Dicas e truques para segurança do Wordpress
Antes de começar
É importante iniciar este tutorial explicando que o WordPress, bem atualizado, não necessita de tantos plugins. Usuários com severos anos de uso do WordPress e que nunca foram invadidos, seguiram uma receita simples. Logo, se você sempre:
- Atualiza temas, plugins e o WordPress
- Instala plugins de fontes seguras
- Instala temas de fontes seguras
- Usa senhas complexas e usuário complexo
Não é necessário ter tanta preocupação com o uso do WordPress, pois certamente você está seguro. Para demais usuários, cujo já tiveram problemas no uso deste aplicativo, segue uma lista de recursos que poderão auxiliá-lo em manter seguro seu serviço.
Entretanto, cabe novamente a receita simples citada acima, pois sem ela, nada do que for seguido abaixo resolverá.
Configure bloqueio de tentativas de login
Um recurso de bloqueio de tentativas de login pode ajudar muito, contra tentativas de força bruta. Sempre que há uma tentativa de hacking com senhas erradas ou repetitivas, o site fica bloqueado, e você pode ser notificado dessa situação. O plugin iThemes Security é um dos melhores plugins lá fora. O plugin tem muito a oferecer a este respeito. Você pode especificar um determinado número de tentativas de login, no qual ele bloqueia o endereço IP do atacante, após as tentativas.
iThemes
https://wordpress.org/plugins/better-wp-security/
Alternativamente, você também pode usar o plugin Login LockDown que foi construído para ajudá-lo somente com este problema.
Login LockDown
https://wordpress.org/plugins/login-lockdown/
Use a autenticação 2-factor
Apresentar a autenticação de dois fatores (2FA) na página de login é outra boa medida de segurança. Neste caso, o usuário fornece detalhes de login para dois componentes diferentes. O dono do site decide o que os dois são. Pode ser uma senha normal seguido por uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.
O plugin WP Google Authenticator ajuda com isso em apenas alguns cliques.
WP Google Authenticator
https://br.wordpress.org/plugins/miniorange-2-factor-authentication/
Use o e-mail como login
Por padrão, você tem que inserir o seu nome de usuário para efetuar login. Usando um ID de e-mail em vez de um nome de usuário é uma abordagem mais segura. As razões são bastante óbvias. Os nomes de usuário são fáceis de prever, enquanto IDs de e-mail não são. Além disso, qualquer conta de usuário WordPress é sempre criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para o login.
O plugin WP Email Login funciona fora da caixa para essa finalidade. Ele começa a trabalhar logo após a ativação e não exige nenhuma configuração em tudo. Para testá-lo, basta sair do seu site e, em seguida, efetuar login novamente, mas desta vez use o endereço de e-mail que você criou a conta.
WP Email Login
https://wordpress.org/plugins/wp-email-login/
Renomeie a URL de login
Por padrão, a página de login do WordPress podem ser acessados facilmente através wp-login.php ou wp-admin adicionado ao principal URL do site.
Quando os hackers sabem o URL direto de sua página de login, eles podem tentar força bruta. Então, neste momento - se você estiver seguindo junto - você ja restringiu as tentativas de login do usuário e trocou nomes de usuário para IDs de e-mail. Agora podemos substituir a URL de login e se livrar de 99% dos ataques de força bruta diretos.
Este pequeno truque restringe uma entidade não autorizada de acessar a página de login. Só alguém com a URL exata pode acessar. Mais uma vez, o plugin iThemes pode ajudá-lo a mudar suas URLs de login. Como exemplo abaixo:
Mudar wp-login.php para algo único; por exemplo. my_new_login
Alterar /wp-admin para algo único; por exemplo. my_new_admin
Alterar /wp-login.php?action=register para algo único; por exemplo. my_new_registeration
Ajuste suas senhas
Alterar as senha regularmente é uma boa alternativa, melhorar a sua força através da adição de letras maiúsculas e minúsculas, números e caracteres especiais sempre ajuda. Este gerador de senhas é um recurso útil.
passwordsgenerator
http://passwordsgenerator.net/
Proteja o diretório wp-admin
O diretório wp-admin é o coração de qualquer site WordPress. Portanto, se esta parte do seu site é violado, em seguida, o site inteiro pode ficar danificado.
