As dicas e tutorias de seguranças desse post tem como foco os usuários de sites criado em WordPress.
O WordPress é uma plataforma de criação de sites popular e poderosa, com mais de 40% de todos os sites na internet. No entanto, essa popularidade também o torna um alvo para hackers e ataques maliciosos.
Para proteger seu site WordPress contra ataques e garantir a segurança dos seus dados e dos seus visitantes, é fundamental seguir algumas dicas de segurança.
Manter o site protegido contra vulnerabilidades e com informações atualizadas garante uma experiência positiva para os usuários, protege dados importantes e impulsiona o crescimento do negócio.
É importante ter em mente que, embora as medidas de segurança sejam essenciais, nenhum sistema é 100% seguro.
Hospedagem segura e inteligente (Hostinger)
Um site por mais que esteva atualizado e seguindo as práticas recomendadas não garante a segurança, a hospedagem do site tem um papel fundamental na proteção contra vírus.
A Hostinger se destaca no mercado por oferecer planos de hospedagem que combinam segurança robusta com recursos inteligentes, garantindo tranquilidade e alto desempenho para o seu site.
- Proteção contra malware: A Hostinger utiliza tecnologia de ponta para detectar e remover automaticamente malwares do seu site, protegendo-o contra ataques e garantindo a segurança dos seus dados e dos seus visitantes.
- Certificado SSL grátis: Todos os planos da Hostinger incluem um certificado SSL grátis, que criptografa as informações trocadas entre o seu site e os visitantes, protegendo-os contra hackers e roubo de dados.
- Firewalls avançados: Firewalls de última geração impedem o acesso não autorizado ao seu site, bloqueando ataques e garantindo sua segurança.
- Backups automáticos: A Hostinger realiza backups automáticos regulares do seu site, para que você possa restaurá-lo facilmente em caso de problemas.
Com a Hostinger, você pode ter certeza de que seu site estará sempre seguro, protegido e funcionando com alto desempenho.
Acesse o site da Hostinger e escolha o plano ideal para você!
Ações de segurança no painel ADM do WordPress
O WordPress é uma plataforma poderosa e versátil para a criação de sites, mas como qualquer plataforma online, está sujeito a ataques e vulnerabilidades.
Para aumentar a segurança do seu site WordPress, é fundamental tomar medidas de precaução no painel ADM.
Medidas básicas de segurança iniciais.
- Use senhas fortes e exclusivas: Crie senhas complexas e diferentes para cada conta de usuário no painel ADM, evite usar palavras comuns ou informações pessoais, no entanto não é obrigatório usar senha forte mas não é recomendo para dificultal.
- Mantenha o WordPress e plugins atualizados: Atualizações frequentes corrigem falhas de segurança e vulnerabilidades. Certifique-se de manter o núcleo do WordPress, plugins e temas sempre atualizados.
- Limite as tentativas de login: Defina um limite de tentativas de login para evitar ataques de força bruta.
Medidas de segurança média
- Instale um plugin de segurança: Existem diversos plugins de segurança disponíveis para o WordPress que oferecem recursos como firewall, varredura de malware, proteção contra spam e muito mais.
- Crie backups regulares: Faça backups regulares do seu site para que você possa restaurá-lo em caso de ataque ou problema técnico.
- Restrinja o acesso ao painel ADM: Limite o acesso ao painel ADM apenas aos usuários que realmente precisam dele.
Plugins de segurança recomendados para WordPress
Os plugins tem como objetivo ajudar na segurança do site, você como ADM do site precisa ter uma rotina de verificar o status do site através dos plugins para aplicar as correções.
All-In-One Security
All-In-One Security oferece ferramentas de segurança de login para manter os bots afastados e proteger seu site contra os ataques de força bruta.
Link para baixar o plugin All-In-One Security
https://br.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
Plugin Wordfence Security – Firewall, Malware Scan, and Login Security
É obrigatório criar um cadastro gratuito no site oficial para pegar a chave e assim ativar o plugin. O plugin fornece um conjunto abrangente de recursos de segurança, o Wordfence Security inclui um firewall de proteção aos endpoints e varredura de malware que foram construídos do zero para proteger o WordPress.
Link para baixar o pluginWordfence.
https://br.wordpress.org/plugins/wordfence/
Plugin Sucuri Security – Auditing, Malware Scanner and Security Hardening
O plugin Sucuri Security WordPress é gratuito para todos os usuários do WordPress, é um pacote de segurança destinado a complementar sua segurança existente.
