maioria dos hosts do WordPress também costumam usar a porta 22 para SFTP. Vamos dar um passo adiante aqui na Kinsta e cada site tem uma porta randomizada que pode ser encontrada no seu painel MyKinsta.

Detalhes do SFTP no MyKinsta.
Detalhes do SFTP no MyKinsta.

Também é importante garantir que o seu roteador doméstico esteja configurado corretamente. Se alguém invadir sua rede doméstica, poderá obter acesso a todos os tipos de informações, incluindo, possivelmente, onde suas informações importantes sobre o(s) seu(s) site(s) WordPress estão armazenadas. Aqui estão algumas dicas simples:

  • Não ative o gerenciamento remoto (VPN). Os usuários comuns nunca usam esse recurso e, mantendo-o desligado, você não pode expor sua rede ao mundo externo.
  • Os roteadores, por padrão, usam IPs no intervalo, como 192.168.1.1. Use um intervalo diferente, como 10.9.8.7.
  • Ative o mais alto nível de criptografia no seu Wifi.
  • IP white-list seu Wifi para que apenas pessoas com a senha e um determinado IP possam acessá-lo.
  • Mantenha o firmware do seu roteador atualizado.

E sempre tenha cuidado ao fazer login no seu site WordPress em locais públicos. Lembre-se, a Starbucks não é uma rede segura! Tome precauções, como verificar o SSID da rede antes de clicar em conectar. Você também pode usar um serviço VPN de terceiros, como o ExpressVPN para criptografar seu tráfego de internet e ocultar seu endereço IP de hackers.

15. Verifique as Permissões de Arquivo e Servidor

As permissões de arquivo na sua instalação e no servidor da web são cruciais para melhorar sua segurança no WordPress. Se as permissões forem muito fracas, alguém poderá facilmente obter acesso ao seu site e causar estragos. Por outro lado, se as suas permissões forem muito restritas, isso poderá interromper a funcionalidade do seu site. Por isso, é importante ter as permissões corretas definidas no quadro.

Permissões de arquivo

  • As permissões de leitura são atribuídas se o usuário tiver direitos para ler o arquivo.
  • As permissões de gravação são atribuídas se o usuário tiver direitos para gravar ou modificar o arquivo.
  • As permissões de execução são atribuídas se o usuário tiver direitos para executar o arquivo e/ou executá-lo como um script.

Permissões de diretório

  • As permissões de leitura são atribuídas se o usuário tiver direitos para acessar o conteúdo da pasta/diretório identificado.
  • As permissões de gravação são atribuídas se o usuário tiver direitos para adicionar ou excluir arquivos contidos na pasta/diretório.
  • As permissões de execução são atribuídas se o usuário tiver direitos para acessar o diretório real e executar funções e comandos, incluindo a capacidade de excluir os dados dentro da pasta/diretório.

Você pode usar um plugin grátis como o iThemes Security para verificar as permissões no seu site WordPress.

Verificação de permissões de arquivos do WordPress
Verificação de permissões de arquivos do WordPress

Aqui estão algumas recomendações típicas para permissões quando se trata de permissões de arquivos e pastas no WordPress. Veja o artigo do WordPress Codex em alterando permissões de arquivo para um maior aprofundamento.

  • Todos os arquivos devem ser 644 ou 640. Exceção: o wp-config.php deve ser 440 ou 400 para evitar que outros usuários no servidor o leiam.
  • Todos os diretórios devem ser 755 ou 750.
  • Nenhum diretório deveria receber 777, nem mesmo fazer o upload de diretórios.

16. Desativar a Edição de Arquivos no Painel do WordPress

Muitos sites do WordPress tem vários usuários e administradores, o que pode tornar a segurança do WordPress mais complicada. Uma prática não muito recomendada é dar acesso de administrador a autores ou colaboradores, mas infelizmente isso acontece o tempo todo. É importante dar aos usuários as funções e permissões corretas para que não tenha a chance de nenhum prejuízo. Por causa disso, pode ser benéfico simplesmente desabilitar o “Appearance Editor” no WordPress.

A maioria de vocês provavelmente já esteve lá em algum momento. Você vai editar rapidamente algo no Appearance Editor e de repente, fica com uma tela branca da morte. É muito melhor editar o arquivo localmente e enviá-lo via FTP. E claro, na prática recomendada, você deve testar primeiro coisas como essa em um site de teste.

Editor de aparência do WordPress
Editor de aparência do WordPress

E também, se o seu site WordPress for hackeado a primeira coisa que eles podem fazer é tentar editar um arquivo ou tema PHP através do Appearance Editor. Esta é uma maneira rápida de executar códigos maliciosos no seu site. Se eles não tiverem acesso a isso no painel, para começar, isso pode ajudar a evitar ataques. Coloque o código a seguir no arquivo wp-config.php para remover os recursos “edit_themes”, “edit_plugins” e “edit_files” de todos os usuários.

define('DISALLOW_FILE_EDIT', true);

17. Evite Hotlinking

O conceito de hotlinking é bem simples. Você encontra uma imagem na Internet em algum lugar e usa o URL da imagem diretamente em seu site. Esta imagem será exibida em seu site, mas será exibida a partir do local original. Isso é, na verdade, um roubo, pois está fazendo ‘’hotlinking’’ do site de conexão direta. Isso pode não parecer grande coisa, mas pode gerar muitos custos extras. A Oatmeal é um ótimo exemplo. O Huffington Post ligou um desenho animado que consistia em várias imagens e acumulou uma fatura de US $ 1.000,00.