Uma possível maneira de evitar isso é uma senha que proteja o diretório wp-admin. Com tal medida de segurança, o dono do site pode acessar o painel de controle através da apresentação de duas senhas. Uma protege a página de login, e a outra a área de administração do WordPress. Se os usuários do site precisam obter acesso a algumas partes específicas do wp-admin, você pode desbloquear as partes e bloquear o resto.
Você pode usar o plugin AskApache Password Protect para garantir a área de administração. Ele gera automaticamente um arquivo .htpasswd, criptografa a senha e configura as permissões de arquivo correto com segurança melhorada.
AskApache Password Protect
https://wordpress.org/plugins/askapache-password-protect/
Use SSL para criptografar dados - é gratuito na Integrator
A implementação de um certificado SSL é uma jogada inteligente para fixar o painel de administração. O SSL garante a transferência segura de dados entre os navegadores do usuário e do servidor, tornando difícil para hackers quebrar a conexão ou falsificar suas informações. O certificado SSL também afeta a classificação do seu site no Google. Google classifica sites com SSL maior do que aqueles sem ele.
Certificado SSL é gratuito na Integrator e pode ser ativado através do Integrator Let's Encrypt SSL. Veja como acessar no tópico Acessando o Integrator Let's Encrypt SSL.
Adicione contas de usuário com cuidado
Se você tem um blog WordPress, ou melhor, um blog multi-autor, e precisa lidar com várias pessoas acessando seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.
Você pode usar um plugin como Force Strong Passwords se você quer ter certeza de que não usem senhas inseguras. Esta é apenas uma medida de precaução.
Force Strong Passwords
https://wordpress.org/plugins/force-strong-passwords/
Altere o nome do usuário administrador
Durante a instalação do WordPress, você nunca deve escolher "admin" como o nome de usuário da conta de administrador principal. Tal nome de usuário fácil de adivinhar é acessível para hackers. Tudo o que precisa de saber é a senha, e todo o seu site vai parar em mãos erradas.
O plugin iThemes pode impedir tais tentativas de qualquer endereço IP que tenta fazer o login com o nome de usuário admin.
Monitore seus arquivos
Se você quer um pouco de segurança extra, você pode monitorar as alterações nos arquivos do site através de plugins como Acunetix WP Security, Wordfence, ou iThemes Security.
Acunetix WP Security
https://wordpress.org/plugins/wp-security-scan/
Wordfence
https://wordpress.org/plugins/wordfence/
Alterar o prefixo do banco de dados
Se você já instalou o WordPress, então você está familiarizado com o prefixo da tabela wp- que é usado pelo banco de dados WordPress. Eu recomendo que você altere para algo único. Usando o prefixo padrão faz com que seu banco de dados local fique propenso a ataques de injeção SQL. Tal ataque pode ser evitada mudando wp- para algum outro termo, por exemplo, você pode torná-lo mywp-, wpnew-, etc.
Se você já instalou o seu site WordPress com o prefixo padrão, então você pode usar alguns plugins para mudá-lo. Plugins como WP-DBManager ou iThemes Security pode ajudá-lo a fazer o trabalho facilmente. (Certifique-se de fazer backup de seu site antes de fazer qualquer coisa para o banco de dados).
WP-DBManager
https://wordpress.org/plugins/wp-dbmanager/
Faça backup do seu site regularmente
Não importa o quanto seguro o seu site é, há sempre espaço para melhorias. Mas no final do dia, mantendo um backup off-site em algum lugar é, talvez, o melhor antídoto não importa o que acontece.
Se você tem um backup, você pode restaurar o seu site WordPress para um estado funcional qualquer hora que quiser. Existem alguns plugins que podem ajudá-lo a este respeito. Por exemplo, existem todos estes.
VaultPress-vs-BlogVault-vs-BackupBuddy-vs-CodeGuard-vs-UpdraftPlus
http://www.codeinwp.com/blog/vaultpress-vs-blogvault-vs-backupbuddy-vs-codeguard-vs-updraftplus/
Se você estiver procurando por uma solução premium, então eu recomendo VaultPress. Você pode configurar para que ele crie backups a cada 30 minutos. E se alguma coisa ruim acontecer, eu posso facilmente restaurar o site com apenas um clique. Em cima disso, ele também verifica o meu site de malware, e me alerta se algo errado está acontecendo.