Link para baixar o plugin Sucuri.
https://br.wordpress.org/plugins/sucuri-scanner/
Plugin WPScan – WordPress Security Scanner
Esse plugin verifica vulnerabilidades conhecidas do WordPress, vulnerabilidades de plugins e vulnerabilidades de temas, faz verificações de segurança adicionais, mostra um ícone na barra de ferramentas Admin com o número total de vulnerabilidades de segurança encontradas
Pode ser utilizado como um complemento para analisar o que o outros plugin não vão identificar, para utilizar o poder total é necessário fazer o cadastro no site oficial.
Link para baixar o plugin WPScan.
https://br.wordpress.org/plugins/wpscan/
Defender Security – Malware Scanner, Login Security & Firewall
O Defender adiciona o melhor em segurança de plug-ins do WordPress ao seu site com apenas alguns cliques, incluindo scanner de malware, firewall e recursos de segurança de login.
Link para baixar o plugin Defender Security
https://wordpress.org/plugins/defender-security
Plugin miniOrange’s
O plugin miniOrange WordPress 2FA é uma solução de segurança versátil e confiável que protege seu site contra várias ameaças, como ataques de força bruta, ataques de dicionário e adivinhação automatizada de senha.
Link para baixar o plugin miniOrange.
https://wordpress.org/plugins/miniorange-2-factor-authentication/
Anti-Malware from GOTMLS.NET
Link para baixar o plugin GOTMLS
https://wordpress.org/plugins/gotmls
Ações de segurança nos arquivos do site (FTP)
Essa ação é para usuários mais avançados com conhecimento em programação e com acesso aos arquivos do site.
Em sua hospedagem você pode acessar os arquivos para realizar o ajuste necessário que vou mostrar abaixo.
Protegendo arquivos
Muitos vírus tem a ação de modificar ou adicionar uma linha de comando nos arquivos.
Dica de como bloquear acesso aos arquivos.
Acrescentando no .htaccess um comando simples protegendo a local de upload.
No seguinte caminho “/wp-content/uploads/” localize o arquivo .htaccess
<Files *.php>
deny from all
</Files>
O arquivo wp-config.php contém as principais configurações do WordPress e os detalhes do banco de dados MySQL e, por isso, é o arquivo mais importante do WordPress.
Na raiz do site na pasta public_html tem o .htaccess
<files wp-config.php>
order allow,deny
deny from all
</files>
Acrescentando no .htaccess
Bloquear acesso a pasta do wp-content
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
Acrescentando no .htaccess
Imperdir ataques de Script Injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Permissão do INDEX.PHP no WordPress
No FTP encontre o arquivo Index.php e remova a permissão de escrever.
E dentro do arquivo tem que ter pouca informação, se tiver mais pode deletar ficando igual da imagem.
Bloqueio de acesso para outros países (Hospedagem Hostinger)
Você que utiliza a hospedagem de site HOSTINGER consegue bloquear o acesso de outros países ativando a configuração de CDN na hospedagem.
Atenção o CDN da HOSTINGER só pode ser ativado se o DNS no Registro BR estiver sendo apontado direto para hospedagem HOSTINGER.
Com isso veja como é simples ativar o bloqueio de países.
Siga o seguinte caminho Desempenho > CDN, ative ele para utilizar.
Depois aperte na setinha que fica no canto direito e entre na opção de Bloqueio de tráfego.
Aperte no botão “Adicionar bloqueio de país” e escolha os países.
Verificação e limpeza no Google Search Console
Com o seu site conectado no Google Search Console, você pode verificar a segurança e limpar o URL que está na busca.
Confira abaixo o caminho.
Acesso o site https://search.google.com/search-console/ e procure por seu domínio.
Ações manuais
Problemas de segurança
Limpar URL em Cache
Outras dicas para analise de segurança
Para uma análise mais rápida e superficial você pode utilizar sites gratuitos para verificar a confiabilidade do domínio e a segurança do site.
Confira abaixo os sites gratuitos para analisar o site.
Opswat
https://metadefender.opswat.com/
Urlvoid
URL Scanner Cloudflare
https://radar.cloudflare.com/scan
Google Status do site
https://transparencyreport.google.com/safe-browsing/search?hl=pt_BR
Quttera
DRweb
https://vms.drweb.com/online/?utm_medium=glavnaya&utm_source=drweb_site&utm_campaign=urlonline
Ao seguir estas dicas, você pode proteger seu site WordPress contra ataques e garantir mais segurança do seu conteúdo e dos seus visitantes.
Comece agora a proteger seu site WordPress!