Fatura Hotlinking
Fatura Hotlinking

Evitar Hotlinking no Apache

Para prevenir hotlinking no Apache simplesmente adicione o seguinte código ao seu arquivo .htaccess.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

A segunda linha define o referenciador permitido – o site que tem permissão para vincular diretamente à imagem. Esse deve ser seu website real. Se você quiser permitir vários sites, pode duplicar essa linha e substituir o referenciador. Se você quiser gerar algumas regras mais complexas, dê uma olhada neste gerador de proteção hotlink htaccess.

Evitar hotlinking no NGINX

Para evitar hotlinking no NGINX, basta adicionar o seguinte código ao seu arquivo de configuração.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Evitar Hotlinking no CDN

Se você estiver exibindo suas imagens de um CDN, a configuração poderá ser um pouco diferente. Aqui estão alguns recursos com provedores de CDN populares.

18. Sempre Faça Backups

Backups são a única coisa que todos sabem que precisam, mas nem sempre aceitam. A maioria das recomendações acima são medidas de segurança que você pode adotar para se proteger melhor. Mas não importa quão seguro seja o seu site, ele nunca será 100% seguro. Então você quer backups caso o pior aconteça.

Provedores de hospedagem WordPress mais gerenciadas, agora fornecem backups. Kinsta tem cinco tipos diferentes de backups, incluindo backups automáticos, para que você possa ficar tranquilo à noite. Você pode até mesmo com um clique restaurar seu site.

Backups no MyKinsta.
Backups no MyKinsta.

Se o seu host não tiver backups, há alguns serviços e plug-ins populares do WordPress que você pode usar para automatizar o processo.

Serviços de Backup do WordPress

Os serviços de backup do WordPress geralmente têm uma taxa mensal baixa e armazenam seus backups para você na nuvem.

Plugins de Backup do WordPress

Os plugins de backup do WordPress permitem que você pegue seus backups via FTP ou integre-os a uma fonte de armazenamento externa, como o Amazon S3, o Google Drive ou o Dropbox. É altamente recomendável usar uma solução incremental para usar menos recursos.

Nota: Não permitimos plugins de backup não incrementais nos servidores Kinsta devido a problemas de desempenho. Mas isso acontece porque lidamos com tudo isso para você em um nível de servidor, para que isso não atrapalhe seu site WordPress.

19. Proteção Contra DDoS

DDoS é um tipo de ataque do DOS em que vários sistemas são usados para direcionar um único sistema, causando um ataque de negação de serviço (DoS). Ataques DDoS não são novidade – de acordo com Britannica o primeiro caso documentado data do início de 2000. Ao contrário de alguém que hackeia seu site, esses tipos de ataques normalmente não prejudicam seu site, mas simplesmente acabam com seu site por algumas horas ou dias.

O que você pode fazer para se proteger? Uma das melhores recomendações é usar um serviço de segurança confiável de terceiros como Cloudflare ou Sucuri. Se você está executando um negócio, pode fazer sentido investir em seus planos premium. Se você está hospedado em Kinsta, você não precisa se preocupar em configurar a proteção DDoS por conta própria. Todos os nossos planos incluem uma integração gratuita do Cloudflare com a proteção DDoS incorporada.

Proteção contra DDoS do Cloudflare e Sucuri
Proteção contra DDoS do Cloudflare e Sucuri

Sua proteção avançada contra DDoS pode ser usada para mitigar ataques DDoS de todas as formas e tamanhos, incluindo aqueles que visam os protocolos UDP e ICMP, assim como SYN / ACK, amplificação de DNS e ataques de Camada 7. Outros benefícios incluem colocá-lo atrás de um proxy que ajuda a ocultar seu endereço IP de origem, embora não seja invencível.

Certifique-se de verificar o nosso estudo de caso sobre como parar um ataque DDoS. Tínhamos um cliente com um pequeno site de comércio eletrônico que executava o Easy Digital Downloads, que recebeu mais de 5 milhões de solicitações em uma única página em sete dias. O site geralmente gerava entre 30 a 40 MB por dia em largura de banda e algumas centenas de visitantes por dia. Mas, de repente, o site instantaneamente passou para entre 15 e 19 GB de transferência de dados por dia! Isso é um aumento de 4650%. E o Google Analytics não mostrou tráfego adicional. Então isso não é bom.

Alta largura de banda do ataque DDoS
Alta largura de banda do ataque DDoS

O cliente implementou o firewall de aplicativos da web da Sucuri em seus sites e toda a largura de banda e solicitações caíram instantaneamente no site (como visto abaixo) e não houve um único problema desde então. Então, definitivamente, um bom investimento e economia de tempo se você está enfrentando problemas como estes.

Adicionado o firewall de aplicativos da web da Sucuri
Adicionado o firewall de aplicativos da web da Sucuri

Resumo

Como você pode ver, existem várias maneiras de fortalecer sua segurança no WordPress. Usando senhas inteligentes, mantendo o núcleo e os plugins atualizados e escolhendo um host seguro gerenciado do WordPress são apenas alguns que manterão o seu site WordPress instalado e funcionando com segurança. Para muitos de vocês, o seu site WordPress é tanto seu negócio quanto sua renda, por isso é importante levar algum tempo e implementar algumas das práticas recomendadas de segurança mencionadas acima, o quanto antes.

Tem alguma dica importante sobre segurança do WordPress que perdemos? Se assim for sinta-se livre para nos informar abaixo nos comentários.

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.