VaultPress
https://vaultpress.com/
Defina senhas fortes para seu banco de dados
Uma senha forte para o usuário do banco de dados principal é uma obrigação - o WordPress utiliza para acessar o banco de dados.
Como sempre, use letras maiúsculas, minúsculas, números e caracteres especiais para a senha. Mais uma vez eu recomendo gerador de senhas como um recurso útil.
Proteja o arquivo wp-config.php
O arquivo wp-config.php possui informações cruciais sobre a sua instalação WordPress, e é de fato o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.
A boa notícia é que fazer isso acontecer é muito fácil. Basta levar o seu arquivo wp-config.php e movê-lo para um nível superior ao seu diretório raiz.
Agora, a questão é, se você armazená-lo em outro lugar, como é que o acesso ao servidor é? Na arquitetura WordPress atual, as configurações do arquivo de configuração são definidas o mais alto na lista de prioridades. Assim, mesmo se ele é armazenado acima do diretório raiz, o WordPress pode ainda identifica-lo.
Proibir edição de arquivos
Se um usuário tiver acesso de administrador ao seu painel WordPress, ele pode editar todos os arquivos que fazem parte de sua instalação do WordPress. Isso inclui todos os plugins e temas. No entanto, se você não permitir a edição de arquivos, mesmo que um hacker obtenha acesso de administrador ao seu painel WordPress, ele ainda não será capaz de modificar qualquer arquivo.
Adicione o seguinte ao arquivo wp-config.php (no final):
define ( 'DISALLOW_FILE_EDIT', true);
Acesse o servidor corretamente
Ao configurar seu site, conecte o servidor apenas através de SFTP ou SSH. SFTP é sempre preferível ao FTP tradicional devido às suas características de segurança que são, claro, não atribuídas com FTP. Acessar o servidor desta forma garante transferências seguras de todos os arquivos.
OBS: Caso o seu plano de hospedagem na Integrator não seja o básico, você pode acessar por SFTP.
Permissões dos diretórios
Erradas permissões de diretório pode ser fatal, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhada. Em tal caso, alterar arquivos e permissões de diretório é uma boa jogada para garantir o site no nível de hospedagem. Definir as permissões do diretório para "755" e arquivos para "644" protege todo o sistema de arquivos - pastas, subpastas e arquivos individuais.
Isso pode ser feito manualmente através do Gerenciador de arquivos dentro de seu painel de controle da hospedagem.
Desativar listagem de diretório
Se você criar um novo diretório como parte de seu website e não colocar um arquivo index.html nele, você pode se surpreender ao descobrir que seus visitantes podem obter uma listagem de diretórios cheios. Por exemplo, se você criar um diretório chamado "dados", você pode ver tudo nesse diretório simplesmente digitando http://seusite.com.br/data/ no seu browser. Nenhuma senha ou qualquer coisa é necessário.
Você pode evitar isso adicionando a seguinte linha de código em seu arquivo .htaccess:
Options All -Indexes
Mantenha sempre atualizado
Cada produto de software bom é suportado por seus desenvolvedores e é atualizado de vez em quando, mas WordPress é atualizado com muita freqüência. Essas atualizações são destinadas a corrigir erros e por vezes têm patches de segurança vitais. Não atualizar seus temas e plugins pode significar sérios problemas. Muitos hackers conta com o simples fato de as pessoas atualizarem seus plugins, temas e site. Então, se você estiver usando produtos WordPress, mantenha todos atualizados sempre.
Remova a versão do WordPress
A versão do WordPress atual pode ser encontrado facilmente. Fica basicamente apresentado no administrador do seu site, como recomendação.
Se os hackers souberem qual a versão do WordPress que você usa, é mais fácil para eles adaptar/construir o ataque. Você pode ocultar o seu número de versão com quase todos os plug-in de segurança mencionados acima.
Mais 9 plugins para detectar código maliciosos em seu Wordpress
IMPORTANTE: Todos os softwares informados neste link são de terceiros. O suporte de hospedagem não poderá ensiná-lo como operar ou resolver problemas que estes softwares lhe causar por mau uso. Recomendamos sempre olhar o manual do mesmo antes de instalar e utilizar.